Lätt för obehörig att komma åt viktiga system

Redan 2011 drog Socialstyrelsen slutsatsen att I-säkerheten vid de största sjukhusen i landet var så dålig att patient­säker­heten hotades. Och företrädare för om­rådet som Dagens Medicin nu pratat med tycks överens om att it- och informationssäkerheten i sjuk­vården fortfarande brister.

– Det finns stora luckor. På vissa ställen är säkerheten ganska bedrövlig, säger Dan Larsson, informationssäkerhetsanalytiker i Stockholm, som har mer än 30 års erfarenhet av att analysera säkerheten inom myndigheter och sjukvård.

Kapa pacemakers som uppgraderas via internet, läsa eller ändra journaler, sätta insulinpumpar ur spel eller ta över dialysutrustning. Det är ett axplock av det som någon, ganska enkelt, skulle kunna göra, enligt Dan Larsson.
Ett av de allra värst utsatta områdena tycker han är telemedicinen, där en sakkunnig expert finns på ett ställe och läkaren som till exempel ska operera en patient på ett annat.

– Det är inte särskilt svårt att gå in och utge sig för att vara experten och felinstruera den som opererar, säger Dan Larsson.

Karin Båtelson, ordförande i Läkarförbundets råd för läkemedel, it och medicinteknik, håller med om att det finns brister. Inte minst när det gäller säkerheten kring journaldata.

– Det finns ett slags naivitet inom sjuk­vården i dag. Dels en uppfattning om att det här inte är känslig information, och dels en uppfattning om att säkerheten inte får kosta. Om någon nu skulle vilja hacka sig in i våra journaler så tror jag att det är ganska lätt, säger hon.

Salvatore Capizzello, verksamhetsutvecklare i Norrbottens läns landsting, var projekt­ledare när Svensk förening för medicinsk teknik och fysik, MTF, för några år sedan tog fram rekommendationer för praktisk tillämpning av regelverk för medicintekniska produkter och anslutna informationssystem.

– Visst finns det fortfarande brister, även om det har blivit bättre, säger han.
Analytikern Dan Larsson efterlyser ett gemensamt förhållningssätt. Om alla förhöll sig till det ledningssystem för informations­säker­het inom hälso- och sjukvården, med checklistor för tillämpning, som redan finns, skulle många problem kunna lösas, anser han.

– Det gäller att få beslutsfattarna i sjuk­vården, de som fördelar de ekonomiska resurserna, att förstå att vi har ett problem. Men det är nästan alltid så att det är först efter att något hänt som man tilldelar en liten dusör av pengar till informationssäkerhetsområdet, säger Dan Larsson.

Enligt Salvatore Capizzello borde vårdgivarna också satsa mer på att höja vårdpersonalens kompetens.

– Systemen blir mer och mer komplexa. Personalen måste kunna hänga med i den utvecklingen. Dessutom borde tekniken anpassas lite bättre efter de behov som finns i sjukvården, säger han.

Karin Båtelson konstaterar dock att det inte bara handlar om tekniska lösningar.

– Om det nu skulle vara så att någon skulle vilja gå in och mixtra med journaldata så måste även vården ha en beredskap för det. Vi måste få resurser så att vi har möjlighet att mötas, tänka efter och värdera information och inte bara förlita oss på det som står i journalen.

Dan Larsson betonar att hans uppgift är att titta på konsekvenserna om det värsta skulle inträffa. Om det som är nästan osannolikt trots allt sker.

– Mitt perspektiv är inte vanliga individer, utan vad som skulle kunna hända om någon högt uppsatt person med viktig samhällsfunktion, exempelvis statsministern, hamnar på sjukhus, säger han och tillägger:

– Men om det skulle kunna hända de här högt uppsatta personerna så skulle det även kunna hända andra. Möjligheten finns där och det är sannolikt att väldigt få eller ens någon skulle upptäcka vad som hänt eller vem som gjort det.

KATRIN TRYSELL