Skip til primært indhold

Tillid og sikkerhed

Borgere skal have tillid til, at de kan trygt kan aflevere deres data til regionen, og at vores systemer er optimalt sikret mod cyberangreb fra it-kriminelle.

Med den nationale cyber- og informationssikkerhedsstrategi er sundhedssektoren udpeget som en af seks samfundskritiske sektorer. Center for Cybersikkerhed har på bagrund af internationale erfaringer vurderet, at truslen fra cyberspionage og -kriminalitet er ”meget høj”.

I økonomiaftalen for 2022 mellem Danske Regioner og regeringen markeres, at der er brug for fortsat beskyttelse af regionernes digitale infrastruktur, systemer og udstyr mod cyberangreb. Det markeres endvidere, at en fortsat sikring af borgerens sundhedsdata er afgørende for borgernes tillid til sundhedsvæsenet, og at regionerne har ansvar for løbende at tilpasse sikkerheden ud fra en risikobaseret tilgang.

I Region Syddanmarks digitaliseringsstrategi for 2019-2021 er der også fokus på cyber- og informationssikkerhed, idet det fremgår af strategien: at borgere, patienter og medarbejdere skal kunne have tillid til at regionen behandler oplysninger og data forsvarligt og sikkert og at alle relevante data kan tilgås, når de er nødvendige for behandlingen.

Pejlemærket ”Region Syddanmark drives med vægt på klare visioner og spilleregler samt stabil og decentral drift” sætter den overordnede ramme for dette arbejde. Visioner og spilleregler på informationssikkerhedsområdet er primært formuleret med afsæt i ISO 27001, NIS direktivet og GDPR reglerne. Cybersikkerhed er nødvendig for at sikre stabil drift.

Med dette udgangspunkt skal der i den kommende strategiperiode (fortsat) være tillid til regionens brug af data og digitale løsninger- og tillid og sikkerhed skal indarbejdes i de almindelige arbejdsgange, så det bliver nemmere at gøre det rigtige.

Tillid, åbenhed og transparens går hånd i hånd. Det betyder, at der fortsat skal kommunikeres åbent om sikkerhedsbrud, og det betyder også, at transparens skal være omdrejningspunkt for det fortsatte informationssikkerhedsarbejde.

På dialogmøderne blev fremført, at der fortsat er behov for at arbejde med sikkerhed i de enkelte fagsystemer, herunder lette og gennemskuelige sikkerhedsprocesser, blandt andet i forhold til brugeradgange og leverandørsamarbejde.

Herudover blev efterlyst initiativer, som sikre at medarbejderne har de nødvendige opmærksomheder og adfærd.

Der blev desuden efterspurgt hjælp til at håndtere sikkerhedskrav, og hjælp til at overkomme de barrierer som sikkerhedskrav i nogle tilfælde medfører. Hjælpen kan være af juridisk eller teknisk karakter.

Med dette udgangspunkt skal der i strategiperioden årligt fastlægges mål for informationssikkerhedsindsatsen. Målfastlæggelsen skal bl.a. sikre:

  • Transparens og overblik på tværs af enhederne
  • Prioritering af indsats iht. de gældende retningslinjer
  • Igangsættelse af relevante initiativer som sikrer medarbejdernes viden og opmærksomhed på sikkerhed (awareness)
  • Øge vidensdeling på tværs af enhederne og systemområderne
  • Synlig hjælp til at håndtere barriere

I strategiperioden skal opnås den bedst mulige operationelle sikkerhed og stabile drift

I digitaliseringsstrategien for 2019-2021 markeres, at der er behov for fokus på cybersikkerhed. Og som en af indsatserne i denne strategi er der udarbejdet en specifik cyber- og informationssikkerhedsstrategi. Cyber- og informationssikkerhedsstrategiens initiativer er gennemført i løbet af 2022.

Cyber- og informationssikkerhedsområdet er kendetegnet ved, at der konstant opstår nye sårbarheder og trusler, og dermed er der et kontinuerligt behov for at styrke sikkerhedsindsatserne.

I økonomiaftalen mellem Danske Regioner og regeringen anerkendes dette behov, og der afsættes specifikke midler til styrkelse af området. For Region Syddanmarks vedkommende 10,7 mio. kr. i årlig drift og 21,4 mio. kr. i anlæg. Det understreges i aftalen, at der bl.a. skal ske en regional vurdering af behov for overvågningsfunktioner, og at regionerne skal tilsluttes et centralt analysecenter for cyber- og informationssikkerhed i sundhedssektoren (DCIS Sund).

Niveauet for cyber -og informationssikkerhed kan bl.a. opgøres ved anvendelse af en internationalt anerkendt metode: CIS-20. Metoden omfatter 20 forskellige kontroller på en række væsentlige områder. Hvert af de 20 mål indeholder målepunkter, således at en samlet måling består af 168 individuelle målepunkter – der samlet angives på en skala fra 0 til 5. Regionerne har i regi af Danske Regioner besluttet, at målet for de enkelte regioners cyber-sikkerhed bør ligge på mindst 3,5. Ved seneste måling i marts 2021 lå Region Syddanmark på et niveau 2,35.

Med dette udgangspunkt skal der i strategiperioden udarbejdes en ny cyber- og informationssikkerhedsstrategi.  Målet er et sikkerhedsniveau på mindst 3,5 på CIS-20 skalaen i løbet af en årrække.

Strategien skal bl.a. anvise hvordan der kan gennemføres en opgradering af regionens operationelle sikkerhedsevne gennem etablering af et såkaldt Security Operations Center (SOC). Hertil kommer en sikring af tilslutning til det centrale analysecenter for cyber- og informationssikkerhed (DCIS Sund).

Herudover skal strategien bl.a. vurdere yderligere behov for modernisering og segmentering af netværket og muligheder for udbredelse af regionens brugerhåndteringsløsning SydID til flere systemer, samt til automatiserede brugeropfølgningskontroller.

Endelig skal strategien vurdere behov for justeringer inden for det medicotekniske område. Der er behov for en optimering af forvaltningsstrukturen på de systemer, der er tilknyttet medicoteknisk udstyr, med fokus på en stabil og sikker drift.

Det vil ske i tæt sammenspil med implementering af den nye MDR-forordning (EU-lovgivning for Medicinsk udstyr).

I 2020 er regionens nye driftscenter ibrugtaget, og med udgangen af 2021 er langt de fleste af regionens driftsopgaver overflyttet til centret. Etablering af driftscentret er en væsentlig forudsætning for stabil drift. Med henblik på at sikre den nødvendige og proaktive driftsunderstøttelse, er Regional IT med budget 2022 tilført et rammeløft, som gør det muligt, at udvikle en proaktiv ”life cycle management” (løbende udskiftning) i forhold til bl.a. hardware, switches og netværk.

Region Syddanmarks centrale integrationsplatform REGIS, som dagligt håndterer udveksling af sundhedsdata i form af omkring 250.000 beskeder mellem regionens interne systemer og med parter som kommuner, praksis og øvrige regioner, står over for en fornyelse for at sikre, at platformen er teknologisk tidssvarende og at driften kan afvikles stabilt og sikkert. 

APPFWU02V