Vi samler statistik ved hjælp af cookies for at forbedre brugeroplevelsen.
Indsamlingen af statistik begynder, når du klikker dig videre til næste side.
Cookie- og privatlivspolitik

Beretning om 3 regioners beskyttelse af adgangen til it-systemer og sundhedsdata

Statsrevisorernes bemærkning til beretningen

Den 15. november 2017 behandlede Statsrevisorerne

Beretning nr. 4/2017 om 3 regioners beskyttelse af adgangen til it-systemer og sundhedsdata

Statsrevisorerne afgav beretningen til Folketinget med følgende bemærkning:

"Center for Cybersikkerhed vurderer, at offentlige myndigheder i Danmark i stigen­de grad er truet af cyberangreb. Sundhedssektorens it-systemer er udsat for en specifik trussel. Fx har der i Danmark været flere angreb på sygehuse i Region Syddanmark, som kan have haft konsekvenser for patientbehandlingen. 

Regionerne har ansvaret for at beskytte sundhedsdata i Danmark. Beretningen handler om, hvordan 3 regioner – Region Syddanmark, Region Midtjylland og Region Hovedstaden – beskytter adgangen til it-systemer og sundhedsdata. 

Statsrevisorerne finder, at de 3 regioners beskyttelse af adgangen til it-systemer og sundhedsdata ikke er tilfredsstillende. Hermed er der risiko for, at følsomme og fortrolige persondata kommer i hænderne på uvedkommende eller ikke er pålidelige og tilgængelige, når der er brug for dem.  

Statsrevisorerne bemærker: 

  • At grundlæggende sikringstiltag mod hackerangreb ikke i tilstrækkelig grad er implementeret i nogen af de 3 regioner. Særligt kritisk er det, at 27.000 medarbejdere i Region Syddanmark har lokaladministratorrettigheder, da det øger risikoen for hackermisbrug.
  • At styring og kontrol af medarbejdere med privilegerede rettigheder er mangelfuld i alle 3 regioner, herunder at der er utilstrækkelig begrænsning af muligheder for at tilgå internettet, når der logges på med privilegerede rettigheder.
  • At Region Syddanmark og Region Hovedstaden har passwords til system- og servicekonti, der ikke har været skiftet i lang tid – op til 9 år – og passwords, der ikke lever op til god praksis.
  • At alle 3 regioners logningstiltag er mangelfulde, hvilket gør det vanskeligt at opdage og opklare hackerangreb og misbrug af rettigheder. Region Midtjylland har ikke implementeret nogen af de undersøgte logningstiltag, selv om regionen har udarbejdet en politik for området."

Senest opdateret den 15. november 2017

RIGSREVISIONEN LANDGREVEN 4 1301 KØBENHAVN K TLF.: 33 92 84 00 INFO@RIGSREVISIONEN.DK
CVR-NR.: 77806113 EAN-NR.: 5798000016002 PNR.: 1003388382 ÅBNINGSTID: KL. 9.00-16.00