Annonce:
Annonce:

It-brist på hospital: Anders Lunds gravide kone blev udnyttet

It-sikkerheden sejler i det offentlige. Et af de mulige ofre er Anders Lund Madsen, der mistænker en sikkerhedsbrist på Rigshospitalet for at give journalister fra Se og Hør fri adgang til fortrolige oplysninger

Anders Lund Madsen er rasende over, at fortrolige oplysninger  om om kærestens graviditet sivede ud af Rigshospitalets it-system (Foto: Claus Bjørn Larsen).
Anders Lund Madsen er rasende over, at fortrolige oplysninger om om kærestens graviditet sivede ud af Rigshospitalets it-system (Foto: Claus Bjørn Larsen).
Annonce:

Har du oplevet sikkerhedsbrister i kommune, region eller stat? Skriv til os på 1224@eb.dk /sms til 1224 (koster alm sms-takst) eller send en mail til friadgang@eb.dk.

Rigsrevsionen er i år og i 2014 kommet med sønderlemmende kritik af 14 statslige institutionernes håndtering af borgernes data, og i den seneste tid har der også været eksempler på sikkerhedsbister i hospitalsvæsenet. Blandt andet i Region Midtjylland, hvor piccoliner og portører havde fri adgang til at snuse rundt i fortrolige patientjournaler.

Hos Center for Cybersikkerhed under Forsvarets Efterretningstjeneste, der blandt andet rådgiver danske myndigheder og virksomheder omcybersikkerhed, mener man også, at der plads til forbedringer:

Annonce:

- Der er ingen tvivl om, at der er plads til forbedringer, når det gælder it-sikkerheden i de offentlige systemer. Både rent teknisk, men også om hvem der skal have adgang til informationer, så eksempelvis en servicemedarbejder på et hospital ikke har adgang til alle patientjournalerne, siger Thomas Lund-Sørensen, chef for Center forCybersikkerhed.

Anders Lund blev udnyttet

En af de danskere, der har oplevet at blive udnyttet efter at have været i kløerne på et hullet it-system er Anders Lund Madsen og hans gravide kæreste,efter de havde været til foster-scanning på Rigshospitalet. Scanningen viste desværre, at barnet kort efter undfangelsen var dødt.

Da de forlod hospitalet troede de kun, at det var sundhedspersonalet, der blev involveret i deres besøg, men da parret kom nedtrykte hjem, ringede telefonen pludselig – i den anden ende var en journalist.

- Det var Se og Hør, som ringede og sagde tillykke med graviditeten. Det blev jeg sur over, siger Anders Lund Madsen.

Han undrede sig over, at Se og Hør vidste, at han havde været på Riget. Han antog dog, at andre hospitalsgæster – eller en person i omgangskredsen – havde tippet sladderbladet.

It- skandale i Middelfart: Handicappede udstillet på nettet

Annonce:

It- skandale i Middelfart: Handicappede udstillet på nettet FOA-formand efter it-skandale: - Mere end uacceptabelt

Da parret igen kom i lykkelige omstændigheder, besluttede de ikke at fortælle nogen om graviditeten. De bookede deres scanningstid online, og da de mødte op på hospitalet, kendte kun de til graviditeten, fortæller Anders Lund Madsen.

- Vi lavede det endda sådan, at jeg gik ind forskudt for ikke at tiltrække opmærksomhed. Jeg ventede et andet sted på hospitalet, og da min kæreste blev kaldt ind, sms’ede hun hvilket rum, jeg skulle gå ind til.

Scanningen viste, at barnet levede, så parret var derfor i godt humør og besluttede, at de derfor kunne forlade hospitalet sammen.

- Da vi glade gik ud gennem hovedindgangen, kom journalisten fra Se og Hør løbende og skreg: Tillykke, tillykke, siger han.

Denne gang var Anders ikke i tvivl om, at lækket kom fra hospitalet.

Annonce:

- Se og Hør kunne kun vide det, hvis de havde fået det fortalt fra hospitalet eller havde hacket sig ind i systemet. Jeg fik min advokat til at bede Riget om en undersøgelse.

Men på Rigshospitalet afviste ledelsen, at de fortrolige oplysninger var sivet ud af deres it-systemer.

- Det var skuffende, at ledelsen på Riget, i stedet for at tage min henvendelse alvorligt, sagde, at det var nogen i venterummet, der havde set os og ringet efter Se og Hør. Det var først efter, skandalen om Se og Hør begyndte at rulle, at de undersøgte det.

It-sikkerheden sejler i kommunerne

Det viste sig, at det booking-system, som Rigshospitalet havde, ikke var forsynet med logning. Logningen er ellers obligatorisk i sundhedsvæsenets it-systemer, så sygehuspersonalet ikke kan udnytte patientoplysninger uden at blive afsløret.

- På et gigant-hospital som Rigshospitalet vil der rent statistisk være hængerøve ansat. Det er også derfor, at der skal være kontrol i systemet, så hængerøvene ikke kan komme til fadet og udnytte patienternes oplysninger, siger Anders Lund Madsen.

Annonce:

Sikkerhedsbristen har gjort ham mere skeptisk over for, hvor fortroligt de oplysninger, som han afgiver, bliver behandlet. Han kan ikke lade være med at tænke på, at it-hullet også havde givet medierne adgang til andre danskeres oplysninger om alvorlig sygdom eller psykiske lidelser.

- Det er jo et grundlæggende tillidsbrud i forholdet mellem patient og sundhedsvæsenet, som der bare ikke må komme ridser i. Det er jo helt grundlæggende, at man kan være ærlig og stole på sundhedsvæsenet, og derfor må der ikke være de her sikkerhedshuller, siger han.

Rigshospitalet: Vi lækkede ikke oplysninger

Det er Region Hovedstaden, som har ansvaret for it-sikkerheden på Rigshospitalet.

Men regionen har på grund af en sikkerhedsbrist i deres system ikke været i stand til at undersøge, om de fortrolige oplysninger om Anders Lund Madsen og kærestens graviditet er sivet ud fra hospitalet til Se og Hør.

- Årsagen til, at der ikke var logning på bookingsystemet, skyldes en beklagelig fejl. Fejlen er rettet, således at der pr. 1. august 2014 har været logning på dette system i lighed med andre fælles systemer, skriver regionens kommunikationsafdeling i en mail.

Selv om Riget på grund fejlen ikke kan tjekke, om nogen ansatte har misbrugt systemet, så er man i Region Hovedstaden overbevist om, at det ikke er sket.

- Se og Hørs chefredaktør har oplyst, at hospitalet ikke var kilde til bladets oplysninger af denne art. Det er derudover Rigshospitalets opfattelse, at der ikke er videregivet oplysninger om kendte personers scanninger til Se og Hør fra ansatte på Rigshospitalet.

- Hvad har Region Hovedstaden gjort efter Se og Hør-skandalen for at sikre, at borgernes sundhedsoplysninger ikke siver ud til offentligheden i fremtiden?

- Som led i den offentlige opmærksomhed på området sommeren 2014 har Region Hovedstaden valgt at indskærpe reglerne for sikker håndtering af fortrolige oplysninger over for hospitalets medarbejdere, står der i mailen.

Det sejler i staten

Rigsrevisionen er flere gange kommet med hård kritisk af statslige institutionernes håndtering af data. I sidste måned kom en beretning om adgangen til it-systemer i 6 institutioner, der understøtter samfundsvigtige opgaver: Energinet.dk, Banedanmark, National Sundheds-it, Statens It, Direktoratet for Kriminalforsorgen og Rigspolitiets Koncern IT

Og her lød den samlede konklusionen blandt andet:

Rigsrevisionen vurderer samlet, at de 6 institutioner på undersøgelsestidspunktet ikke har efterlevet en række anerkendte anbefalinger om god it-sikkerhedspraksis for at beskytte adgangen til it-systemer og data(...)

De 6 institutioners manglende efterlevelse af anbefalingerne kan øge risikoen for, at personer uberettiget kan få adgang til institutionernes it-systemer og data(...) Det kan påvirke og forstyrre løsningen af de samfundsvigtige opgaver og kan true en sikker opbevaring af fortrolige data, som institutionerne har ansvaret for.

Rigsrevisionen vil særligt fremhæve, at institutionerne ikke i tilstrækkelig grad har begrænset tildelingen af disse rettigheder. Desuden har ingen af institutionerne skiftet ikke-personlige passwords årligt, og størstedelen af de pågældende passwords er op til 7 år gamle. Enkelte passwords er ikke blevet skiftet siden slutningen af 1990’erne.

I slutningen af 2014 kom Rigsrevisionen med en en beretning om statens behandling af fortrolige oplysninger om personer og virksomheder. Otte statslige institutioner, der behandler fortrolige oplysninger, blev undersøgt Danmarks Statistik, Rigspolitiet, SKAT, Arbejdsskadestyrelsen, Forsvarskommandoen, Socialstyrelsen, Sundhedsstyrelsen og Institut for Menneskerettigehder.

Den samlede konklusionen lød blandt andet:

Rigsrevisionen finder det utilfredsstillende, at institutionerne ikke beskytter fortrolige oplysninger om personer og virksomheder tilstrækkeligt.

Når en institution ikke beskytter fortrolige oplysninger tilstrækkeligt, øger det risikoen for, at uvedkommende får kendskab til fortrolige oplysninger, og at oplysningerne kan misbruges. Manglende beskyttelse af fortrolige oplysninger kan desuden svække borgeres og virksomheders tillid til it-sikkerheden i den statslige forvaltning, hvilket kan blive en barriere for fortsat at digitalisere og effektivisere i staten.

De undersøgte institutioner mangler i vidt omfang at opdatere interne retningslinjer, at kontrollere brugeradgange, at registrere medarbejdernes opslag og slette dem igen.

Annonce:
Annonce:
Annonce:

Mere fra Ekstra Bladet+

Annonce:
Støjbergs første politiske udspil er at ramme folk i den tredje verden
Annonce:

Udforsk Ekstra Bladet+

Hvilke nyheder skal vi vise her?

Med en gratis bruger kan du selv vælge!
Så er du altid opdateret på lige præcis det, der interesserer dig. Læs mere

Brugervilkår - Har du en bruger? Log ind

Annonce:
Annonce:
Annonce: