“Sikkerhedsniveauet skal ligge så højt som realistisk muligt”

Kønssygdomme. Graviditet. Psykiske lidelser. Sundhedsvæsnet ved meget om dig, som du ikke nødvendigvis synes, andre skal vide. Det arbejder Jens Rastrup Andersen på at sikre.

Han er nemlig tillidsrepræsentant hos sundhed.dk, en netportal, der giver danskerne adgang til personfølsomme sundhedsdata.

I hans øjne er det vigtigt, at man er enige om udgangspunktet, når man går i gang med at arbejde med IT-sikkerhed. Hvis man skal have et højt sikkerhedsniveau på en arbejdsplads, så må man starte med at definere, hvilken slags virksomhed man bedriver, og hvilke typer af data, man skal beskytte.

“Den måde, vi har taget fat i sikkerhedskulturen på, er for det første at gøre os klart, hvad vi er for en virksomhed. Dels er der noget, der hedder medarbejdere og deres mails, men vi har også vores portaler og adgangen til sundhedsdata. I virkeligheden er det to forskellige niveauer. Der er noget på medarbejderniveau, altså indadtil, og så er der det ydre, der handler om nationens adgang til sundhedsdata,” siger han.

Retningslinjer og internationale standarder

Overordnet set bruger medarbejderne i sundhed.dk meget tid på at arbejde med og forholde sig til de retningslinjer, der fastlægger rammerne omkring den digitale sikkerhed.

“Det er vigtigt at stille kritiske spørgsmål til, om retningslinjerne er hensigtsmæssige og om de er til at forstå. Hvis beskrivelsen af processerne er god, så må retningslinjerne være til at efterleve,” mener Jens Rastrup Andersen.

Han forklarer, at de nedskrevne politikker fx handler om, hvor stærkt et password skal være, hvordan man skal forholde sig til brugen af private e-mails og data på sin arbejdscomputer og lignende i samme dur. De aftaler bliver besluttet i sundhed.dks sikkerhedsorganisation, der er etableret for at sikre, at sikkerhed hele tiden er på dagsordenen. De tager udgangspunkt i standarderne ISO 27001 og ISO 27002.

Samtidig skal organisationen også leve op til de databehandleraftaler, der er indgået med en række offentlige instanser, som alle er parter i sundhed.dk. Hver enkelt myndighed har sine egne dataansvarlige, der bestemmer, hvordan deres data skal behandles, og det skal sundhed.dk så leve op til.

Der er ikke nogen hos os, der er bange for at blive fyret, hvis de laver en fejl. Vi har et godt arbejdsmiljø og folk frygter ikke chefen.
Jens Rastrup Andersen, tillidsrepræsentant i sundhed.dk.

Jævnlige tests

Fordi sundhed.dk behandler så mange personfølsomme data, bliver sikkerheden hele tiden testet og kontrolleret. Det sker både internt, men også i samarbejde med eksterne virksomheder, ligesom Rigsrevisionen jævnligt er på besøg.

“Vi har et eksternt sikkerhedsfirma, der laver penetrationstest, hver gang vi laver noget nyt eller har større ændringer i vores systemer. Vi får også lavet et cyber security review, hvor man går ind og kigger på rammesystemerne for at skabe sig et holistisk overblik, og se, om der er ordentlig sammenhæng mellem områderne,” fortæller Jens Rastrup Andersen.
Hidtil har de scoret rigtigt godt i prøverne:

“Det eksterne firma kan give karakter fra et til syv, men vi har selv vurderet, at vi skal ligge på seks. Vi er jo tilgængelige på internettet, og det er i sig selv en trussel. Sikkerhedsniveauet skal ligge så højt, som det er realistisk muligt, og vi har heldigvis også fået den karakter,” siger han.

Ved siden af de interne og eksterne sikkerhedstests bliver sundhed.dk jævnligt besøgt af Rigsrevisionen, og det er også gået rigtigt godt.

“Det er meget enestående, at vi faktisk har fået ros af rigsrevisionen. Det er, fordi vi har et meget naturligt fokus på IT-sikkerhed og en enestående ledelse, der fokuserer rigtigt meget på området. Samtidig er vi som medarbejdere også meget interesserede i emnet, for hvis vi bliver kompromitterede, så kan vi blive lukket ned og i sidste ende miste vores arbejde.”

Julelege giver øget opmærksomhed

Et andet tiltag, der skulle øge sikkerhedsniveauet, var en awareness-kampagne, der var blevet lavet af et eksternt firma.

“De lavede nogle julelege med os. De lagde f.eks. nogle usb-nøgler rundt omkring, for at se om man kunne lokke nogle medarbejdere til at sætte dem i deres maskiner. De indeholdt et program, der var usynligt for virusscanneren, og som kunne keylogge, hvad brugeren tastede på computeren. De sendte også mails ud til medarbejderne, hvor de kunne vinde en præmie, hvis de trykkede på et link,” fortæller Jens Rastrup Andersen.

Og det virkede, fortæller han.

“Vi fik fortalt, at fejl sker, og at det er vigtigt at være åbne om det. Det er ikke for at slå folk i hovedet. Det handler om at skabe opmærksomhed om det, så folk ved, hvor vigtigt det er, at de straks reagerer og kontakter IT-afdelingen, så skaden kan udbedres. Hvis der er mennesker involveret, så sker der fejl,” siger han og fortsætter:

“Der er ikke nogen hos os, der er bange for at blive fyret, hvis de laver en fejl. Vi har et godt arbejdsmiljø og folk frygter ikke chefen. Jeg oplever, at folk på alle måder tør at være åbne og indrømme, hvis der sker fejl,” siger han.

Men de positive tendenser må ikke blive en sovepude.

“Det er fantastisk, at vi har fået ros af Rigsrevisionen. Men derfor skal man aldrig hvile på laurbærrene, for det er virkelig en stor og alvorlig opgave, der skal løftes,” afslutter han.