TRYGG DIGITAL UTVIKLING: Normen har aldri handlet om å si nei til digitalisering. Tvert imot har Normen i 20 år vært et verktøy for å muliggjøre trygg digital utvikling i helse- og omsorgssektoren, skriver Geir-Erlend Myhre Johansen.

Helsesektoren er ikke skjermet fra den digitale slagmarken

I en tid der cyberangrep kan lamme helsetjenesten, og kunstig intelligens utfordrer etablerte grenser for bruk av data, handler informasjonssikkerhet ikke bare om teknologi.

Geir-Erlend Myhre Johansen Geir-Erlend Myhre Johansen Leder for sekretariatet for Normen (Norm for informasjonssikkerhet og personvern i Helse- og omsorgssektoren)
Publisert

Når cyberangrep rammer helsevesenet, er det ikke bare systemer som går ned – det er blodprøver som ikke analyseres, operasjoner som utsettes og pasienter som ikke får hjelpen de trenger. I en helsetjeneste som er helt avhengig av digitale løsninger, kan et vellykket angrep raskt utvikle seg fra en IT-hendelse til en trussel mot pasientsikkerhet.

Trusselvurderingene for spesialisthelsetjenesten peker på et stadig mer alvorlig digitalt trusselbilde. Cyberkriminelle, statlige aktører, sabotasje, utpressing og spionasje trekkes frem som reelle trusler mot helsesektoren. Helsesektoren forvalter store verdier i form av helseopplysninger, og sektoren anses derfor som et attraktivt mål for digitale angrep. Samtidig understrekes det at et vellykket cyberangrep kan få alvorlige konsekvenser for evnen til å levere helsetjenester og opprettholde helseberedskapen. I ytterste konsekvens kan slike hendelser også rokke ved tilliten til helsesektoren – tilliten til at helseopplysninger er trygge, og til at helsetjenestene fungerer når vi trenger dem som mest.

Det er ikke lenger science fiction. Det er dagens trusselbilde.

Norsk systematikk

Da den britiske laboratorieleverandøren Synnovis ble rammet av et digitalt-angrep sommeren 2024, fikk det konsekvenser langt utover IT-systemene. Blodprøver kunne ikke analyseres som normalt, sykehus gikk tilbake til papir og manuelle rutiner, og tusenvis av operasjoner og konsultasjoner måtte utsettes. Angrepet rammet store deler av helsetjenesten i London og viste hvor sårbar moderne helsetjenester kan være.

Cybertruslene stopper ikke ved landegrensene. Vår helsetjeneste står i det samme alvorlige og komplekse trusselbildet som resten av verden. Forskjellen er at helsesektoren i Norge gjennom mange år har arbeidet systematisk med informasjonssikkerhet og personvern. I over 20 år har sektoren bygget kompetanse, etablert felles krav og utviklet en kultur for sikker digitalisering. En viktig del av dette arbeidet har vært Normen – helse- og omsorgssektorens felles rammeverk for informasjonssikkerhet og personvern.

Sikkerhet bygges ikke når krisen treffer. Den bygges i årene før.

Jubileum

7. september er det 20 år siden første versjon av Normen ble publisert. Den gang handlet det først og fremst om å etablere grunnleggende krav til sikker behandling av helseopplysninger. I dag handler det om noe langt større: å sikre tilliten til digitale helse- og omsorgstjenester i en tid preget av geopolitisk uro, økende cybertrusler og rask teknologisk utvikling.

Normen har gjennom disse årene blitt utviklet av sektoren, for sektoren. Det er kanskje den viktigste forklaringen på hvorfor Normen fortsatt står så sterkt. Veiledningen er ikke skrevet fra utsiden, men bygger på erfaringene til dem som faktisk står i tjenestene – sykehus, kommuner, fastleger, leverandører og fagmiljøer. Resultatet er et praktisk rammeverk som gjør det enklere å omsette krav til konkret handling.

Denne sektorforankringen har gjort norsk helsesektor bedre rustet enn mange andre. Ikke fordi vi er immune mot angrep, men fordi vi over tid har bygget opp en felles forståelse av risiko og ansvar. Det betyr noe når alvorlige hendelser oppstår.

Samtidig står sektoren nå foran en omfattende teknologisk endring: kunstig intelligens. KI vil kunne gi store gevinster i helse- og omsorgstjenesten – blant annet gjennom bedre dokumentasjon, mer effektive arbeidsprosesser og mer tid til pasientbehandling. Men teknologien reiser også nye spørsmål som sektoren må ta på alvor. Hva skjer med dataene vi deler med KI-løsninger? Hvem får tilgang til dem? Hvordan brukes informasjonen? Og hvordan sikrer vi at helseopplysninger behandles forsvarlig når teknologien utvikler seg raskere enn regelverk og etablerte arbeidsprosesser?

Et verktøy for trygg digitalisering

Her spiller Normen igjen en viktig rolle. For å hjelpe sektoren til å ta gode og trygge valg har Normen utviklet faktaarket «Trygg bruk av KI i dokumentasjon av helsehjelp (tale-til-utkast)». Faktaarket gir praktiske råd om risikovurderinger, informasjonssikkerhet, ansvar og kontroll av KI-generert innhold før det lagres i journal. Målet er ikke å bremse utviklingen, men å bidra til at ny teknologi tas i bruk på en trygg og forsvarlig måte.

Vi kan ikke møte fremtidens teknologi med gårsdagens sikkerhetstenkning.

Normen har aldri handlet om å si nei til digitalisering. Tvert imot har Normen i 20 år vært et verktøy for å muliggjøre trygg digital utvikling i helse- og omsorgssektoren. Det behovet er minst like stort i dag. For i en tid der cyberangrep kan lamme helsetjenesten, og kunstig intelligens utfordrer etablerte grenser for bruk av data, handler informasjonssikkerhet ikke bare om teknologi. Det handler om pasientsikkerhet, tillit og evnen til å opprettholde helsetjenester når samfunnet settes under press.

Ingen oppgitte interessekonflikter

it-sikkerhet digitalisering debatt e-helse
Powered by Labrador CMS