Hva er det verste som kan skje?
Du blir innlagt på sykehus. Det står om livet. Hva har størst konsekvens for deg som pasient?
av Roar Thon
Innlegget er tidligere publisert som kronikk i Finansavisen
Flere britiske sykehus ble offer for «WannaCry viruset» 12 mai i år. Skadevaren som ble spredt verden over, krypterte innholdet på datamaskiner hvor eierne så ble avkrevd penger for å få informasjonen tilbake i lesbar tilstand.
Konsekvensen for flere britiske sykehus var å stenge driften. Pasienter ble avvist, operasjoner utsatt. De var ikke i stand til å levere helsetjenester til befolkningen.
WannaCry ble en alvorlig global påminnelse om at moderne samfunn er sårbare for digitale forstyrrelser. Betydning av god informasjonssikkerhet bør også være tydelig. Men hva er god informasjonssikkerhet? Her er de tre begrepene konfidensialitet, integritet og tilgjengelighet sentrale. Å hindre at uvedkommende får tilgang til informasjon de ikke burde ha tilgang til (konfidensialitet). Å hindre at uvedkommende ikke kan endre informasjon (integritet). Å ha tilgang til egen informasjon/systemer (tilgjengelighet). Begrepene er like størrelser og de er i utgangspunktet like viktige, selv om betydningen kan variere fra situasjon til situasjon.
Likevel ser det ut til at det er konfidensialitet som automatisk bekymrer de fleste av oss. At uvedkommende kan ha fått tak i informasjon de ikke burde hatt tilgang til, er ikke ønskelig. Men er det virkelig det verste som kan skje?
Informasjon var så «godt sikret» at sykehusene måtte stenge
Noen timer etter at de første britiske sykehusene stengte pga WannaCry, kunne den britiske statsministeren berolige befolkningen med at det ikke var grunn til å anta at sensitiv informasjon fra pasientjournaler hadde lekket ut. Det var altså konfidensialitet som var viktig. Men den var heller ikke truet av WannaCry. Pasientjournalene var så «sikre» at selv ikke de som hadde lovlig tilgang, kunne bruke informasjonen. Informasjonen var så «godt sikret» at sykehus måtte stenge. Men fokus var likevel at uvedkommende ikke hadde fått tilgang til pasientinformasjon.
Vi ser tendensen til samme fokus i Norge. Diskusjonen rundt Helse Sør Øst og deres tjenesteutsetting handler kun om konfidensialitet. «Uvedkommende» kan ha hatt tilgang til 2.8 millioner norske pasientjournaler. Debatten stanser der.
Det er ingen grunn til å bagatellisere tap av personsensitiv informasjon. Dersom befolkningen ikke kan stole på myndighetenes og virksomheter evne til å beskytte deres sensitive informasjon, er det svært ødeleggende for både samfunnet og den enkelte innbygger.
Men det er også alvorlig om vi ikke er i stand til å se lengre enn pasientjournaler og helseopplysninger på avveie som verste samfunnsmessige konsekvens. Om det kun er konfidensialitet som opptar oss, vil ikke de eksisterende og fremtidige digitale sikkerhetsutfordringer og konsekvenser bli forstått eller håndtert godt nok.
Hva er viktigst for deg som pasient?
For tenk deg følgende; Du blir innlagt på sykehus - Det står om livet. Hva har størst konsekvens for deg som pasient? At uvedkommende har lest journalen din (Konfidensialitet) At noen har endret dine data (blodtype m.m.) (Integritet) At sykehusets teknologi og systemer som kan redde livet ditt - ikke fungerer, for andre har tatt over kontrollen (Tilgjengelighet).
Integritet og tilgjengelighet i dette perspektivet er samfunnskritisk og har et betydelig større skadepotensiale. Moderne informasjonssikkerhet i blant annet helsesektoren handler ikke bare om konfidensialitet. I 2017 bør det handle like mye om å beskytte samfunnskritiske systemer og teknologi mot uønsket adgang og kontrollovertakelse av krefter som ikke vil oss vel.