Risikoen for cyberangrep mot sykehus er reell. Derfor har Akershus universitetssykehus (Ahus) sammen med Sykehuspartner benyttet øvingsarenaen Norwegian Cyber Range til å ha en krisehåndteringsøvelse i cybersikkerhet.
Det går alarm i driftssenteret til Sykehuspartner. De har oppdaget en trussel i systemet og det skjer en dramatisk utvikling på kort tid. Kan pasientjournaler være på avveie? Må datasystemene stenges ned?
Et relevant scenario
Dette er scenarioet som Ahus og Sykehuspartner har øvet på. I lokalene til Norwegian Cyber Range ved NTNU i Gjøvik har de gjennom to dager sett på «hvordan håndteres en slik situasjon, og hva er årsaken og konsekvensen av den?». 37 deltakere med representanter fra organisasjonenes ledelse og IKT-avdelinger har spilt roller og kommunisert med hverandre slik de ville gjort ved en reell hendelse.
– Det vi ser er at scenarioet vi har utarbeidet fungerer godt og er relevant. Scenarioet er tilpasset organisasjonen og er basert på forskning, sier Grethe Østby.
Østby er stipendiat/faglærer ved Institutt for informasjonssikkerhet og kommunikasjonsteknologi ved NTNU i Gjøvik og forsker på hvordan offentlig og privat sektor kan bli best mulig rustet til å stå i et dataangrep. Hun har planlagt øvelsen sammen med representanter fra Ahus og Sykehuspartner.
– Dette er den første fullskala øvelsen i kriseledelse som vi har gjennomført for en ekstern organisasjon, og vi ser frem til å få en evaluering på dette for å få en pekepinn på retningen fremover, sier Østby.
Norwegian Cyber Range tilbyr fullskala simuleringer på å håndtere informasjons- og cybersikkerhetshendelser. Øvingsarenaen ble gjenåpnet i august som en fullverdig og bruksklar arena for testing, trening og øving.
Nyttig øvelse for å øke bevisstheten
– Datasikkerhet og risiko for cyberangrep har kommet sterkere på dagsorden de senere årene. Det har reelle hendelser fra sykehus i utlandet vist oss. Det er bakgrunnen for at vi ønsker å øve vår beredskapsorganisasjon, sier Øystein Mæland, administrerende direktør i Ahus.
Mæland forteller at de er godt drillet i å håndtere beredskapssituasjoner knyttet til medisinske utfordringer og økt pågang av pasienter. Leirskredet i Gjerdrum er et virkelig eksempel på det. Men når det gjelder cyberproblematikken har de noe å lære.
– Det er veldig nyttig å øke bevisstheten og kunnskapen om hvordan vi håndterer cyberscenarioer. Hvordan kan vi opprettholde en forsvarlig pasientbehandling i en situasjon der systemene våre faller ned? Det er en bekymring for oss, sier Mæland.
Det har skjedd
– For et par år siden skjedde en hendelse ved Innlandet sykehus der det ble tatt ut systemdata fra en trusselaktør. Det har skjedd lignende hendelser rundt om. Det er ikke virkelighetsfjernt og det blir mer og mer aktuelt, sier Erlend Hamre, operativt ansvarlig ved driftssenteret i Sykehuspartner.
Sykehuspartner er leverandør av IKT- og sikkerhetstjenester for Ahus. Ved å gjennomføre en øvelse sammen får de mulighet til å øve på ansvarsfordeling og samhandling i en krisesituasjon.
– Det er et veldig stort maskineri med mange som skal koordineres. Grunnen til å ha en øvelse er å se at samhandling faktisk fungerer i det virkelige liv. Det blir vi testet på her, sier Hamre.
Egnede lokaler for beredskapsøvelse
– Tilbakemeldingene så langt er at øvelsen er realistisk og vi har fått tid til å ta gode diskusjoner. Det er fine lokaler her som er veldig egnet og tilpasset slike hendelser. Vi er glade for at vi tok turen til Gjøvik, sier Kåre Magne Stennes, informasjonssikkerhetsleder i Ahus.
Stennes har vært med på planleggingen av øvelsen sammen med blant annet Grethe Østby ved Norwegian Cyber Range. Han håper at de som har deltatt i øvelsen sitter igjen med en mestringsfølelse.
– Vi håper at de som er i operativ og strategisk ledelse skal få en mestringsfølelse på hva de skal gjøre dersom noe som dette inntreffer, sier Stennes.
Nasjonal sikkerhetsmåned
Det var ikke tilfeldig at øvelsen ble lagt til denne datoen. Oktober er nasjonal sikkerhetsmåned.
– Vi plasserte denne øvelsen til sikkerhetsmåneden som et av flere bevisstgjøringstiltak, forteller Kåre Magne Stennes.
Både privatpersoner og virksomheter bruker denne måneden til å øke engasjement, bevissthet og kunnskap om digital sikkerhet.
Grethe Østby har et tips til de som ikke har muligheten til å delta på øvelser som dette.
– Jeg vil anbefale www.ovelse.no. Det er en øvingsportal hvor virksomheter kan trene på håndtering av ulike typer hendelser innen digital sikkerhet, forteller Østby.