3 oktober, 2018
MSB:s granskning av landstingens informationssäkerhet visar på stor förbättringspotential
Sveriges landsting får bakläxa när MSB granskar deras IT- och informationssäkerhetsarbete. I en ny rapport pekar de på bristerna och ger förslag på åtgärder för att höja nivån på säkerhetsarbetet.
MSB har tillsammans med Sveriges kommuner och landsting, Socialstyrelsen och eHälsomyndigheten tagit fram en rapport där de kartlägger och analyserar landstingens informationssäkerhetsrutiner inom hälso- och sjukvårdsverksamheten. Granskningen baseras på en enkätundersökning i kombination med djupintervjuer med sex av landstingen. Samtliga 21 landsting som tog emot enkäten har svarat på frågorna som bland annat berör ledningens engagemang, risk- och incidenthantering och utbildning, med undantag för ett landsting som bara besvarade delar av enkäten.
I rapporten framkommer det bland annat att upphandling är det område där landstingen ligger efter som mest, där tidspress har uppgetts som det främsta hindret. Det fastslås även att personuppgiftshantering är det område som engagerar organisationernas ledningar mest, sannolikt som en konsekvens av GDPR.
8 riktlinjer för att höja säkerhetsnivån
Baserat på underlaget från undersökningen har MSB dragit slutsatsen att det finns stor förbättringspotential inom arbetet med informationssäkerhet bland landstingen. De sammanfattar detta genom åtta riktlinjer som de uppmanar landstingen att arbeta konsekvent med för att höja nivån på sin IT-säkerhet:
- Informationssäkerhetspolicyn ska hållas aktuell och omfatta all verksamhet, inklusive medicinteknik och ICS/SCADA.
- Funktionen för samordning och utveckling av informationssäkerhet i landstinget ska tilldelas tillräckligt med resurser för arbetet, både centralt och lokalt i verksamheterna.
- Ledningen ska informera sig om hur nuläget och utvecklingen ser ut.
- En handlingsplan utifrån informationssäkerhetsmålen, nuläget och tilldelade resurser ska beslutas av ledningen.
- Ett etablerat arbetssätt för riskanalyser ska användas.
- Informationen som hanteras i verksamheten ska identifieras. Klassa sedan informationen efter hur allvarliga konsekvenserna skulle bli av bristande informationssäkerhet
- Informationssäkerhetsrelaterade krav ska upprättas och användas vid upphandlingar.
- Uppföljning av genomfört arbete ska ske.
Här kan du läsa rapporten i sin helhet.
Kontakta oss
Vi erbjuder flera kontaktvägar och återkopplar så snart som möjligt. Har du känslig information ber vi dig att maila krypterat.
08-545 333 00
Vi svarar dygnet runtinfo@sentor.se
För generella förfrågningarsoc@sentorsecurity.com
Använd vår PGP-nyckel