Sundhedssektorens cyber- og informationssikkerhedsstrategi 2019-2022
Om ’Strategi 2019-2022: En styrket, fælles indsats for cyber- og informationssikkerhed' og den decentrale cyber- og informationssikkerhedsenhed i Sundhedsdatastyrelsen.
Kontakt
Med den nationale cyber- og informationssikkerhedsstrategi fra maj 2018 er sundhedssektoren udpeget som en af seks samfundskritiske sektorer, der hver skal have en sektorspecifik strategi for cyber- og informationssikkerhed. Dertil har Center for Cybersikkerhed på baggrund af internationale erfaringer vurderet, at truslen fra cyberspionage og cyberkriminalitet mod den danske sundhedssektor er ”meget høj”.
På denne baggrund har sektoren i 2018 udarbejdet en samlet strategi for sundhedsområdet, som skal ruste sektoren til at imødegå den gældende trussel. Strategien er politisk aftalt mellem Indenrigs- og Sundhedsministeriet, KL og Danske Regioner.
Arbejdet med at formulere cyber- og informationssikkerhedsstrategien for sundhedssektoren og initiativerne heri er baseret på en samlet sårbarheds- og risikovurdering af sundhedssektoren, som er blevet udarbejdet hen over sommeren og efteråret 2018. I forhold til arbejdet med cyber- og informationssikkerhed er sundhedssektoren karakteriseret ved en række specifikke forhold, bl.a. at sektoren har et meget stort antal medarbejdere, der håndterer personfølsomme oplysninger, at sektoren rummer et komplekst it-landskab, og at sektorens aktører både rummer store organisationer og små private erhvervsdrivende, der alle skal have et højt sikkerhedsniveau. Sektorens sårbarhedsvurdering peger overordnet på en række områder i sektoren, som det er særligt væsentligt at sætte ind imod. Det drejer sig bl.a. om medico-teknisk udstyr, leverandørstyring, aktørernes gensidige afhængigheder samt cyber- og informationssikkerhedskompetencer blandt sektorens medarbejdere.
Fælles oprustning på fire områder
Strategiens sigte er at opbygge sundhedssektorens samlede kapacitet til at forudse, forebygge, opdage og håndtere cyber- og informationssikkerhedshændelser. De fire indsatsområder rummer i alt 17 initiativer, som igangsættes i løbet af 2019 og 2020.
Forudsige hændelser 1.1 Identifikation af kritiske forretningsprocesser og it-systemer på tværs af sektorens aktører 1.2 Bedre overblik over sundhedssektorens sårbarheder og risici 1.3 Effektiv koordination af varsler 1.4 Klarhed over den enkelte aktørs roller og ansvar 1.5 Deltagelse i relevante, internationale fora om cyber- og informationssikkerhed på sundhedsområdet |
Forebygge hændelser 2.1 Sikkerhed starter hos medarbejderne 2.2 Styrket teknisk it-sikkerhed i sektorens systemer og it-infrastruktur 2.3 Håndtering af sikkerheden i legacy-systemer og -udstyr 2.4 Øget sikkerhed i IoT-enheder 2.5 Skærpede sikkerhedskrav til it-leverandører 2.6 Udbygning af sektorens sikkerhedsarkitektur |
Opdage hændelser 3.1 Løbende test af sikkerheden i sundhedssektorens systemer og udstyr 3.2 Etablering af funktioner til overvågning og analyse af aktivitet på sundhedssektorens it-systemer og -infrastruktur 3.3 Effektiv håndtering af mistanker om hændelser |
Håndtere hændelser 4.1 Hændelseshåndtering 4.2 Etablering af tværgående it- og cyberberedskab 4.3 Beredskabsøvelser for fælles systemer og forsyningskæder |
Udmøntning
En række af strategiens aktiviteter baseres på indsatser, som allerede løftes hos de enkelte aktører, og finansieres og tilrettelægges derfor lokalt inden for aktørernes egne budgetter. Det gælder for eksempel udarbejdelsen af lokale sårbarheds- og risikovurderinger, awareness- og kompetenceudvikling for relevante faggrupper mv.
Strategien lægger også op til en række nye, fælles aktiviteter, som beror på en afdækning af sektorens konkrete behov og afsøgning og prioritering af finansiering. Det indebærer, at sektorens parter på et senere tidspunkt kan aftale finansiering af disse aktiviteter, for eksempel ved at løfte dem ind i de årlige økonomiforhandlinger eller via centralt afsatte midler.
Cyber- og informationssikkerhed er et område under konstant udvikling, og nye udfordringer og trusler såvel som nye muligheder kan opstå, som ikke fandtes ved strategiens lancering. Derudover ændrer sektoren sig også løbende. Derfor skal strategiens retning og initiativer evalueres årligt baseret på opdaterede trussels-, sårbarheds- og risikovurderinger af sundhedssektoren. På den baggrund gennemføres den endelige vurdering af, om strategien og de eksisterende initiativer er dækkende.
Organisering
Med strategien sættes en ambitiøs retning for at styrke sundhedssektorens samlede kapacitet i forhold til cyber- og informationssikkerhed og dermed bidrage til at fremtidssikre det danske sundhedsvæsen. Arbejdet med at følge op på strategien og dens initiativer er forankret i en styregruppe med deltagelse fra regionerne, KL, PLO, MedCom, Sundhed.dk, Center for Cybersikkerhed, Digitaliseringsstyrelsen, Sundhedsstyrelsens beredskab, Sundhedsdatastyrelsen og Indenrigs- og Sundhedsministeriet. Dertil følges arbejdet med strategiens udmøntning i den nationale bestyrelse for sundheds-it.
Sundhedssektorens decentrale cyber- og informationssikkerhedsenhed
Som led i arbejdet med at styrke den samlede cybersikkerhedsindsats i sektoren er der pr. 1. november 2018 oprettet en decentral cyber- og informationssikkerhedsenhed (DCIS) i Sundhedsdatastyrelsen. Enheden udgøres af 12-14 ansatte og har til opgave at samle og koordinere arbejdet i sektoren, herunder at fungere som sektorens knudepunkt og bindeled til blandt andet Center for Cybersikkerhed og i tilfælde af en varsels- og beredskabssituation. Herudover har enheden til ansvar at understøtte sektorens implementering af strategien, at være tovholder på gennemførelsen af aftalte analyser, igangsætte sårbarheds- og risikovurderinger fsa. sektorens tværgående forretningskritiske processer, udarbejde vejledninger og informationsmateriale, facilitere videndeling mv.