Pasientjournaler fra psykiatrien på avveie – de rammede presses for millioner

[NTB - digi]

Pasientjournaler fra psykiatrien på avveie – de rammede presses for millioner

[bojangles]

Kjedelig sak, men det viser jo på en veldig dramtisk måte risikoen om staten ikke er sitt ansvar bevist. Vi har jo sett elendig IT sikkerhet og dårlige og sviktende rutiner også i Norge. Helse sør øst har vel i realiteten sørget for at journaler til alle sine pasienter KAN ha havnet i hendene på kriminelle? Utvidet tilgang ble ved en feil gitt flere titalls personer i forbindelse med outsourcing til lavkostland. Såvidt jeg erindrer ble vel fasiten den gang at ingen kunne vite sikkert om helsedata faktisk kom på avveie. Mer folkelig kan vi vel si at om man gir mange nok anledning til å begge IT krim så vil noen benytte sjansen. Og kanskje er det også en risikofaktor om verdifulle data er tilgjengelig i land som typisk blir brukt til outsourcing, der lønningene gjerne er presset og det er langt mindre stabilitet og kanskje er det også i stor grad et mangelfullt sikkerhetsnett for feks kronisk syke el arbeidsledige. 

Kanskje er allerede pasientdata fra helse sør øst tilgjengelig for en billig penge på darknet? 

[vidor]

Det er mange etterhvert som har merket litt ekstra man får med på kjøpet med billig outsourcing. Beste alternativet er nok å ikke bli syk. Pris og kvalitet pleier som regel å henge sammen enn så lenge.

[Halvor Sølvberg- the MOV]

Må da være opplysninger som «Facebokk» og slike vil kunne være intresert i for å kunne ha god IK (etterkontrolere)  og  utvikle / spisse sine algoritmer (program linjer) opp mot «produktet».

Vil jo være værdt milliarder i en slik samenheng og bringe sosiale medier et godt skritt videre. Kompakt og ensidig påvirkning 24/7, å masseprodusere ensrettethet og «ideoti» (en ideot betyr huleboer, en som ikke er med i demokratiske fora).

Endret 26. oktober 2020 av Halvor Sølvberg- the MOV

[Anders Jensen]

IT var ikke kjernevirksomhet i denne bedriften heller vil jeg tro. Inntil nå selvfølgelig.

[Ratleto]

Nå er jeg hverken programmerer eller har IT-sikkerhet som spesialfelt, men interesserer meg for kombinasjonen IT-sikkerhet/personvern/privatliv. Jeg har en del kunnskap om hvordan IT fungerer sånn generelt, men jeg BRUKER mest IT selv, innenfor mange forskjellige områder.

Det jeg ikke forstår, er hvorfor data som dette i det hele tatt er tilgjengelig fra nettet? Er det jeg som ikke forstår hvordan ting fungerer, eller er det de i IT-delen på denne institusjonen som ikke kan jobben sin overhodet? Jeg tenker at slik type data må da kunne være lukket inne internt i eget nettverk, med f.eks. tilgang utenifra kun via VPN eller tilsvarende.

Jeg kunne kanskje forklart mer nøye hva jeg mener, men dette blir en slags forenkling av problemet for å gjøre det lettere for alle parter.

[nomore]

Ratleto skrev (8 minutter siden):

Det jeg ikke forstår, er hvorfor data som dette i det hele tatt er tilgjengelig fra nettet? Er det jeg som ikke forstår hvordan ting fungerer, eller er det de i IT-delen på denne institusjonen som ikke kan jobben sin overhodet? Jeg tenker at slik type data må da kunne være lukket inne internt i eget nettverk, med f.eks. tilgang utenifra kun via VPN eller tilsvarende.

Hva når uvedkommende har tilgang til å koble seg opp med VPN?

[Ratleto]

24 minutes ago, nomore said:

Hva når uvedkommende har tilgang til å koble seg opp med VPN?

Hehe. Regnet med at det ble første greia, ja.

VPN kan jo gjøres "lett" tilgjengelig, eller ganske så vanskelig med kortlesere og slikt. Jeg vet det fortsatt vil være mulig (ingen datateknologi vil noen gang bli 100% sikker), men si, for diskusjonens skyld, at VPN ikke er årsaken til den ulovlige tilgangen.

[tommyb]

Helsedata hører ikke hjemme i skyen, i alle fall ikke før skyen er mer stabil enn den er i dag. Man kan til og med diskutere om det i det hele tatt bør driftes av kommersielle aktører. 

 

3 hours ago, Ratleto said:

Det jeg ikke forstår, er hvorfor data som dette i det hele tatt er tilgjengelig fra nettet? Er det jeg som ikke forstår hvordan ting fungerer, eller er det de i IT-delen på denne institusjonen som ikke kan jobben sin overhodet? Jeg tenker at slik type data må da kunne være lukket inne internt i eget nettverk, med f.eks. tilgang utenifra kun via VPN eller tilsvarende.

 

Det er flere årsaker: 
1) Kommersialisering. Det er en ideologi. Sannsynligvis den aller viktigste årsaken. 
2) Prisfordel gjennom stordriftsfordeler og anbudskonkurranser. 
3) Krav til beskyttelse balansert opp mot behov for tilgang er en gordisk knute. I praksis har sikkerhet vært en hemsko mot målet om effektivisering, og det har holdt helsevesenet tilbake i flere tiår. Beslutningstakere/endringsdrivere går lei av å sloss mot interne nei-folk og rigide krav til datasikkerhet - og ender opp med å kutte over hele knuten. Knuten = de i IT-delen som kan jobben sin. 

Ny praksis er man fokuserer på tilgjengeliggjøring og outsourcer ansvaret. Kravene til databeskyttelse må senkes for å muliggjøre for skydrift. Dette er også kjent som "modernisering". Det er enklere å bytte statsråd enn å lage en kompleks sikkerhetsløsning som dekker behovene. Over tid forsvinner mediesakene, siden det verste allerede vil ha skjedd første gang og ikke vil generere like mye interesse når det gjentar seg for nte gang.

Endret 26. oktober 2020 av tommyb