- Ansatte i private og offentlige organisasjoner bruker stadig flere mobile enheter til lagring av data i jobbsammenheng, og ikke minst bør helseinstitusjonene være bevisst sitt ansvar for å beskytte all sensitiv informasjon mot uvedkommende, sier administrerende direktør Frank Horntvedt i IT-sikkerhetsselskapet Pointsec Norway.
Undersøkelsen "Mobile device usage in the healthcare sector", gjennomført av Pointsec i samarbeid med British Journal of Healthcare Computing, viser at en femtedel av enhetene som brukes til lagring av data ikke har beskyttelse i det hele tatt, mens to femtedeler bare har adgangsbeskyttelse i form av passord. - Dette er i seg selv heller ikke tilstrekkelig mot hackere, som ved bruk av enkel programvare tilgjengelig på Internett, bruker få sekunder på å omgå et enkelt passord for å få tilgang til dataene på enheten, kommenterer Horntvedt. Han mener situasjonen er like aktuell i andre land, også her til lands.
- Norske helseinstitusjoner markerer seg som innovative og tidlige brukere av ny teknologi. Store beløp investeres i IT-infrastruktur og mobilt utstyr for bedre kommunikasjon og mer effektiv lagring og deling av data. Økt tilgjengelighet på informasjon gir mange, store fordeler og gevinster. Men det skaper samtidig nye, alvorlige sikkerhetsutfordringer fordi sensitiv informasjon lettere kan komme på avveie. Eksempler er personlige pasientdata som personalia og journaler eller sensitiv informasjon om ansatte, avdelinger, passord eller sikkerhetsrutiner.
Bare en av fire respondenter i undersøkelsen bruker passord sammen med andre sikkerhetstiltak, herunder kryptering, biometri, smartkort og tofaktorautentisering. Respondentene var blant annet informasjonsansvarlige, IT-ansvarlige og medisinsk personell. To tredjedeler av 117 som svarte på undersøkelsen var tilknyttet brittiske NHS, og en tredjedel var leverandører til helsesektoren.
USB lagringsenheter/minnebrikker/-kort (76%) var de mest brukte mobile enhetene for lagring av data, etterfulgt av bærbare PC'er (69%), PDA'er/Blackberry-enheter (51%), smarttelefoner (9%) og mobiltelefoner (2%). - Teknologiske fremskritt har gitt mulighet for lagring av flere gigabyte med informasjon, ikke bare i slike enheter, men også i MP3-spillere, digitalkameraer, diktafoner osv, sier Horntvedt. - Den raskt økende bruken av små enheter med stor lagringskapasitet gjør det svært enkelt å ta med seg store mengder sensitive data om institusjoner, ansatte og pasienter, uten at noen har kontroll over det.
Totalt eide 42% av de spurte minst en av de enhetene de brukte på jobb selv, mens halvparten av respondentene innen NHS brukte sine egne enheter til daglig. De typer data som var mest lagret på disse enhetene var personlige kontaktopplysninger (80%), mens tre fjerdedeler lagret arbeidsrelaterte kontaktopplysninger. Nesten to tredjedeler lagret organisasjonsdata og så mye som en femtedel av helsepersonellet lagret sikkerhetsopplysninger som blant annet passord, PIN-koder og bankkontoopplysninger, på enhetene.
Omtrent halvparten av helsepersonellet i undersøkelsen bar med seg pasientopplysninger på en mobil enhet. Flertallet av dem brukte kun passord som sikkerhetsfunksjon. En lege svarte at denne sikkerhetsfunksjonen var OK fordi vedkommende brukte "initialene til en av pasientene som sitt passord". To femtedeler brukte et høyere sikkerhetsnivå, mens noen få ikke hadde noen sikkerhetsfunksjon i det hele tatt. Noen av kommentarene fra de spurte inneholdt en påstand om at det var minimal sjanse for tap eller tyveri og misbruk av dataene. En skrev "mine pasienter har neppe råd til å betale for eventuell utpressing og ville sannsynligvis ikke bry seg om at andre viste noe" (om deres journaler). Et par respondenter mente at sikkerhetsrisikoen ikke var verre enn om informasjonen var lagret på papir.
Over halvparten uttrykte bekymring over at pasientopplysninger ble oppbevart på mobile enheter. Den største bekymringen var at en enhet som ble mistet eller stjålet kunne skade pasientkonfidensialiteten (57%) og at informasjonen "kunne komme i uønskedes hender og bli misbrukt (50%). Dette betyr imidlertid at et større antall ikke uttrykte noen bekymring og mente at sikkerheten var tilfredsstillende.
Antallet enheter som var mistet var i følge Pointsec overraskende høy. En fjerdedel av respondentene hadde selv mistet en enhet, og et likende antall kjente til en kollega som hadde mistet en. Omtrent halvparten av de som hadde mistet en hadde funnet den igjen senere og at hendelsen ikke fikk konsekvenser. Et mindre antall kolleger opplevde imidlertid disiplinære tiltak, og en som hadde mistet en PDA tilhørende en sentral lokal myndighetsperson hadde mistet jobben.
Undersøkelsen viser at et stort antall mennesker bruker sine egne enheter til å ta med seg data om jobbkontakter, organisasjonen og til og med medisinske journaler. To tredjedeler har ingen eller mangelfull beskyttelse og det later til å være manglende bevissthet rundt sikkerhetsrisikoen blant et stort antall brukere. Ca 80% svarte at det fantes en sikkerhets-policy i deres organisasjon, men undersøkelsen viser klart at det er en utbredt og alvorlig svakhet i hvordan disse håndterer risikoen ved bruk av mobile enheter, og hvordan de utøves i praksis.
- IT er i ferd med å revolusjonere helsesektoren, blant annet gjennom digitalisering av pasientinformasjon og bilder og økt bruk av mobile arbeids-, lagrings- og kommunikasjonsenheter i institusjonene, sier Horntvedt. - Hovedformålet er mer effektiv og skånsom pasientbehandling, og dermed bedre utnyttelse av helseresursene. Det handler om å gjøre informasjon lettere tilgjengelig - uavhengig av tid og sted, ved bruk av ny teknologi. Helseinstitusjonene bruker derfor stadig flere mobile dataenheter, og må se sitt ansvar for å beskytte all sensitiv informasjon mot uvedkommende.
Global
