Et stigende offentligt fokus på informationssikkerhed. Skrappere lovgivningskrav og en ny EU-persondataforordning. Et alvorligt trusselsbillede for it-angreb, senest eksemplificeret ved blandt andet WannaCry-ormen, som ramte det engelske sundhedsvæsen.

Offentlige myndigheder står over for et stort arbejde med at sikre, at danskernes data både er tilgængelige og godt beskyttet. Det gælder også de danske regioner, som blandt andet har ansvaret for sygehusvæsenet.

I februar i år fik Region Hovedstaden udarbejdet en Risk Assessment-rapport fra KMD. Rapporten bygger på analyser af regionens modenhed inden for informationssikkerhed. I det arbejde har KMD brugt standarderne ISO27001 og PAS555 (Cyber Security Risk Governance and Management) som ramme.

Rapporten er lavet i samarbejde med regionen, blandt andet i form af workshops, og kommer med en række anbefalinger og prioriteringer af de aktiviteter, som regionen kan vælge at sætte i gang for at højne it-sikkerhedsniveauet. Vi har talt med Thor Hvidbak, sektionschef for Systemoptimering & Informationssikkerhed i Center for It, Medico og Telefoni i Region Hovedstaden.

Hvorfor er informationssikkerhed et højt prioriteret område for jer som region?

”Vi er nogle af dem, som i vores it-systemer behandler flest følsomme data fra borgere, så det er helt åbenlyst et område, der bør have en meget prominent rolle i vores aktiviteter – og jeg ser her en positiv bevægelse i retning af stigende strategisk bevågenhed, ikke kun grundet forordningen. Vores arbejde skal tage hensyn til, at det skal være nemt – særligt for klinikerne i til tider kritiske arbejdssituationer – at kunne tilgå data. Det betyder, at der er behov for enkel og hurtig adgang, ofte også på tværs af organisatoriske skel. Kombinationen af et stort, heterogent systemlandskab og de forretningsmæssige behov for fleksibilitet og tilgængelighed giver tilsammen nogle helt særlige rammevilkår for vores arbejde med informationssikkerhed. Vi er ofte nødt til at finde alternativer til at lukke ned og skærme af, og her bliver medarbejdernes egen forståelse for, hvordan de bør omgås data, en vigtig komponent. Ud over sygehusdriften som det primære har Region Hovedstaden også store forskningsmiljøer, hvor der i sagens natur behandles patientdata, hvilket vi skal håndtere og regulere. På begge områder er det afgørende, at borgerne fortsat kan have tillid til regionens håndtering af deres data. Endvidere er det på de interne linjer tilsvarende afgørende, at klinikere, forskere og andre medarbejdere kan have fuld tillid til datas integritet.”

Hvorfor har I valgt at få udarbejdet en Risk Assessment-rapport?

”Vi havde brug for at grundlægge en systematisk og ledelsesmæssigt forankret tilgang til informationssikkerhedsområdet. Vi stod i en catch-22-agtig situation (at noget bider sig selv i halen, red.), hvor den nødvendige beslutning om en samlet opprioritering af området forudsatte et metodisk og planlægningsmæssigt grundlag, som vi netop havde svært ved at tilvejebringe. For at komme ud af denne fastlåste situation valgte vi at søge ekstern bistand. I arbejdet med rapporten var der særligt to ting, som var vigtige for os: Dels at den etablerede en samlet ramme og et prioriteringsgrundlag, så vi kunne se på tværs af de mange udfordringer og anbefalinger, som vores folk kender til. Dels at den systematisk talte ind i vores organisatoriske kontekst og modenhed, frem for blot at komme med generiske hyldevare-anbefalinger. Særligt prioriteringsgrundlaget vil jeg gerne fremhæve, da sikkerhed er et område, der potentielt kan bruges mange penge på. Det betyder, at man skal have rigtig godt styr på, hvad man prioriterer, og ikke mindst hvordan prioriteringerne spiller sammen med organisationens øvrige modenhed.”

Hvad vil I bruge rapporten til i Region Hovedstaden?

”Rapporten skal omsættes til operationelle handlingsplaner, der samordnes i et program. Vi skal med andre ord et spadestik dybere og gøre anbefalingerne til vores egne. Rapporten vil i dét arbejde være vores ramme og dialogværktøj i den videre planlægning og rådgivning af koncernen.”

Hvad er næste skridt i arbejdet med informationssikkerhed i Region Hovedstaden?

”Der er beskrevet nogle oplagte ’lavthængende frugter’ i rapporten, og dem er vi allerede i gang med at eksekvere på. Samtidig lægger vi sporene til det videre arbejde; konkret organisation og governance. Et reelt modenhedsløft kræver dog, at området prioriteres på tværs af regionen, så vi kan skabe kapacitet til at gennemføre og fastholde det forandringsprogram, der er rapportens hovedanbefaling. Regionens skærpede topledelsesmæssige fokus gør mig her forhåbningsfuld. Nok så vigtigt er dette fokus samtidig en af nøglerne til at sikre en styrket forankring af det ledelsesmæssige ansvar for sikkerhed bredt i regionens ledelseslag, hvor sikkerhed går fra at være noget, som it-folkene kun tager sig af, til også at blive en del af ledelsesopgaven tæt på dem, som kender de lokale arbejdsgange og produktionen.”