SecurityWorldMarket

2023-11-26

FOI: Digitalisering i vården skapar nya risker

Rapporten föreslår ett arbete för att öka förståelsen för cybersäkerhet hos vårdpersonal och för vård hos it-personal.

It kan göra vård enklare och mer effektiv. Men med it-systemen kommer risker, för intrång och för vård som inte fungerar överhuvudtaget. Forskare på FOI har kartlagt riskerna med hälso- och sjukvårdens digitalisering.

Hälso- och sjukvård har i hög grad digitaliserats inom allt från högspecialiserade delar av sjukhus till trygghetslarm i hemvård.

– Men det är nog informationsflödena som inneburit den största skillnaden. Att alla har tillgång till information när den behövs, säger förste forskare Daniel Eidenskog som i samarbete med Ulrika Eckersand och Eva Mittermaier skrivit rapporten Digitaliseringens risker i hälso- och sjukvård. Den gavs ut i början av 2023 och har bland annat uppmärksammats vid e-hälsokonferensen Vitalis.

Som i många verksamheter som digitaliserats uppstår risker. FOI:s forskare har identifierat tre grundproblem:

1. Osäkra system leder till risker för patienter, personal och omgivning.

2. Olämpliga system minskar effektiviteten eller ökar belastningen på personalen.

3. Opålitlig infrastruktur leder till följdproblem i system som förlitar sig på infrastrukturen.

Daniel Eidenskog konstaterar att det är brister vi brukar se vid digitalisering, men att konsekvenserna kan bli katastrofala inom vården. För att motverka de risker som finns resonerar forskarna i rapporten kring fem aspekter för att göra it-systemen tillförlitliga men ändå ha nödvändig tillgänglighet.

Vårdens skyddsvärda system måste vara tillgängliga för många och exponeras därför för angrepp- och intrångsförsök, någon som ökar vid anslutning till internet. Systemens komplexitet är en starkt bidragande orsak till att ökad exponering är farlig.

– Komplexa system är ett generellt it-problem. Dagens hårdvara tillåter dig att använda mycket komplex mjukvara, säger Daniel Eidenskog. Enligt rapporten leder komplexiteten till oöverskådliga system som i praktiken är omöjliga att säkerhetstesta och analysera på tillräcklig nivå.

Kommunalt och regionalt självstyre ger stor självständighet även när det kommer till it-lösningar.

– 21 regioner kan ge 21 lösningar och 290 kommuner kan ge 290 lösningar, även om det inte är så illa i dag tack vare samarbeten, säger Daniel Eidenskog.

Samordning kan bli problematisk även på mindre enheter där it-säkerhetspersonal och vårdpersonal kan ha svårt att förstå varandra. Rapporten föreslår ett arbete för att öka förståelsen för cybersäkerhet hos vårdpersonal och för vård hos it-personal.

Ofta används ekonomisk effektivitet för att bedöma it-system. Men det är ett svårbedömt mått, då it-systemens kostnader kan vara svåra att räkna fram. Exempelvis kan de leda till merarbete för vårdpersonalen som inte syns i beräkningen.

– Läkare och sjuksköterskor saknar ofta kunskap och intresse för it-frågor. De som köper in måste därför garantera att systemen är lätta att använda, de får inte bli en overhead för vårdpersonal.

Digitaliseringen förstärker hälso- och sjukvårdens redan starka beroende av samhällets infrastruktur. Men när exempelvis elförsörjning är uppbyggd i redundanta nät är digital kommunikation ofta beroende av standardtjänster hos kommersiella operatörer. Där kan kravställningen vara ganska låg, det kan vara ok med korta avbrott.

– Vi har sett mobiloperatörer som varnar för att köra trygghetslarm i deras nät, eftersom de inte är tillräckligt tillförlitliga. Hälso- och sjukvården måste vara medvetna om behoven och förmedla dem till de som bygger nätverken. De som driver näten behöver också förklara för kunderna vilka tjänster de får, säger Daniel Eidenskog.

En it-störning kan exempelvis innebära att journalhantering, receptförskrivning och provanalyser inte fungerar.

– Problemet är om man köpt in system med målet att hantera fler patienter med mindre personal. Men om it-systemen inte funkar eller reservdelar saknas får man ta till gamla metoder, men med färre personer. På så sätt kan effektivisering stå emot krisberedskap.

Daniel Eidenskog berättar om hur det varit oroväckande lätt att hitta exempel där bristande it-säkerhet skapat stor skada inom hälso- och sjukvård.

– Det gjorde lite ont att se alla exempel på händelser som inträffat på grund av it-system eller hanteringen av dem. Det handlar om både dödsfall och psykiskt lidande, säger han.

Daniel Eidenskog ser dock ingen väg tillbaka.

– Men vi måste fortsätta att jobba för att minska riskerna. Alternativet är att skippa all it inom vården, säger han.



Leverantörer
Till toppen av sidan