06.07.2018

Sundhedsdatastyrelsen styrker løbende informationssikkerheden

- I august vil der ligge en risikovurdering for vores kerneopgaver. Vurderinger af risici og informationssikkerhed vil i virkelighedens verden altid være en løbende indsats, hvor vi aldrig kan læne os tilbage, udtaler vicedirektør i Sundhedsdatastyrelsen Flemming Christensen

- I august vil der en ligge risikovurdering for vores kerneopgaver. Vurderinger af risici og informationssikkerhed vil i virkelighedens verden altid være en løbende indsats, Sundhedsdatastyrelsen har i 2017 gennemført en forretningsmæssig konsekvensvurdering af forretningsprocesser, der er prioriteret i forhold til – herunder hvad brud på informationssikkerheden betyder for forretningen. Der er efterfølgende igangsat en systematisk gennemgang af de it-systemer, der understøtter de forretningsprocesserne med henblik på at vurdere deres sårbarhed. Det foregår i en prioriteret rækkefølge, hvor de forretningsprocesser, der er mest kritiske, er prioriteret. Det er ikke mindst processer, der understøtter patientbehandling og sundhedsberedskab, der prioriteres højest. Der er der derfor allerede gennemført sårbarhedsvurderinger.

Gennemgangen af de mest kritiske processer vil resultere i et risikoregister, som skal bruges til ledelsens prioritering af indsatsområder - på samme måde som den rapport, der i 2015 førte til, at man igangsatte en omfattende netværksopgradering, etableringen af en ny platform for sundhedsdata, der skal bruges til videnskabelige og statistiske formål, og bedre beskyttelse flytning af væsentlige it-systemer.

- I august vil der ligge risikovurdering for vores kerneopgaver. Vurderinger af risici og informationssikkerhed vil i virkelighedens verden altid være en løbende indsats, hvor vi aldrig kan læne os tilbage. Cybertruslerne ændrer sig konstant, så vi er derfor nødt til hele tiden at justere vores indsats på området, udtaler vicedirektør i Sundhedsdatastyrelsen Flemming Christensen.

Sideløbende med den systematiske risikovurdering foretages der løbende risikovurderinger af specifikke områder, hvor trusselsniveauet generelt er højt, som eksempelvis netværk eller e-mail.

Herudover udarbejdes der jævnligt på baggrund af Center for Cybersikkerhed og andre kilder trusselsvurderinger, som forelægges ledelsen minimum to gange om året. Og Rigsrevisionen har så sent som i foråret konstateret, at Sundhedsdatastyrelsen løbende foretager så penetrationstest og sårbarhedsscanninger af netværket, og iværksætter handlingsplaner, når sårbarheder identificeres.

I den daglige drift følges der op på de informationer om trusler og risici, der kommer fra Center for Cybersikkerhed, CSIS og andre. Sundhedsdatastyrelsen vurderer herudfra, om truslen giver anledning til en sårbarhed i driftsmiljøet og håndterer disse f.eks. gennem sikkerhedsopdateringer, lukning af porte i firewalls og lignende.
hvor vi aldrig kan læne os tilbage, udtaler vicedirektør i Sundhedsdatastyrelsen Flemming Christensen