Annons

Annons

Tema: Digital tandvård 2024-04-17

Så skyddar du kliniken mot cyberbrott

Illustration: Mia Nilsson

En cyberattack kan få allvarliga konsekvenser för en tandläkarklinik och dess patienter, som ett lamslaget datornätverk på mottagningen och manipulerade patientjournaler. Med kunskap och tydliga rutiner går det att förstärka skyddet mot detta.

David Lindahl, forskningsingenjör på på Totalförsvarets forskningsinstitut (FOI), säger att kunskapen om cyberhot varierar inom svensk hälso- och sjukvård.

– Den bygger ofta på hur stort intresset är bland användarna eller om man redan har blivit utsatt för ett angrepp. I en stor organisation finns det ofta flera personer som arbetar med it-säkerhet. Reglerna anpassas då snabbare till verkligheten, medan det tar längre tid för små organisationer att ta till sig nya rön och förbättringar, säger han.

David Lindahl. Foto: FOI

– Sekretessbelagda uppgifter måste till varje pris skyddas. Sker inte det kan hackare kryptera dem och till och med ändra dem, säger David Lindahl.

I förlängningen kan krypteringen spilla över på patient­säker­heten, eftersom digitala journalanteckningar, röntgenbilder, uppgifter om diagnoser och planerade behandlingar inte går att komma åt. Behandlingar uteblir och personuppgifter kan läcka ut. Det slår FOI fast i en rapport från 2023.

– I Finland har hackare kommit över journaler hos ett psykoterapicenter för att pressa patienter på pengar, säger David Lindahl.

Först och främst behöver tandläkarkliniker ha en god allmän kompetens runt it-säkerhet. Vårdgivare som sparar all sin data hos en molnleverantör måste vara säker på att leverantören är tillräckligt kompetent.

– Om molnleverantören slås ut försvinner all data. Du behöver en backup som inte är ansluten till systemet. Du ska dra ur sladden till servern vid arbetsdagens slut, då har du tillgång till all data fram till gårdagen. Du kan även samla in dina data och förvara dem hos någon annan.

Ett minimikrav är alltså en fysisk backup-funktion.

– Om du låser in backupen i ett skåp är du även skyddad mot brand- och vattenskador, säger David Lindahl.

Det är vanligt att kliniker använder en server som står på kliniken, men med dagens digitala utveckling är en sådan lösning riskfylld, betonar flera personer som Tandläkartidningen talar med

– Jag har hjälpt en tandläkare där backupen på kliniken kraschat. Det tog en vecka att återställa information som var fyra dagar gammal. Sedan fick resten föras in manuellt, eftersom systemet behöver kommunicera med Försäkringskassan, säger Christian Dybeck, vid it-konsulten Office.

"Du ska dra ur sladden till servern vid arbetsdagens slut."

Han tycker att tandläkare inte ska ha för bråttom när de väljer en molnleverantör.

– Ta inte första bästa. Se till att företaget är seriöst och att det behärskar det här med säkerhet.

Vårdgivare behöver med jämna mellanrum undersöka att tekniken uppfyller systemkraven, säger David Lindahl.

– Ta reda på vilket skydd du behöver. Det här är ett samarbete mellan verksamhetsägaren och it-avdelningen, säger han.

Handfasta tips

Rutiner i vardagen är en av hörnstenarna för att upprätthålla it-säkerheten.

  • Utbilda personalen i it-säkerhet.
  • Se alltid till att hårdvaran är säkerhetsuppdaterad.
  • Använd tvåfaktorsautentisering, det minskar risken för obehörig åtkomst.
  • Ladda inte ner eller installera program utan godkännande från it-kunnig personal.
  • Lås din dator när du lämnar arbetsplatsen.
  • Använd inte klinikens datorer och mobiltelefoner för privata ändamål.
  • Klicka inte på okända länkar.
  • Logga aldrig in på ett okänt eller oskyddat nätverk vid distansarbete.
  • Öppna inte mejl från okända avsändare.
  • Var kritisk mot mejl där avsändaren begär snabba svar och överföringar av pengar.
  • Lösenord ska inte återanvändas. Det gäller framför allt lösenordet till din dator, din laptop, ditt bank-id och ditt primära e-postkonto.

Källor: MSB och FOI

Mathias Antonsson. Foto: Melker Dahlqvist, MSB

Mathias Antonsson, senior analytiker på Myndigheten för samhällsskydd och beredskap (MSB), säger att den som överväger att skriva avtal med en it-leverantör om ett molnbaserat journalsystem måste vara noga vid upphandlingen.

– Det ställer krav på din upphandlingskompetens och it-säkerhetskompetens. Det är viktigt att avtalet har tydliga it-säkerhetskrav. Du måste även ställa tydliga krav på it-säkerheten hos leverantören. Du ska exempelvis ta hänsyn till vilken information du hanterar och vem som har behörighet till den.

Hur ska man då bära sig åt när man utsatts för ett angrepp?

– I bästa fall har kliniken redan tänkt igenom vad den ska göra vid en sådan situation. Det blir enklare att följa en plan som man redan gjort i stället för att agera i en stressig situation, säger Patrik Nilsson, projektledare vid företaget Alfa Ecare, som arbetar med digitala system för välfärdssektorn.

– Vid ett angrepp är ett tips att kontakta leverantören bakom journalsystemet. Denna kan hjälpa till att mildra eventuella skador som kan uppstå vid ett angrepp.

Upptäck mer