Sundheds- og Ældreudvalget 2018-19 (1. samling)
SUU Alm.del Bilag 178
Offentligt
2001404_0001.png
S T R A T E G I 2 0 19 - 2 0 2 2
En styrket, fælles indsats for
cyber- og informationssikkerhed
Strategi for cyber- og informationssikkerhed i sundhedssektoren
 SUU, Alm.del - 2018-19 (1. samling) - Bilag 178: Orientering om Strategi 2019-2020 - En styrket, fælles indsats for cyber- og informationssikkerhed, fra sundhedsministeren
2001404_0002.png
 SUU, Alm.del - 2018-19 (1. samling) - Bilag 178: Orientering om Strategi 2019-2020 - En styrket, fælles indsats for cyber- og informationssikkerhed, fra sundhedsministeren
2001404_0003.png
Indhold
04
FORORD
Øget tryghed i et digitaliseret sundhedsvæsen
06
INDLEDNING
En styrket, fælles indsats
12
HVOR ER VI I DAG
Alle i vores sektor værner om borgerne og deres sundhedsdata
16
BAGGRUND OG ANALYSE
Trusler, sårbarheder og risici i sektoren
22
DEN STRATEGISKE MATRICE
Vi skal styrke cyber- og informationssikkerheden i fire spor
24
SPOR 1 – FORUDSE
Bedre forudsigelse af potentielle angreb og hændelser
1.1. Identifikation af kritiske forretningsprocesser og it-systemer på tværs af sektorens aktører
1.2. Bedre overblik over sundhedssektorens sårbarheder og risici
1.3. Effektiv koordination af varsler
1.4. Klarhed over den enkelte aktørs rolle og ansvar
1.5. Deltagelse i relevante, internationale fora om cyber- og informationssikkerhed på
sundhedsområdet
30
SPOR 2 – FOREBYGGE
Bedre mulighed for at forebygge angreb og hændelser
2.1. Sikkerhed starter hos medarbejderne
2.2. Styrket teknisk cyber- og informationssikkerhed i sektorens systemer og it-infrastruktur
2.3. Håndtering af sikkerheden i legacy-systemer og -udstyr
2.4. Øget sikkerhed i IoT-enheder
2.5. Skærpede sikkerhedskrav til it-leverandører
2.6. Udbygning af sektorens sikkerhedsarkitektur
38
SPOR 3 – OPDAGE
Bedre mulighed for at opdage angreb og hændelser
3.1. Løbende tests af sikkerheden i sundhedssektorens systemer og udstyr
3.2. Etablering af funktioner til overvågning og analyse af aktivitet på sundhedssektorens
it-systemer og -infrastruktur
3.3. Effektiv håndtering af mistanke om hændelser
44
SPOR 4 – HÅNDTERE
Hurtig håndtering i tilfælde af angreb og hændelser
4.1. Hændelseshåndtering
4.2. Etablering af tværgående it- og cyberberedskab
4.3. Beredskabsøvelser for fælles systemer og forsyningskæder
52
FRA TANKE TIL HANDLING
Udmøntning og løbende evaluering, prioritering og udvikling
 SUU, Alm.del - 2018-19 (1. samling) - Bilag 178: Orientering om Strategi 2019-2020 - En styrket, fælles indsats for cyber- og informationssikkerhed, fra sundhedsministeren
2001404_0004.png
FORORD
Øget tryghed i et digitaliseret
sundhedsvæsen
Sikkerhed har altid været en central opgave for
sundhedsvæsenet. Sundhedsvæsenet er sat i verden
for at sikre borgernes liv og helbred. En grundlæg-
gende forudsætning er, at behandling og pleje finder
sted i trygge og sikre rammer. Sikkerhed er således
allerede en integreret del af hverdagen i det danske
sundhedsvæsen.
I takt med at digitale løsninger spiller en stadig stør-
re rolle i vores sundhedsvæsen, handler trygge og
sikre rammer også om stærk
cyber- og informationssikker-
hed. Med digitale værktøjer vil
vi kunne tilbyde borgere og på-
rørende et trygt, tilgængeligt og
sammenhængende sundheds-
væsen. Et sundhedsvæsen hvor
borgeren let kan komme i kontakt med egen læge og
sygehuset, hvor alle relevante oplysninger følger
borgeren gennem behandlingsforløb på tværs af
sundhedsvæsenet, og hvor behandling og pleje kan
ske tættere på borgeren. Fordelene er mange. Det
danske sundhedsvæsen er allerede blandt de mest
digitaliserede i verden, og potentialet er fortsat stort.
Med digitaliseringen følger dog også nye udfordrin-
ger. Efterhånden som personer og udstyr på regio-
nale sygehuse, i kommunal pleje, på praksisområdet
og hos andre sundhedsaktører bliver stadig mere
forbundne, stiger kompleksiteten i systemerne og
dermed
sundhedsvæsenets
sårbarhed over for blandt andet
cyberangreb også. Truslerne er
mangeartede og i konstant ud-
vikling. Det er en udfordring, vi
tager meget alvorligt. Med de
mange igangværende cyber- og
informationssikkerhedsindsatser ude i de enkelte
dele af sundhedsvæsenet har vi et stærkt udgangs-
punkt for at løfte hele sektoren samlet.
Det danske sundhedsvæsen
er allerede blandt de mest
digitaliserede i verden, og
potentialet er fortsat stort.
4
 SUU, Alm.del - 2018-19 (1. samling) - Bilag 178: Orientering om Strategi 2019-2020 - En styrket, fælles indsats for cyber- og informationssikkerhed, fra sundhedsministeren
2001404_0005.png
Borgernes forhold til sundhedsvæsenet hviler på et
fundament af tillid. Tillid til at der bliver stillet den
rette diagnose. Tillid til at borgeren får den rigtige
behandling og pleje. Og ikke mindst tillid til at sund-
hedsvæsenet passer godt på de følsomme person-
oplysninger, som borgerne afleverer til sundheds-
væsenet i forbindelse med et behandlingsforløb. Det
er afgørende at fastholde borgernes tillid. Både bor-
gere og sundhedsprofessionelle skal fortsat kunne
stole på, at oplysninger opbevares forsvarligt og sik-
kert, at de relevante oplysninger kan tilgås, når det
er nødvendigt for behandlingen, og ikke mindst at de
er korrekte, så behandlingen sker på rette grundlag.
Et sammenhængende sundhedsvæsen kræver også
øget sammenhæng i forhold til cyber- og informa-
tionssikkerhed. Det er vigtigt, at vi løfter i flok. Det
er nødvendigt for at kunne høste frugterne af den
fortsatte digitalisering. Et højt, fælles cyber- og
informationssikkerhedsniveau er et afgørende ele-
ment i arbejdet med at fremtidssikre vores sund-
hedsvæsen.
Med denne strategi vil vi styrke den fælles, koordi-
nerede indsats på området yderligere. Vi ønsker at
sætte en fælles dagsorden og retning for sundheds-
væsenets videre arbejde med cyber- og informa-
tionssikkerhed. Sammen påbegynder vi således en
fælles rejse, men endemålet er ikke givet med stra-
tegien alene. Det er en rejse, der indebærer, at
sundhedssektorens parter i fællesskab løbende i
strategiperioden prioriterer aktiviteter og aftaler
finansiering heraf. Med strategien tager vi de første
fælles skridt.
POLITISK CYBERFORUM FOR SUNDHEDSSEKTOREN
Ellen Trane Nørby
Sundhedsminister
Jette Skive
Formand for KL’s Sundheds- og Ældreudvalg
Stephanie Lose
Formand for Danske Regioner
5
 SUU, Alm.del - 2018-19 (1. samling) - Bilag 178: Orientering om Strategi 2019-2020 - En styrket, fælles indsats for cyber- og informationssikkerhed, fra sundhedsministeren
2001404_0006.png
INDLEDNING
En styrket, fælles indsats
Sundhedssektoren er en samfundskritisk sektor i
Danmark. Tusindvis af borgere er hver dag i berøring
med sundhedsvæsenet, og for mange er det kritisk, at
sundhedssektorens aktører kan levere rettidig be-
handling og pleje. Derfor er det vigtigt, at sektoren kan
sikre, at den rette behandling og pleje er tilgængelig
for borgerne, når de behøver den.
Den danske sundhedssektor er i dag kendetegnet af
stigende digitalisering. Hver dag håndteres store
mængder sundhedsoplysninger digitalt på tværs af
mange behandlingsenheder. Sektorens aktører arbej-
der i retning af stadig mere samarbejde om behand-
ling og pleje ved hjælp af digital udveksling af informa-
tioner, for at borgerens vej gennem sundhedsvæsenet
opleves så tryg og sømløs som muligt. Dermed stiger
afhængigheden af digital infrastruktur og dataudveks-
ling på tværs.
Digitaliseringen har mange fordele. De mange for-
bundne enheder og aktører og de store mængder
følsomme personoplysninger gør dog også sundheds-
sektoren sårbar over for cyber- og informations-
sikkerhedshændelser – som fx et potentielt cyberan-
greb. Derfor er det nødvendigt med en styrket, fælles
cyber- og informationssikkerhedsindsats for at sikre
den fortsatte behandling og pleje af borgerne og be-
skytte deres følsomme personoplysninger.
Sundhedssektoren består af mange forskellige aktø-
rer, der er forskelligt organiseret og drevet; fra store,
regionale sygehuse med højt specialiseret behandling
og kommunale enheder for opfølgning og pleje til min-
dre lægepraksisser, klinikker og apoteker. Hovedpar-
ten af sektoren er offentligt drevet, men en lang række
mindre aktører – fx praktiserende læger, speciallæger,
fysioterapeuter, tandlæger mfl. – er selvstændige
erhvervsdrivende.
Derudover rummer sektorens portefølje af it-syste-
mer en udpræget kompleksitet, der håndteres for-
skelligt; fra store systemlandskaber i regionerne med
tusindvis af brugere og understøttet af nogle af lan-
dets største it-afdelinger til små systemer i praksis-
sektoren med få brugere. Hertil kommer udfordringer
med legacy-systemer og IoT-enheder med varierende
sikkerhedsniveau – som det også ses i andre sam-
fundskritiske sektorer. Udskiftning er ofte ikke mulig
eller hensigtsmæssig, da kritisk behandling afhænger
af brugen af et bestemt apparatur. Endelig benytter
sundhedssektoren sig af mange leverandører af både
it-systemer og infrastruktur. Sikkerhed og stabilitet er
derfor væsentlige faktorer i brugen af eksterne leve-
randører i sektoren. Det øger behovet for fælles basis-
krav til styring og opfølgning på leverandørernes sik-
kerhed.
6
 SUU, Alm.del - 2018-19 (1. samling) - Bilag 178: Orientering om Strategi 2019-2020 - En styrket, fælles indsats for cyber- og informationssikkerhed, fra sundhedsministeren
2001404_0007.png
FIGUR
Seks overordnede sårbarheder
En stor medarbejderkreds
1
En heterogen sektor
6
Sundhedssektorens
sårbarheder
2
Et stort og komplekst
it-landskab
Store datasamlinger
5
4
Legacy-systemer og
IoT-enheder
3
Afhængighed af fælles
digital infrastruktur
1. En stor medarbejderkreds
Sektoren har flere hundredetusinde medarbejdere
med vidt forskellig forudsætninger for cyber- og in-
formationssikkerhed.
2. Et stort og komplekst it-landskab
Sektoren er bundet sammen af et stort og komplekst
landskab af systemer, der behandler personhenfør-
bare oplysninger, hvilket gør arbejdet med cyber- og
informationssikkerhed til en kompleks og omfangsrig
opgave.
3. Afhængighed af fælles digital infrastruktur
Sektoren er tæt digitalt forbundet gennem bl.a. Sund-
hedsdatanettet, som bruges til udveksling af patient-
data mv. Manglende tilgængelighed, integritet og for-
trolighed kan have store konsekvenser for sektoren
og ikke mindst borgerne.
4. Legacy-systemer og IoT-enheder
Kritisk medicinsk udstyr kan være forbundet til legacy-
systemer, som ikke nødvendigvis har et tilstrækkeligt
sikkerhedsniveau, men ikke kan udskiftes. Samtidig er
antallet af meget forskelligartede IoT-enheder stigende
i sektoren.
5. Store datasamlinger
I patientjournaler, nationale registre og kliniske kvalitets-
databaser opbevares store mængder af data om aktivite-
ten i sundhedsvæsenet, som det er væsentligt at opret-
holde tilgængeligheden, integriteten og fortroligheden af.
6. En heterogen sektor
Sektoren rummer aktører med forskellige modenheds-
niveauer ift. cyber- og informationssikkerhed – lige fra
store, højtspecialiserede sygehuse med tusindvis af
ansatte til små, private lægeklinikker med få ansatte.
7
 SUU, Alm.del - 2018-19 (1. samling) - Bilag 178: Orientering om Strategi 2019-2020 - En styrket, fælles indsats for cyber- og informationssikkerhed, fra sundhedsministeren
2001404_0008.png
Cyber- og informationssikkerhed handler ikke kun om
teknologi, men i lige så høj grad om mennesker. En
stærk sikkerhedsindsats stiller også krav til medar-
bejdernes viden og kompetencer. Sundhedssektorens
mange tusinde medarbejdere har vidt forskellige for-
udsætninger, når det kom-
mer til cyber- og informati-
onssikkerhed. Derfor er der
også behov for en målrettet
indsats i forhold til sektorens
mange forskellige faggrup-
per med henblik på at understøtte et fælles, højt
videns- og kompetenceniveau vedrørende cyber- og
informationssikkerhed og en robust sikkerhedskultur
på tværs af sundhedssektorens aktører.
Udfordringerne forbundet med cyber- og informati-
onssikkerhed er både mangeartede og omskiftelige.
Formålet med sundhedssektorens strategi er at un-
derstøtte et samlet sikkerhedsløft i sektoren, således
at sektorens kapacitet til at forudse, forebygge, opda-
ge og håndtere cyber- og informationssikkerheds-
hændelser styrkes. Det kræver en helhedsorienteret
indsats og tværgående koordinering samt et højt, fæl-
les sikkerhedsniveau på tværs af sektorens aktører.
En væsentlig komponent i en helhedsorienteret ind-
sats er, at den er risikobaseret. Sundhedssektoren er
en samfundskritisk sektor, men det er ikke alle pro-
cesser og it-systemer, der er lige kritiske for sektoren
som helhed. Sikkerheden i sektoren som helhed skal
hæves til et niveau, der står
mål med risikoen for cyber-
og informationssikkerheds-
hændelser under hensyn-
tagen til sundhedsområdets
overordnede produktivitet,
kvalitet og krav om tilgængelighed. Det er nødvendigt
at vurdere, hvor risiciene er størst, og hvor en potentiel
sikkerhedshændelse ville være mest kritisk med hen-
blik på at prioritere sikkerhedstiltagene i forhold til de
væsentligste risici.
Dette skal bidrage til at sikre en helhedsorienteret
indsats på tværs af hele sektoren. Det er også helt
centralt, at der er balance mellem håndteringen af de
enkelte risici og hensynet til den almindelige behand-
ling og pleje. I sidste ende skal sikkerhedstiltagene
netop understøtte kvaliteten i behandlingen og plejen
og borgernes tillid til den.
Cyber- og informationssikkerhed
handler ikke kun om teknologi, men
i lige så høj grad om mennesker.
8
 SUU, Alm.del - 2018-19 (1. samling) - Bilag 178: Orientering om Strategi 2019-2020 - En styrket, fælles indsats for cyber- og informationssikkerhed, fra sundhedsministeren
2001404_0009.png
FA K TA
Cybersikkerhed og informationssikkerhed.
To størrelser, men kun ét sigte:
INFORMATIONSSIKKERHED
Informationssikkerhed er en bred betegnelse for de
samlede foranstaltninger til at sikre informationer i
forhold til fortrolighed, integritet (ændring af data)
og tilgængelighed. I arbejdet indgår blandt andet
organisering af sikkerhedsarbejdet, påvirkning af
adfærd, processer for behandling af data, styring af
leverandører samt tekniske sikringsforanstaltninger.
CYBERSIKKERHED
Cybersikkerhed omfatter beskyttelse imod de sik-
kerhedsbrud, der opstår som følge af angreb mod
data eller systemer via en forbindelse til et eksternt
net eller system. Arbejdet med cybersikkerhed foku-
serer således på sårbarheder ved sammenkob-
lingen mellem systemer, herunder forbindelser til
internettet.
TRYGHED FOR BORGEREN
Alene en indsats der tager udgangspunkt i både cyber-
og informationssikkerhed kan skabe et grundlag,
hvor den enkelte borger kan føle tryghed i forhold til
sin behandling og sine sundhedsdata.
9
 SUU, Alm.del - 2018-19 (1. samling) - Bilag 178: Orientering om Strategi 2019-2020 - En styrket, fælles indsats for cyber- og informationssikkerhed, fra sundhedsministeren
2001404_0010.png
Sektoren har ansvar for at opretholde sikkerheden
omkring borgerens behandling og sundhedsdata, således
at fortrolighed, integritet og tilgængelighed bevares
I den nationale strategi for cyber- og informationssikkerhed lægges der vægt på, at fordelingen af ansvaret
for arbejdet med cyber- og informationssikkerhed i Danmark bygger på sektoransvarsprincippet: Den
myndighed, der har ansvaret for en opgave til daglig, bevarer ansvaret i forbindelse med konkrete cyber-
og informationssikkerhedshændelser. Ansvaret for cyber- og informationssikkerhed i sundhedssektoren
ligger således hos sundhedssektorens aktører ved konkrete hændelser.
 SUU, Alm.del - 2018-19 (1. samling) - Bilag 178: Orientering om Strategi 2019-2020 - En styrket, fælles indsats for cyber- og informationssikkerhed, fra sundhedsministeren
2001404_0011.png
 SUU, Alm.del - 2018-19 (1. samling) - Bilag 178: Orientering om Strategi 2019-2020 - En styrket, fælles indsats for cyber- og informationssikkerhed, fra sundhedsministeren
2001404_0012.png
HVOR ER VI I DAG
Alle i vores sektor værner om
borgerne og deres sundhedsdata
Cyber- og informationssikkerhed er ikke en ny opgave
for sundhedssektoren. Strategien bygger oven på et
godt fundament blandt sektorens aktører for at styrke
den fælles indsats i sektoren yderligere.
Den øgede opmærksomhed på cyber- og informati-
onssikkerhed kommer til udtryk i en række tiltag på de
forskellige niveauer i sundhedssektoren:
fællesoffentligt
niveau har regeringen, Danske
Regioner og KL med ønsket om at skabe en fælles,
overordnet forståelse for udviklingen af trusler mod
sundhedssektoren nedsat et politisk cyberforum med
deltagelse af sundhedsministeren, formanden for Dan-
ske Regioner samt formanden for KL’s Sundheds- og
Ældreudvalg. Forummet har til formål at drøfte politiske
hensyn og afvejninger med hensyn til cyber- og informa-
tionssikkerhed og sikre gensidig orientering, erfarings-
deling og videnopbygning for at styrke samarbejdet om
cyber- og informationssikkerhed i sundhedssektoren.
statsligt
niveau arbejdes der i Sundheds- og Ældre-
ministeriets koncern systematisk med styrket cyber-
og informationssikkerhed, bl.a. med gennemførelsen
af awareness-kampagner, certificering af medarbej-
dere samt løbende sikkerhedstests og beredskab-
søvelser. Desuden er der lagt vægt på et højt cyber- og
informationssikkerhedsniveau i forbindelse med etab-
leringen af Nationalt Genom Center og etableringen af
Sundhedsdataplatformen, der skal understøtte Sund-
hedsdatastyrelsens nuværende og fremtidige behov
for modtagelse, opbevaring og levering af sundheds-
data. Blandt andet behandles data altid i pseudonymi-
seret form, så data ikke umiddelbart kan føres tilbage
til en identificerbar, fysisk person.
Regionerne
har bl.a. udarbejdet en politisk linje for
informationssikkerhed som en del af det regionale ud-
spil Sundhedsdata i spil. I forlængelse af den politiske
linje har regionerne godkendt en fællesregional infor-
mationssikkerhedspolitik, som understøtter, at de føl-
ger ISO 27001. Dertil har regionerne udarbejdet et
tværregionalt pejlemærke for informationssikkerhed,
der støtter op om implementeringen af den politiske
linje og sikrer en fælles tilgang til indsatsen for infor-
mationssikkerhed og databeskyttelse i regionerne.
Arbejdet med pejlemærkets tværregionale leverancer
har været med til yderligere at styrke arbejdet og høj-
ne det faglige niveau i den enkelte region; bl.a. gen-
nem fælles rammer, retningslinjer og sparring. Der er
i forlængelse af pejlemærket nedsat en permanent,
12
 SUU, Alm.del - 2018-19 (1. samling) - Bilag 178: Orientering om Strategi 2019-2020 - En styrket, fælles indsats for cyber- og informationssikkerhed, fra sundhedsministeren
2001404_0013.png
tværregional styregruppe for informationssikkerhed.
Parallelt hermed arbejder hver enkelt region med at
sikre, at informationssikkerhed vedvarende er en inte-
greret del af de ydelser, der leveres til borgere, patien-
ter, virksomheder, samarbejdspartnere mfl.
På det
kommunale
område har man som led i den
fælleskommunale digitaliseringsstrategi etableret
Sikkerhedsprogrammet, der skal understøtte kom-
munernes arbejde med at øge sikkerheden for alle
områder i kommunerne, herunder implementeringen
af principperne i ISO 27001
og udvikling af elementer til
kommunernes fælles ram-
mearkitektur med fokus på
datasikkerhed. Dertil skal
programmet understøtte øget
opmærksomhed på datasik-
kerhed blandt ledere såvel
bygning i kommunernes informationssikkerhed og
tilknyttede juridiske funktioner.
For
praksissektoren
understøtter Praktiserende
Lægers Organisation (PLO) en generelt øget opmærk-
somhed på informationssikkerhed blandt læger i al-
men praksis, hvor PLO i 2017 har udarbejdet informa-
tionsmateriale vedrørende sektorens juridiske ansvar
samt vejledning i relevant sikkerhedsadfærd i forhold
til beskyttelse af systemer og persondata. Dette
arbejde er i 2018 fulgt op af informationstiltag rettet
direkte mod landets alment
praktiserende læger.
Med udgangspunkt i den eksi-
sterende indsats skal strate-
gien styrke sektorens sam-
lede kapacitet i forhold til
cyber- og informationssikker-
Strategien skal sikre, at sektorens
cyber- og informationssikkerhed
koordineres og samstemmes
på tværs af sundhedsområdets
aktører.
som medarbejdere i kommunerne. For at støtte op om
og sikre et kontinuerligt fokus på informationssikker-
hed i de enkelte kommuner gennemfører KL frem mod
2020 en årlig analyse af kommunernes modenheds-
niveau på sikkerhedsområdet. Dette har ført til viden
om, hvilke områder der med størst fordel kan arbej-
des med i fællesskab, således at KL kan støtte kom-
munernes arbejde. Analysens resultater har bl.a. af-
født, at der i højere grad end tidligere i de enkelte
kommuner afsættes midler til at højne bevidstheden
om informationssikkerhed blandt de ansatte. Dertil
har analysen bidraget til en øget kompetenceop-
FIGUR
hed. Strategien skal sikre, at sundhedssektorens
cyber- og informationssikkerhedsindsats koordineres
og samstemmes på tværs af sundhedsområdets aktø-
rer, herunder at den tværgående viden- og erfarings-
udveksling styrkes. Den skal skabe større klarhed
vedrørende de enkelte aktørers roller og ansvar –
både i det daglige arbejde og i tilfælde af sikkerheds-
hændelser. Dertil skal strategien sikre, at indsatsen
prioriteres og løbende videreudvikles, således at
sundhedssektorens sikkerhedsniveau og -tiltag følger
udviklingen i forhold til nye typer af cyber- og informa-
tionssikkerhedshændelser.
Kortlægning af sektorens kritiske og fælles processer og systemer
HØJ KRITIK ALITET
Den grønne cirkel
angiver i
simplificeret form det over-
ordnede fokus for initiativer-
ne defineret i nærværende
strategi. Der sigtes kort
sagt på at øge sikkerheden,
hvor konsekvenserne af
en hændelse er størst, og
hvor systemerne har flest
snitflader. En kortlægning af
sektorens kritiske og fælles
processer og systemer er
følgelig en primær opgave
for sektoren. Opgaven er
defineret under Indsats-
LOK AL
FÆLLES
LAV KRITIK ALITET
område 1, se Initiativ 1.1.
13
 SUU, Alm.del - 2018-19 (1. samling) - Bilag 178: Orientering om Strategi 2019-2020 - En styrket, fælles indsats for cyber- og informationssikkerhed, fra sundhedsministeren
2001404_0014.png
 SUU, Alm.del - 2018-19 (1. samling) - Bilag 178: Orientering om Strategi 2019-2020 - En styrket, fælles indsats for cyber- og informationssikkerhed, fra sundhedsministeren
2001404_0015.png
HVOR ER VI I DAG
På sikkerhedsområdet er vi allerede
i dag midt i en opbygning
I sundhedssektoren sker der på nuværende tidspunkt
en generel kapacitetsopbygning i forhold til cyber- og
informationssikkerhed; bl.a. med indsatsen for at følge
ISO 27001 og EU’s regulering på området i form af Net-
og informationssikkerhedsdirektivet (NIS) og databe-
skyttelsesforordningen (GDPR).
EU’s Net og informationssikkerhedsdirektiv
(NIS-direktivet)
NIS-direktivet trådte i kraft den 9. maj 2018 og har til
formål at øge sikkerheden i de tjenester, der er afhæn-
gige af net- og informationsteknologi. Sundhedssek-
toren skal således leve op til direktivets krav om bl.a.
indberetning af sikkerhedshændelser og udpegning af
operatører af væsentlige tjenester.
EU’s Persondataforordning (GDPR)
EU’s Persondataforordning (GDPR) trådte i kraft den
25. maj 2018 og indeholder en lang række bestemmel-
ser, som har til formål at sikre beskyttelsen af person-
henførbare oplysninger; bl.a. lægger GDPR vægt på
databeskyttelse gennem design og standardindstillin-
ger og giver mulighed for at pålægge myndigheder og
virksomheder anselige bøder for brud på datasikker-
heden. Et sygehus i Barreiro i Portugal er som et af
Sundhedssektorens aktører er enige om at følge
ISO 27001
Det er obligatorisk for alle statslige myndigheder i
Danmark at følge ISO 27001, en international standard
for styring af informationssikkerhed. Regionerne har
tilsvarende valgt at følge ISO 27001, ligesom kommu-
nerne har forpligtet sig på at leve op til standardens
principper. I udarbejdelsen af strategien og dens initia-
tiver har sundhedssektoren også ladet sig inspirere af
National Institute of Standards and Technologys (NIST)
rammeværktøj for cybersikkerhed. Truslerne er dy-
namiske, og derfor har det været nødvendigt at sup-
plere den obligatoriske ISO 27001's fokus på styring og
processer med nogle hurtigere, mere agile og tek-
niske tiltag for at understøtte en helhedsorienteret
styrkelse af sektorens kapacitet i forhold til cyber- og
informationssikkerhed.
de første blevet idømt en bøde i regi af GDPR. Bøden
på €400.000 skyldtes, at sygehuset ikke havde pas-
sende tiltag på plads til at begrænse personalets
adgang til patienternes data, og at sygehuset ikke i
tilstrækkelig grad havde sikret fortroligheden, integri-
teten, tilgængeligheden og modstandsdygtigheden for
sine it-systemer.
> Den nationale strategi udstikker rammen
I National strategi for cyber- og informationssikkerhed 2018-2021 stilles der krav om, at sundhedssek-
toren i lighed med fem øvrige samfundskritiske sektorer (energi-, finans-, søfart-, tele- og transport-
sektoren) udarbejder en sektorspecifik strategi for cyber- og informationssikkerhed og etablerer en
decentral cyber- og informationssikkerhedsenhed (DCIS) i sektoren. Med offentliggørelsen af denne
strategi og etableringen af den decentrale cyber- og informationssikkerhedsenhed (DCIS) for sund-
hedssektoren i Sundhedsdatastyrelsen tages der højde for disse krav, ligesom strategiens initiativer
løfter en række øvrige krav stillet i den nationale strategi.
15
 SUU, Alm.del - 2018-19 (1. samling) - Bilag 178: Orientering om Strategi 2019-2020 - En styrket, fælles indsats for cyber- og informationssikkerhed, fra sundhedsministeren
2001404_0016.png
B A G G R U N D O G A N A LY S E
Trusler, sårbarheder
og risici i sektoren
 SUU, Alm.del - 2018-19 (1. samling) - Bilag 178: Orientering om Strategi 2019-2020 - En styrket, fælles indsats for cyber- og informationssikkerhed, fra sundhedsministeren
2001404_0017.png
Cyber- og informationssikkerhed i sundhedssektoren
knytter an til en række forskellige trusler, sårbarheder
og risici. Sammen med den teknologiske udvikling og
opfindsomheden på modstandersiden gør det cyber-
og informationssikkerhed til en kompleks og dynamisk
udfordring. Det er et område i konstant bevægelse.
 SUU, Alm.del - 2018-19 (1. samling) - Bilag 178: Orientering om Strategi 2019-2020 - En styrket, fælles indsats for cyber- og informationssikkerhed, fra sundhedsministeren
2001404_0018.png
TRUSLER , SÅRBA RHEDER OG RISICI I SEK TOREN
Trusselsbilledet er både
komplekst og i bevægelse
Der sker en løbende udvikling af sundhedssektoren
og dens opgaver og arbejdsgange – bl.a. som følge af
digitaliseringen af sundhedsvæsenet og behandlings-
og plejeopgaver, som rykkes tættere på borgeren.
I takt hermed sker der også en løbende udvikling i
trusselsbilledet.
Center for Cybersikkerhed offentliggjorde i juli 2018
den første sektorspecifikke trusselvurdering for sund-
hedssektoren. Baseret på internationale erfaringer
peger Center for Cybersikkerhed på, at truslen mod
sundhedssektoren kan komme fra en række forskelli-
ge aktører – såvel statslige aktører som kriminelle –
og i mange forskellige former; lige fra spionageopera-
tioner til ransomware og phishing-mails.
Cyber- og informationssikkerhed i sundhedssektoren
kan dog ikke reduceres til et spørgsmål om at beskyt-
te sektoren mod fjendtligsindede, eksterne aktører
alene. Sideløbende med Center for Cybersikkerheds
trusselsvurdering er der som led i strategiarbejdet
udarbejdet en sårbarhedsvurdering for at kortlægge
og vurdere sundhedssektorens forskellige sårbar-
heder. Sårbarhedsvurderingen peger overordnet på
en række sårbarheder i sundhedssektoren, som det
er særligt væsentligt at sætte ind imod; bl.a. legacy-
systemer og -udstyr, leverandørstyring, aktørernes
gensidige afhængigheder i de forskellige teknologiers
samspil samt cyber- og informationssikkerhedskom-
petencer blandt sektorens mange forskellige medar-
bejdergrupper.
På baggrund af sektorens sårbarhedsvurdering og
Center for Cybersikkerheds trusselvurdering er der
derfor udarbejdet en samlet risikovurdering for sund-
hedssektoren for at understøtte en helhedsorienteret
og risikobaseret tilgang til cyber- og informationssik-
kerhed. Her er konsekvenserne for sundhedssektoren
vurderet ud fra de forskellige risici, hvilket bidrager til
at kunne prioritere sektorens indsats i forhold til de
største risici og mest kritiske processer og systemer.
Derudover bidrager risikovurderingen til at vurdere
det passende sikkerhedsniveau i forhold til den enkel-
te risiko sammenholdt med både konsekvenserne ved
en hændelse og hensynet til den almindelige behand-
ling og pleje af borgerne.
Sundhedssektoren er en samfundskritisk sektor, og
mange af sektorens processer og systemer er per
definition kritiske. Det er dog ikke dem alle, der er lige
kritiske for sektoren som helhed. Således er de pro-
cesser og systemer, som indgår direkte i behandlin-
gen og plejen af borgerne og håndtering og opbevaring
af deres følsomme personoplysninger, alt andet lige
mere kritiske end processer og systemer, der under-
støtter det administrative arbejde i sektoren. Fx er det
mere kritisk, hvis sektorens laboratoriesystemer eller
billeddiagnostik påvirkes sammenlignet med sekto-
rens processer og systemer til afregning og udbetalin-
ger. På samme måde er processer og systemer, som
anvendes og drives af flere af sektorens aktører i fæl-
lesskab også mere kritiske end systemer, som kun
anvendes lokalt af én enkelt aktør.
> Center for Cybersikkerhed vurderer, at truslen fra
• cyberspionage mod den danske sundhedssektor er
meget høj
• cyberkriminalitet mod den danske sundhedssektor er
meget høj
• cyberaktivisme mod den danske sundhedssektor er
lav
• cyberterrorisme mod den danske sundhedssektor er
lav
18
 SUU, Alm.del - 2018-19 (1. samling) - Bilag 178: Orientering om Strategi 2019-2020 - En styrket, fælles indsats for cyber- og informationssikkerhed, fra sundhedsministeren
2001404_0019.png
FIGUR
Processen bygger på fortløbende og
gentagne analyser og konklusioner
Analyse af
trusler
Analyse af
sårbarheder
+
Det skal sikres, at strategien baseres
Det er afgørende, at strategi-
processen ikke er en éngangs-
foreteelse, men en dynamisk
proces, som løbende gentages
og opdateres med fokus på ud-
vikling og læring. På den bag-
grund evalueres og justeres
strategiens initiativer for at sikre
sundhedssektorens fortsatte
robusthed i takt med udviklingen.
på en helhedsorienteret og risikobaseret
Sandsynlighed x konsekvens
tilgang, og at strategiens indsatser
dermed sætter ind der, hvor behovet og
effekten er størst.
Risiko-
vurdering
Strategi for cyber- og informationssik-
kerhed i sundhedssektoren hviler på
tre ben: En trusselsvurdering for sund-
hedssektoren, en sårbarhedsvurdering
og en samlet risikovurdering
Opdateret strategisk indsats
 SUU, Alm.del - 2018-19 (1. samling) - Bilag 178: Orientering om Strategi 2019-2020 - En styrket, fælles indsats for cyber- og informationssikkerhed, fra sundhedsministeren
2001404_0020.png
 SUU, Alm.del - 2018-19 (1. samling) - Bilag 178: Orientering om Strategi 2019-2020 - En styrket, fælles indsats for cyber- og informationssikkerhed, fra sundhedsministeren
2001404_0021.png
WannaCry-angrebet og det
britiske sundhedsvæsen
Sundhedssektorens høje grad af digitalisering indebærer en større sårbarhed over for cyber- og informations-
sikkerhedshændelser. Fx blev det britiske sundhedsvæsen National Health Service (NHS) i maj 2017 ramt af
ransomware som led i det såkaldte WannaCry-angreb, der inficerede flere hundredetusinde computere verden
over. WannaCry gjorde en lang række systemer utilgængelige og medførte over 19.000 aflyste behandlinger, og
at mange patienter måtte omdirigeres. Samlet anslås WannaCry at have kostet NHS omkring £92 mio.
 SUU, Alm.del - 2018-19 (1. samling) - Bilag 178: Orientering om Strategi 2019-2020 - En styrket, fælles indsats for cyber- og informationssikkerhed, fra sundhedsministeren
2001404_0022.png
D E N S T R AT EG I S K E M AT R I C E
Vi skal styrke cyber- og
informationssikkerheden i fire spor
For at sundhedssektoren løbende kan modstå og tage
hånd om aktuelle og kommende trusler og risici, er
der behov for en tværgående styrkelse af sektorens
samlede og fælles cyber- og informationssikkerheds-
indsats. Derfor er strategien inddelt i fire indsatsom-
råder: Strategien sigter mod at
styrke sundhedssektorens ka-
pacitet til at forudse, forebygge,
opdage og håndtere cyber- og
informationssikkerhedshæn-
delser. For hvert indsatsområde
er der udpeget en række konkrete initiativer, som sek-
torens aktører i fællesskab vil løfte. Nogle initiativer
bygger videre på indsatser, som allerede er i gang hos
enkelte aktører, mens andre initiativer består af nye,
fælles tiltag i sektoren. Samtidig skal nogle af strate-
giens initiativer medvirke til at binde en række aktivi-
teter i sektoren sammen i tværgående aktiviteter via
sundhedssektorens decentrale cyber- og informations-
sikkerhedsenhed (DCIS) i Sund-
hedsdatastyrelsen.
Tilgangen skal sikre, at der med
strategien anlægges en helheds-
orienteret tilgang til indsatsen
med at styrke sundhedssektorens samlede sikker-
hedsniveau, så alle aspekter af cyber- og informa-
tionssikkerhed bliver adresseret og vurderet.
Alle aspekter af cyber- og
informationssikkerhed bliver
adresseret og vurderet.
22
 SUU, Alm.del - 2018-19 (1. samling) - Bilag 178: Orientering om Strategi 2019-2020 - En styrket, fælles indsats for cyber- og informationssikkerhed, fra sundhedsministeren
2001404_0023.png
DE FIRE SPOR
En logisk systematik styrer
arbejdet med at skabe tryghed
1
FORUDSE
Identifikation af kritiske
forretningsprocesser
og it-systemer på tværs
af sektorens aktører
Bedre overblik over
sundhedssektorens
sårbarheder og risici
Effektiv koordination
af varsler*
Klarhed over den enkelte
aktørs rolle og ansvar
Deltagelse i relevante,
internationale fora om
cyber- og informations-
sikkerhed på
sundhedsområdet
2
FOREBYGGE
Sikkerhed starter hos
medarbejderne*
Styrket teknisk cyber-
og informationssikkerhed
i sektorens systemer
og it-infrastruktur*
Håndtering af sikker-
heden i legacy-systemer
og -udstyr*
Øget sikkerhed i
IoT-enheder
Skærpede sikkerheds-
krav til it-leverandører
Udbygning af sektorens
sikkerhedsarkitektur*
3
OPDAGE
Løbende tests af
sikkerheden i sundheds-
sektorens systemer
og udstyr*
Etablering af funktioner
til overvågning og
analyse af aktivitet
på sundhedssektorens
it-systemer og
-infrastruktur*
Effektiv håndtering af
mistanke om hændelser
4
HÅNDTERE
Hændelseshåndtering*
Etablering af tværgående
it- og cyberberedskab*
Beredskabsøvelser
for fælles systemer og
forsyningskæder
Udmøntning og organisering
*Initiativer hvor én eller flere aktiviteter forudsætter særskilt aftale om finansiering.
 SUU, Alm.del - 2018-19 (1. samling) - Bilag 178: Orientering om Strategi 2019-2020 - En styrket, fælles indsats for cyber- og informationssikkerhed, fra sundhedsministeren
2001404_0024.png
SPOR 1 - FORUDSE
Bedre forudsigelse af
potentielle angreb og hændelser
 SUU, Alm.del - 2018-19 (1. samling) - Bilag 178: Orientering om Strategi 2019-2020 - En styrket, fælles indsats for cyber- og informationssikkerhed, fra sundhedsministeren
2001404_0025.png
Bedre forudsigelse af potentielle cyber- og informa-
tionssikkerhedshændelser er afgørende for at kunne
sætte effektivt ind med de rette sikkerhedstiltag i
tide på de rette niveauer. Det er en væsentlig forud-
sætning for, at sektoren som helhed og de enkelte
aktører kan træffe de rette beslutninger om det
nødvendige sikkerhedsniveau.
 SUU, Alm.del - 2018-19 (1. samling) - Bilag 178: Orientering om Strategi 2019-2020 - En styrket, fælles indsats for cyber- og informationssikkerhed, fra sundhedsministeren
2001404_0026.png
SPOR 1
Mulige angreb og hændelser
kan i mange tilfælde forudsiges
Evnen til at forudsige mulige cyber- og informations-
sikkerhedshændelser er blandt andet betinget af viden
om kritiske processer og systemer, et overblik over
sårbarheder og risici, hurtig og effektiv formidling af
varsler om mulige sikkerhedshændelser under opsej-
ling til alle relevante aktører,
klarhed over roller og ansvar
og deling af den nyeste viden
på området med relevante,
internationale partnere.
På den baggrund skal stra-
tegien sikre, at sundhedssektoren som helhed får en
mere præcis beskrivelse af sektorens kritiske proces-
ser, systemer og gensidige afhængigheder samt en
mere fælles og ensartet forståelse af de sårbarheder
og risici og roller og ansvar, der er forbundet hermed.
Samtidig skal strategien sik-
Center for Cybersikkerheds trusselsvurderinger for
sektoren skal ledsages af sårbarheds- og risikovurde-
ringer både for hele sektoren og for de enke lte aktører
med udgangspunkt i ISO 27001.
Eksempelvis kan der tages
udgangspunkt i informationer om
angreb i udlandet, som kan ramme
sundhedsvæsenet i Danmark.
re, at alle relevante aktører i
sektoren hurtigere og mere
præcist bliver varslet i til-
fælde af fx angreb i udlandet,
så de har et klart billede af
den aktuelle trusselsituation
og kan igangsætte de rette forholdsregler. Dette skal
styrkes ved, at der etableres klare og sikre kommuni-
kationslinjer – såvel mellem sektoren og Center for
Cybersikkerhed som internt i sektoren på tværs af
alle aktører.
> Det er vigtigt, at trusselsvurderinger kommunikeres
Center for Cybersikkerhed udarbejder vurde-
ringer af cybertruslen specifikt mod sund-
hedssektoren, som bidrager til at understøtte
sundhedssektorens cyber- og informations-
sikkerhedsindsats. Det er væsentligt, at alle
relevante aktører i sundhedssektoren orien-
teres hurtigt og effektivt om opdaterede trus-
selsvurderinger, så der lokalt kan ageres
derefter. Den decentrale cyber- og informa-
tionssikkerhedsenhed (DCIS) i Sundhedsdata-
styrelsen skal derfor i samarbejde med re-
sten af sektoren fastlægge procedurer for,
hvordan sektorens aktører informeres om
trusselvurderingerne.
26
 SUU, Alm.del - 2018-19 (1. samling) - Bilag 178: Orientering om Strategi 2019-2020 - En styrket, fælles indsats for cyber- og informationssikkerhed, fra sundhedsministeren
2001404_0027.png
SPOR 1 - FORUDSE
Initiativer
1
Identifikation af kritiske forretningsprocesser
og it-systemer på tværs af sektorens aktører
2
Bedre overblik over sundhedssektorens sårbarheder og risici
3
Effektiv koordination af varsler
4
Klarhed over den enkelte aktørs rolle og ansvar
5
Deltagelse i relevante, internationale fora om cyber-
og informationssikkerhed på sundhedsområdet
27
 SUU, Alm.del - 2018-19 (1. samling) - Bilag 178: Orientering om Strategi 2019-2020 - En styrket, fælles indsats for cyber- og informationssikkerhed, fra sundhedsministeren
2001404_0028.png
I N I T I AT I V 1.1.
Identifikation af kritiske forretningsprocesser og it-systemer
på tværs af sektorens aktører
For at sikre en målrettet tilgang til arbejdet med cyber- og informationssikkerhed er det nødvendigt at udpege
sektorens mest kritiske forretningsprocesser samt de it-systemer, som understøtter dem. DCIS faciliterer i en
årlig proces udarbejdelsen af en oversigt over sektorens kritiske forretningsprocesser, it-systemer og forsynings-
kæder med input fra sundhedssektorens aktører. Første version udarbejdes inden udgangen af 1. halvår 2019.
I N I T I AT I V 1. 2 .
Bedre overblik over sundhedssektorens sårbarheder og risici
Det er nødvendigt løbende at vedligeholde lokale og tværgående vurderinger af sårbarheder og risici. Det er de
enkelte aktørers ansvar at udarbejde og opdatere egne sårbarheds – og risikovurderinger samt sikre ledelses-
forankring. DCIS udarbejder i 2019 i samarbejde med sektorens aktører vejledninger til at understøtte arbejdet,
således at vurderingerne over tid bliver metodisk ensartede. Vejledningerne vil desuden være obligatoriske at
følge for sårbarheds – og risikovurderinger af fælles, prioriterede, kritiske systemer. DCIS har desuden til opga-
ve at udarbejde den samlede sårbarheds- og risikovurdering for hele sektoren.
I N I T I AT I V 1. 3 .
Effektiv koordination af varsler
Sektorens evne til at forudsige mulige angreb og sikkerhedshændelser skal styrkes ved, at DCIS i 1. kvartal 2019
etablerer en samlet model for effektiv koordination af varsler om mulige angreb og sikkerhedshændelser. Det
omfatter bl.a. en første version af en funktion til modtagelse og afsendelse af varsler, abonnementslister, regler
for udsendelse af varsler mv. Det skal sikre, at alle relevante parter hurtigere og mere præcist får viden om, at
et angreb kan være undervejs, så der kan igangsættes de rette forholdsregler. Modellen implementeres af sek-
torens aktører inden for egne budgetter. Etablering af en udvidet løsningsmodel forudsætter særskilt aftale.
I N I T I AT I V 1. 4 .
Klarhed over den enkelte aktørs roller og ansvar
Kendskab til eget ansvar og egen rolle i forbindelse med cyber- og informationssikkerhed er afgørende for, at
hver aktør i sundhedssektoren kan reagere hurtigt og effektivt i tilfælde af cyber- og informationssikkerheds-
hændelser. I forbindelse med udarbejdelsen af strategi for cyber- og informationssikkerhed i sundhedssektoren
er der udarbejdet en første beskrivelse af de enkelte aktørers roller og ansvar på tværs af sektoren. DCIS får til
opgave i løbet af 1. halvår 2019 at videreudvikle dette arbejde og vedligeholde det med inddragelse af sektorens
aktører. DCIS skal desuden sikre, at de omfattede aktører er bekendt med indholdet heraf.
I N I T I AT I V 1. 5 .
Deltagelse i relevante, internationale fora om cyber- og
informationssikkerhed på sundhedsområdet
Cyber- og informationssikkerhed og mulige tiltag til at imødegå et skiftende trusselsbillede er i hastig udvikling.
Det er derfor afgørende, at cyber- og informationssikkerhedsindsatsen i sundhedssektoren baseres på seneste,
internationale viden og tendenser inden for teknologi, analysemetoder mv. DCIS skal derfor identificere og del-
tage i relevante, internationale fora, hvor cyber- og informationssikkerhed i relation til sundhedssektoren be-
handles, og etablere et netværk til relevante cyber- og informationssikkerhedsenheder på sundhedsområdet.
DCIS skal desuden sikre, at relevant viden herfra videreformidles til sundhedssektorens aktører.
28
 SUU, Alm.del - 2018-19 (1. samling) - Bilag 178: Orientering om Strategi 2019-2020 - En styrket, fælles indsats for cyber- og informationssikkerhed, fra sundhedsministeren
2001404_0029.png
I N I T I AT I V 1. 4 .
"Kendskab til eget ansvar og egen
rolle i forbindelse med cyber- og
informationssikkerhed er afgørende
for, at hver aktør i sundhedssektoren
kan reagere hurtigt og effektivt."
 SUU, Alm.del - 2018-19 (1. samling) - Bilag 178: Orientering om Strategi 2019-2020 - En styrket, fælles indsats for cyber- og informationssikkerhed, fra sundhedsministeren
2001404_0030.png
SPOR 2 - FOREBYGGE
Bedre mulighed for at
forebygge angreb og hændelser
 SUU, Alm.del - 2018-19 (1. samling) - Bilag 178: Orientering om Strategi 2019-2020 - En styrket, fælles indsats for cyber- og informationssikkerhed, fra sundhedsministeren
2001404_0031.png
Evnen til at forebygge cyber- og informationssikker-
hedshændelser afhænger af en lang række faktorer
– tekniske, organisatoriske, menneskelige mv. – som
alle må være på plads, for at risikoen for en uønsket
hændelse effektivt kan reduceres.
 SUU, Alm.del - 2018-19 (1. samling) - Bilag 178: Orientering om Strategi 2019-2020 - En styrket, fælles indsats for cyber- og informationssikkerhed, fra sundhedsministeren
2001404_0032.png
SPOR 2
Effektiv forebyggelse handler
i høj grad om kultur
Det er helt afgørende for at sikre effektiv forebyggelse,
at der i hele sektoren er en stærk og robust cyber- og
informationssikkerhedskultur. Dette omfatter bl.a., at
medarbejderne har den fornødne viden og kompeten-
cer i forhold til cyber- og informationssikkerhed, så
følsomme personoplysninger håndteres forsvarsligt
og sikkert, og medarbejderne er opmærksomme på fx
phishing-mails og andre typer
af angrebsforsøg.
Tekniske sikkerhedstiltag er
natur ligvis også vigtige i be-
stræbelserne på at forebygge
cyber- og informationssikker-
hedshændelser, men hvis ikke medarbejdernes viden
og forståelse af behovet for disse tiltag er på plads, er
der en risiko for, at de uforvarende kan komme til at
omgå dem i en travl hverdag. Derfor skal bedre og
mere kompetenceudvikling for sundhedssektorens
mange forskellige medarbejdergrupper højne deres
opmærksomhed på – og viden om – cyber- og informa-
tionssikkerhed og sikre en passende sikkerheds-
adfærd.
Ud over awareness-aktiviteterne rettet mod sekto-
rens medarbejdere sætter strategien også ind med en
række andre indsatser for at styrke sektorens evne til
at forebygge cyber- og informationssikkerhedshæn-
delser. Med udgangspunkt i en risikobaseret tilgang
For at styrke indsatsen for forebyggelse på tværs af
sektoren vil sundhedssektorens aktører arbejde med
fælles basissikkerhedskrav i kontrakter med de leve-
randører, der leverer it-løsninger og it-drift til sekto-
ren. De fælles leverandørkrav vil bl.a. tage udgangs-
punkt i det arbejde med leverandørkontrakter, som
igangsættes med den nationale strategi for cyber- og
informationssikkerhed. Derudover vil sektorens aktø-
rer i fællesskab også arbejde på at udbygge og styrke
sektorens sikkerhedsarkitektur gennem bl.a. øget fo-
kus på databeskyttelse gennem design.
Som led i styrkelsen af den tekniske sikkerhed i sekto-
ren er der også behov for at tage hånd om den udfor-
dring, som håndtering af lega-
cy-systemer udgør. Mange af
disse systemer lever ikke nød-
vendigvis op til gældende sik-
kerhedsstandarder, men det
kan være svært eller uhen-
sigtsmæssigt at udskifte eller
opdatere dem, da de ofte er nødvendige for behandlin-
gen. En yderligere udfordring i denne henseende er
IoT-enheder, som er tilsluttet internettet.
skal der blandt andet lokalt såvel som på de fælles
it-systemer implementeres de rette tekniske sikker-
hedsforanstaltninger til at forebygge angreb og sikker-
hedshændelser.
Effektiv forebyggelse kræver,
at der i hele sektoren er en
tilstrækkelig stærk cyber- og
informationssikkerhedskultur.
> Sikkerhedspolitikker
Sundhedssektorens aktører skal hver især have
anvendte sikkerhedspolitikker og konkrete ret-
ningslinjer, der retter sig mod deres medarbejdere
og processer. Den aktørspecifikke sikkerheds-
politik skal opdateres svarende til behovet og
udviklingen i trusselsbilledet.
32
 SUU, Alm.del - 2018-19 (1. samling) - Bilag 178: Orientering om Strategi 2019-2020 - En styrket, fælles indsats for cyber- og informationssikkerhed, fra sundhedsministeren
2001404_0033.png
SPOR 2 – FOREBYGGE
Initiativer
1
Sikkerhed starter hos medarbejderne
2
Styrket teknisk cyber- og informationssikkerhed i sektorens
systemer og it-infrastruktur
3
Håndtering af sikkerheden i legacy-systemer og -udstyr
4
Øget sikkerhed i IoT-enheder
5
Skærpede sikkerhedskrav til it-leverandører
6
Udbygning af sektorens sikkerhedsarkitektur
33
 SUU, Alm.del - 2018-19 (1. samling) - Bilag 178: Orientering om Strategi 2019-2020 - En styrket, fælles indsats for cyber- og informationssikkerhed, fra sundhedsministeren
2001404_0034.png
I N I T I AT I V 2 .1.
Sikkerhed starter hos medarbejderne
Høj opmærksomhed blandt medarbejderne i sundhedssektoren på risikoen for cyber- og informationssikker-
hedshændelser er en nøglefaktor i arbejdet med at styrke sektorens evne til at forebygge mulige cyber- og
informationssikkerhedshændelser. Derfor skal alle medarbejdere i sundhedsvæsenet uddannes i cyber- og
informationssikkerhed; fx ved brug af de uddannelsespakker om cyber- og informationssikkerhed, som er
udviklet i regi af den fællesoffentlige digitaliseringsstrategi 2016-2020, eller gennem lokale initiativer. DCIS får
desuden til opgave at indgå i et igangværende arbejde med at styrke fokus på cyber- og informationssikkerhed i
relevante uddannelsesforløb, herunder på de sundhedsfaglige uddannelser. Desuden skal kendskabet til cyber-
og informationssikkerhed styrkes på alle ledelsesniveauer, ligesom der skal sikres de rette kompetencer for de
medarbejdere, der til daglig arbejder med cyber- og informationssikkerhed i sundhedssektoren. Gennemførslen
af fælles aktiviteter forudsætter særskilt aftale.
I N I T I AT I V 2 . 2 .
Styrket teknisk cyber- og informationssikkerhed
i sektorens systemer og it-infrastruktur
Den tekniske cyber- og informationssikkerhed i sundhedssektorens it-infrastruktur skal styrkes gennem etab-
leringen af de rette og tidssvarende tekniske foranstaltninger med henblik på at øge kapaciteten til at beskytte
data og systemer og forebygge cyber- og informationssikkerhedshændelser. Derfor er der i skabelonen for den
fællesoffentlige databehandleraftale på sundhedsområdet indsat en række tekniske krav, som skal afholdes ved
benyttelsen af aftalen. Samtidig igangsættes der som led i en national målsætning om end-to-end-kryptering i
sundhedssektorens it-infrastrukturer en målrettet indsats for at endepunktskryptere (eller begrundet fravalg)
de services, som regionerne udstiller via Sundhedsdatanettet. Ydermere bør indkøb og ibrugtagning af ny tekno-
logi planlægges for at understøtte, at sektoren forholder sig strategisk til ny teknologi med udgangspunkt i en
risikobaseret tilgang.
I N I T I AT I V 2 . 3 .
Håndtering af sikkerheden i legacy-systemer og -udstyr
Sundhedssektorens aktører skal tage hånd om sikkerheden i legacy-systemer og -udstyr, som ikke overholder
tidssvarende standarder for sikkerhed. DCIS faciliterer derfor, at der i 2. halvår 2019 påbegyndes en kortlægning
af sektorens legacy-systemer og -udstyr ud fra en risikobaseret tilgang og med særligt fokus på de systemer,
der er identificeret som fælles, kritiske systemer. Yderligere fælles indsatser forudsætter særskilt aftale.
> Almindelig it-driftshygiejne er en væsentlig faktor
Almindelig it-driftshygiejne er et væsentligt fundament for arbejdet med cyber- og informationssikker-
hed. Den kan naturligvis ikke stå alene over for det skærpede trusselsbillede, men det er afgørende at
have styr på den daglige it-drift og have basale processer og procedurer på plads for at sikre et godt og
robust udgangspunkt for det øvrige arbejde med cyber- og informationssikkerhed. Det er vigtigt, at de
enkelte aktører dokumenterer og benytter veldefinerede og velafprøvede processer for fx anskaffelse af
nye systemer, videreudvikling og vedligehold af eksisterende it-systemer samt opdateringer og konfigu-
rationsændringer. Almindelig it-driftshygiejne inkluderer bl.a. anerkendte metoder til fx life cycle ma-
nagement og change management. Dette bidrager til, at der til enhver tid opretholdes et ensartet, højt
og robust sikkerhedsniveau.
34
 SUU, Alm.del - 2018-19 (1. samling) - Bilag 178: Orientering om Strategi 2019-2020 - En styrket, fælles indsats for cyber- og informationssikkerhed, fra sundhedsministeren
2001404_0035.png
I N I T I AT I V 2 .1.
"Høj opmærksomhed blandt medar-
bejderne i sundhedssektoren på
risikoen for cyber- og informations-
sikkerhedshændelser er en nøgle-
faktor i arbejdet med at styrke
sektorens evne til at forebygge."
 SUU, Alm.del - 2018-19 (1. samling) - Bilag 178: Orientering om Strategi 2019-2020 - En styrket, fælles indsats for cyber- og informationssikkerhed, fra sundhedsministeren
2001404_0036.png
 SUU, Alm.del - 2018-19 (1. samling) - Bilag 178: Orientering om Strategi 2019-2020 - En styrket, fælles indsats for cyber- og informationssikkerhed, fra sundhedsministeren
2001404_0037.png
I N I T I AT I V 2 . 4 .
Øget sikkerhed i IoT-enheder
Sikkerheden i sektoren skal styrkes i forhold til IoT-enheder, der er forbundet til et netværk. Dette skal i første
omgang ske ved, at Lægemiddelstyrelsen og DCIS i 2019 indleder et strategisk samarbejde om at dele relevant
viden, drøfte nyeste regulatoriske krav på området mv. I den forbindelse vil Center for Cybersikkerhed i løbet
af 2019 udarbejde en særskilt vurdering af cybertruslen mod netværksforbundet medicinsk udstyr. Desuden
faciliterer DCIS, at sektorens aktører kan dele viden og erfaringer, herunder best practices for håndtering af
medicinsk udstyr.
I N I T I AT I V 2 . 5 .
Skærpede sikkerhedskrav til it-leverandører
Sundhedssektorens aktører benytter i stort omfang private leverandører ved anskaffelse og udvikling af fx ny
teknologi, ligesom dele af sundhedssektorens it-systemer drives af private leverandører eller af en offentlig
aktør på vegne af hele sektoren. For at sikre at private og offentlige it-leverandører mødes af ensartede krav om
et højt sikkerhedsniveau fra alle sektorens aktører, skal der udarbejdes fælles sikkerhedskrav samt processer
og værktøjer til understøttelse af efterlevelsen af disse krav. Initiativet igangsættes i andet halvår af 2019.
Udgangspunktet er bl.a. det fællesoffentlige klausulbibliotek. MedCom skal desuden gennemføre en analyse af
muligheden for at gennemføre bl.a. leverandørstyring gennem Sundhedsdatanettet.
I N I T I AT I V 2 . 6 .
Udbygning af sektorens sikkerhedsarkitektur
På tværs af sundhedssektoren skal der arbejdes ensartet med it-sikkerhedsmæssige krav, fx vedr. databeskyt-
telse gennem design og i forbindelse med videreudvikling af eksisterende systemer eller nyanskaffelser. For at
sikre et passende og ensartet højt niveau af databeskyttelse gennem design og standardindstillinger skal sek-
toren lægge sig fast på et fælles sæt af metodikker og standarder, der gælder for hele sektoren. DCIS får som
grundlag herfor til opgave at opdatere den samlede sikkerhedsarkitektur for sektoren inkl. fastlæggelse af stan-
darder og udarbejdelse af værktøjer og vejledninger. Initiativet igangsættes i 2. halvår af 2019. Pilotafprøvning af
den nye sikkerhedsarkitektur forudsætter særskilt aftale.
> Cyberforsvar der virker
Der er en række grundlæggende tiltag, som man bør iværksætte med henblik på at styrke cyber- og
informationssikkerheden i en organisation. I publikationen Cyberforsvar der virker skitserer Center for
Cybersikkerhed og Digitaliseringsstyrelsen syv trin på vejen til et godt cyberforsvar, heriblandt ledel-
sesforankring, tekniske kompetencer, awareness og fire grundlæggende sikringstiltag:
• Udarbejd positivliste over applikationer
• Opdatér programmer
• Opdatér operativsystem
• Begræns antallet af brugerkonti med domæne- eller lokaladministratorprivilegier
37
 SUU, Alm.del - 2018-19 (1. samling) - Bilag 178: Orientering om Strategi 2019-2020 - En styrket, fælles indsats for cyber- og informationssikkerhed, fra sundhedsministeren
2001404_0038.png
SPOR 3 - OPDAGE
Bedre mulighed for at
opdage angreb og hændelser
 SUU, Alm.del - 2018-19 (1. samling) - Bilag 178: Orientering om Strategi 2019-2020 - En styrket, fælles indsats for cyber- og informationssikkerhed, fra sundhedsministeren
2001404_0039.png
Ud over at være bedre til at forudsige og forebygge
cyber- og informationssikkerhedshændelser skal
sundhedssektoren opbygge kapaciteten til at opdage
hændelser og angreb, som er under opsejling
– fx i tilfælde af at udefrakommende uretmæssigt
har skaffet sig adgang til sektorens systemer.
 SUU, Alm.del - 2018-19 (1. samling) - Bilag 178: Orientering om Strategi 2019-2020 - En styrket, fælles indsats for cyber- og informationssikkerhed, fra sundhedsministeren
2001404_0040.png
SPOR 3
Det handler om intelligent overvågning
og om at være opmærksom i hverdagen
For at understøtte opdagelse af angreb og sikkerheds-
hændelser er der behov for, at sektorens aktører pro-
aktivt overvåger aktivitet på såvel fælles som lokal
infrastruktur og systemer. Det kræver, at de rette
overvågningsfunktioner er på plads på de rette steder
i sektoren, og at sektoren også på dette område er vel-
koordineret med henblik på at styrke kapaciteten til at
opdage brud på cyber- og informationssikkerheden på
tværs af sektorens aktører. Med et fælles højt niveau
skal sektoren styrke den fælles modstandsdygtighed
mod angreb og sikkerhedshændelser.
Opdagelse af nye sårbarheder og sikkerhedshuller
Dernæst er det vigtigt, at sundhedssektorens over-
vågningsfunktioner er tænkt
sammen med kommunikati-
onslinjer, beredskab og hand-
lingsplaner inden for sek-
toren. Det gælder også på
tværs af de samfundskritiske
sektorer og på tværs af sund-
hedssektorerne i de lande, vi minder om og arbejder
sammen med på cyber- og informationssikkerheds-
området. Hvis uheldet er ude, skal en hændelse hur-
tigt kunne opdages og inddæmmes, således at den
ikke spreder sig i eller på tværs af sektorer.
Cyber- og informationssikkerhed er under konstant
udvikling. Trusselsbilledet ændrer sig hastigt, og nye
Samlet skal disse tiltag gøre sektoren i stand til at tage
hånd om disse udfordringer, blive bevidst om de
skiftende mønstre i cyber- og informationssikker-
hedshændelser og varsle relevante parter om en
igangværende trussel.
promitteret.
beror også på overvågenhed både blandt egne medar-
bejdere og eksterne aktører
såsom såkaldte etiske hacke-
re. Sektoren skal derfor stå
parat og have procedurer til
at håndtere henvendelser fra
medarbejdere og andre om
mulige sårbarheder i sekto-
rens systemer eller mistanke om, at de er blevet kom-
former for angreb ser dagens lys. Sektorens kapacitet
til at opdage nye former for cyber- og informations-
sikkerhedshændelser skal følge med udviklingen, og
sektorens overvågningsfunktioner skal stå mål med
både det aktuelle trusselbillede og de risici, som trus-
lerne udgør for borgeren, den sundhedsprofessionelle
og for samfundet generelt. Derfor bør sektorens
aktører løbende foretage sikkerhedstests af både den
fælles og den lokale infrastruktur, således at nye sår-
barheder og sikkerhedshuller opdages og håndteres.
Med et fælles højt niveau skal
sektoren styrke den fælles
modstandsdygtighed mod angreb
og sikkerhedshændelser.
> MedCom og Sundhed.dk er på forkant
Sundhedssektoren er allerede i gang med indsatser for at styrke sikkerheden på tværs af sektoren.
MedCom har implementeret en ny version af Sundhedsdatanettet med bl.a. en yderligere styrkelse af
sikkerheden. Sundhedsdatanettet er fundamentet for størstedelen af den digitale kommunikation på
tværs af sundhedssektoren. Ligeledes opretholder Sundhed.dk – mange borgeres primære indgang til
egne sundhedsdata på tværs af sektoren – et højt sikkerhedsniveau gennem bl.a. tilbagevendende
sikkerhedstests af portalen samt overvågning af tilkoblede systemer og gentagne sikkerheds-reviews
af tilhørende apps, processer og procedurer samt infrastrukturen, der bruges rundt om portalen.
40
 SUU, Alm.del - 2018-19 (1. samling) - Bilag 178: Orientering om Strategi 2019-2020 - En styrket, fælles indsats for cyber- og informationssikkerhed, fra sundhedsministeren
2001404_0041.png
SPOR 3 –OPDAGE
Initiativer
1
Løbende tests af sikkerheden i sundhedssektorens
systemer og udstyr
2
Etablering af funktioner til overvågning og analyse af aktivitet
på sundhedssektorens it-systemer og -infrastruktur
3
Effektiv håndtering af mistanke om hændelser
41
 SUU, Alm.del - 2018-19 (1. samling) - Bilag 178: Orientering om Strategi 2019-2020 - En styrket, fælles indsats for cyber- og informationssikkerhed, fra sundhedsministeren
2001404_0042.png
I N I T I AT I V 3 .1.
Løbende tests af sikkerheden i sundhedssektorens systemer og udstyr
For at sundhedssektoren samlet set formår at opretholde en robusthed over for cyber- og informationssikker-
hedshændelser, er det nødvendigt at gennemføre regelmæssige tests af sikkerheden i sundhedssektorens
systemer og udstyr. DCIS får til opgave at afklare grundlaget for, om sektorens allerede eksisterende testaktivi-
teter skal udbygges og eventuelt kan samles i et egentligt testprogram, som kan omfatte sårbarhedsscanninger,
penetrationstests og red team-tests. Etableringen af programmet – inkl. en platform til fortrolig videndeling om
testresultater mv. – forudsætter særskilt aftale. DCIS skal desuden afklare muligheden for samarbejde om stør-
re sikkerhedstest med andre samfundskritiske sektorer.
I N I T I AT I V 3 . 2 .
Etablering af funktioner til overvågning og analyse af aktivitet
på sundhedssektorens it-systemer og -infrastruktur
Sundhedssektoren skal være i stand til effektivt at opdage lokale såvel som tværgående cyber- og informations-
sikkerhedshændelser. Derfor er der behov for løbende at overvåge og analysere aktiviteten på såvel den fælles
som den lokale it-infrastruktur med henblik på at opdage og håndtere uautoriseret eller uregelmæssig aktivitet.
Som et første led i arbejdet med at afdække potentialet i at etablere fælles funktioner til overvågning og analyse
af aktivitet igangsætter DCIS i samarbejde med sektorens aktører en afdækning af sundhedssektorens samlede
behov på området. Dette skal føre frem til, at der kan træffes beslutning om, hvordan funktionerne bedst etableres.
I N I T I AT I V 3 . 3 .
Effektiv håndtering af mistanke om hændelser
Sundhedssektorens aktører kan opleve tilfælde, hvor medarbejdere – fx sundhedsprofessionelle og it-teknikere
– eller eksterne aktører får mistanke om, at der kan have fundet en cyber- og informationssikkerhedshændelse
sted, eller en hændelse kan være under opsejling. For at sikre at sektorens aktører er i stand til hurtigt og effek-
tivt at reagere på en sådan mistanke, skal der hos hver aktør fastlægges klare procedurer for modtagelse og
håndtering af henvendelser om mulige cyber- og informationssikkerhedshændelser. Udgifter hertil afholdes
inden for aktørernes egne budgetter.
> Hvad er en red team-test?
Red team-tests tester en organisations cyber- og informationssikkerhed og -beredskab gennem scena-
riebaserede angreb fra såkaldt etiske hackere (eller white hat-hackere), som påtager sig de fjendtlige
aktørers rolle og forsøger at finde en vej ind i organisationen. Til forskel fra fx sårbarhedsscanninger og
penetrationstests fokuserer denne type test ikke blot på den tekniske angrebsflade, men på alle spræk-
kerne i forsvaret og tester dermed også andre parametre så som organisationens fysiske sikkerhed og
dens medarbejderes agtpågivenhed.
42
 SUU, Alm.del - 2018-19 (1. samling) - Bilag 178: Orientering om Strategi 2019-2020 - En styrket, fælles indsats for cyber- og informationssikkerhed, fra sundhedsministeren
2001404_0043.png
I N I T I AT I V 3 .1
"Det er nødvendigt at gennemføre regel-
mæssige tests af sikkerheden i sund-
hedssektorens systemer og udstyr."
 SUU, Alm.del - 2018-19 (1. samling) - Bilag 178: Orientering om Strategi 2019-2020 - En styrket, fælles indsats for cyber- og informationssikkerhed, fra sundhedsministeren
2001404_0044.png
SPOR 4 - HÅNDTERE
Hurtig håndtering i tilfælde
af angreb og hændelser
 SUU, Alm.del - 2018-19 (1. samling) - Bilag 178: Orientering om Strategi 2019-2020 - En styrket, fælles indsats for cyber- og informationssikkerhed, fra sundhedsministeren
2001404_0045.png
I tilfælde af at sikkerheden – på trods af forudseende
og forebyggende initiativer – alligevel kompromitteres
gennem fx et cyberangreb eller et utilsigtet brud på
informationssikkerheden, skal sektoren hurtigt kunne
genoprette systemer og komme tilbage til normalen,
således at patientbehandling kan genoptages.
 SUU, Alm.del - 2018-19 (1. samling) - Bilag 178: Orientering om Strategi 2019-2020 - En styrket, fælles indsats for cyber- og informationssikkerhed, fra sundhedsministeren
2001404_0046.png
SPOR 4
Det handler om kompetencer,
værktøjer og den rette organisation
For at potentielle cyber- og informationssikkerheds-
hændelser får mindst mulig indflydelse på sektorens
opgaveudførsel, skal de håndteres hurtigt, effektivt og
præcist. Hændelsen skal inddæmmes og afsondres,
så skaden begrænses, og sektorens øvrige systemer
og funktioner påvirkes i mindst muligt omfang.
Sektorens aktører skal både i fællesskab og lokalt løfte
håndtering og beredskab i forhold til cyber- og informa-
tionssikkerhedshændelser. I denne henseende udgør
det eksisterende beredskab i sundhedssektoren et so-
lidt og gennemprøvet funda-
ment at bygge videre på. Det
er dog nødvendigt også at styr-
ke kapaciteten i sektoren som
helhed til at håndtere cyber- og
informationssikkerhedshæn-
delser med de rette kompe-
tencer og værktøjer. Dette skal bidrage til en styrket,
koordineret indsats i forhold til både akut håndtering af
konkrete sikkerhedshændelser og et tværgående be-
redskab, så de implicerede systemer og datas fortro-
lighed, integritet og tilgængelighed kan genoprettes.
Det er afgørende at sikre læring, så sektorens hæn-
delseshåndtering og beredskab løbende styrkes og
følger med udviklingen i trus-
ler og risici. Læring bør ske
både i tilfælde af en hændel-
se, således at alle relevante
parter kan få gavn af erfa-
ringerne fra håndteringen af
hændelsen, og gennem til-
bagevendende tests af det fælles beredskab. Læringen
skal dermed bidrage til, at sektoren løbende styrker
sin samlede kapacitet til at forudsige, forebygge og
opdage og håndtere cyber- og informationssikker-
hedshændelser.
Et væsentlig element heri er gennemtestede kommu-
nikationslinjer, så sektorens aktører ved, hvor og til
hvem de skal henvende sig, og hvad der kan gøres
lokalt i tilfælde af en hændelse. Som led heri skal sek-
torens aktører såvel som deres medarbejdere have en
fælles forståelse af opgave- og ansvarsfordeling samt
konkrete og veletablerede aftaler for håndtering af
cyber- og informationssikkerhedshændelser.
Hændelsen skal inddæmmes og
afsondres, så skaden begrænses,
og sektorens øvrige systemer og
funktioner påvirkes mindst muligt.
> Indberetning af hændelser
I tilfælde af en cyber- og informationssikkerhedshændelse har sundhedssektorens aktører i mange
tilfælde pligt til at indberette hændelsen til de relevante myndigheder:
• I regi af NIS-direktivet skal operatører af væsentlige tjenester i sundhedssektoren hurtigst muligt
indberette hændelser, der har væsentlige konsekvenser for kontinuiteten af den væsentlige
tjeneste, til Sundhedsdatastyrelsen og Center for Cybersikkerhed.
• I tilfælde af et brud på persondatasikkerheden skal sundhedssektorens aktører i regi af EU's
databeskyttelsesforordning indberette bruddet til Datatilsynet uden unødig forsinkelse og om
muligt senest 72 timer efter den dataansvarlige er blevet bekendt med bruddet.
Indberetning af cyber- og informationssikkerhedshændelser skal ske via Den Fælles Løsning til
Indberetning af It-sikkerhedshændelser (FLIIS) på www.virk.dk.
46
 SUU, Alm.del - 2018-19 (1. samling) - Bilag 178: Orientering om Strategi 2019-2020 - En styrket, fælles indsats for cyber- og informationssikkerhed, fra sundhedsministeren
2001404_0047.png
Varsling af udlandet om cyberangreb:
Når der konstateres et cyberangreb mod den danske
sundhedssektor, er det afgørende, at de rette udenlandske myndigheder orienteres rettidigt om angrebet,
således at sundhedsmyndighederne i de pågældende lande kan træffe de rette foranstaltninger
for at imødegå, at angrebet også rammer der.
SPOR 4 – HÅNDTERE
Initiativer
1
Hændelseshåndtering
2
Etablering af tværgående it- og cyberberedskab
3
Beredskabsøvelser for fælles systemer og forsyningskæder
47
 SUU, Alm.del - 2018-19 (1. samling) - Bilag 178: Orientering om Strategi 2019-2020 - En styrket, fælles indsats for cyber- og informationssikkerhed, fra sundhedsministeren
2001404_0048.png
FIGUR
National krisestyring og sundhedsberedskab,
inkl. cyber- og informationssikkerhedsaktører
Regeringens
sikkerhedsudvalg
Embedsmandsudvalget
for sikkerhedsspørgsmål
IOS
NOST
National Operativ Stab
Rigspolitiet
Værnsfælles Forsvarskommando
Politiets Efterretningstjeneste
Sundhedsstyrelsen
Den decentrale cyber-
og informations-
sikkerhedsenhed (DCIS)
i sundhedssektoren
Center for
Cybersikkerhed
En del af FE
Forsvarets Efterretningstjeneste
Udenrigsministeriet
Beredskabsstyrelsen
Trafik-, Bygge- og Boligstyrelsen
Sundhedsstyrelsen
Styrelsen for
Patientsikkerhed
De lokale
beredskabsstabe
Akut medicinsk
koordinationscenter
Det nationale krisestyringssystem
Sundhedsberedskabet
Cyber- og informationssikkerhedsaktører
 SUU, Alm.del - 2018-19 (1. samling) - Bilag 178: Orientering om Strategi 2019-2020 - En styrket, fælles indsats for cyber- og informationssikkerhed, fra sundhedsministeren
2001404_0049.png
Roller og ansvar
Regeringens sikkerhedsudvalg
Det øverste sikkerhedspolitiske organ: Statsministeren
(formand), udenrigsministeren, justitsministeren og
forsvarsministeren.
Embedsmandsudvalget
Rådgiver Regeringens sikkerhedsudvalg: Relevante
departementschefer og chefer for Politiets Efterret-
ningstjeneste og Forsvarets Efterretningstjeneste.
Styrelsen for Patientsikkerhed
International Operativ Stab (IOS)
Koordinerer indsatsen over for danskere ved større
hændelser i udlandet.
National Operativ Stab (NOST)
Koordinerer ved større hændelser i Danmark og sik-
rer information til regeringen, offentligheden og rele-
vante myndigheder. NOST består af Rigspolitiet, Værns-
fælles Forsvarskommando, Udenrigsministeriet samt
en række andre myndigheder (se model). Øvrige myn-
digheder kan indkaldes ved behov.
De lokale beredskabsstabe
Koordinerer den lokale indsats ved ekstraordinære
hændelser. I de lokale beredskabsstabe indgår politiet,
totalforsvarsregionen, Beredskabsstyrelsens regio-
nale beredskabscenter, regionens sundhedsbered-
skab samt de kommunale beredskaber. Styrelsen for
Patientsikkerhed er ad hoc-medlem.
Den decentrale cyber- og informationssikkerheds-
enhed (DCIS) i sundhedssektoren
I tilfælde af en cyber- og informationshændelse i sund-
hedssektoren, hvor der er behov for at aktivere bered-
skabet, vil Sundhedsstyrelsen og DCIS samarbejde om
beredskabet.
Center for Cybersikkerhed
Center for Cybersikkerhed vil som en del af Forsvarets
Efterretningstjeneste deltage i NOST i tilfælde af større,
tværgående cyber- og informationssikkerhedshæn-
delser af national betydning.
Rådgiver lokale myndigheder om sundhedsforhold og
varetager beredskabsopgaver i samarbejde med Sund-
hedsstyrelsen.
Akut Medicinsk Koordinationscenter (AMK)
Leder sundhedsindsatsen inden for regionen ved en
større hændelse. AMK står for kommunikationen mel-
lem sundhedsmyndighederne og skadestedet.
Sundhedsstyrelsen
Sundhedsstyrelsen har det faglige sektoransvar for
sundhedsberedskabet i Danmark. Det indebærer blandt
andet rådgivning af Sundheds- og Ældreministeriet,
kommuner og regioner om sundhedsberedskab. Sund-
hedsstyrelsen vil ved en konkret hændelse koordinere
indsatsen inden for sundhedssektoren med andre
sektorer.
49
 SUU, Alm.del - 2018-19 (1. samling) - Bilag 178: Orientering om Strategi 2019-2020 - En styrket, fælles indsats for cyber- og informationssikkerhed, fra sundhedsministeren
2001404_0050.png
I N I T I AT I V 4 .1.
Hændelseshåndtering
I tilfælde af en cyber- og informationssikkerhedshændelse skal sundhedssektoren være i stand til hurtigt og
sikkert at håndtere hændelsen og genoprette almindelig drift. Alle aktører i sektoren skal derfor have relevante
funktioner og procedurer til håndtering af cyber- og informationssikkerhedshændelser i eget systemlandskab
på plads. For at bidrage til dette gennemfører DCIS i første halvår 2019 en analyse af sundhedssektorens eksi-
sterende aftaler og funktioner til håndtering af hændelser lokalt såvel som ved tværgående hændelser. DCIS
skal desuden i samarbejde med sektorens aktører fastlægge hændelsesklassifikationer som udgangspunkt for
en afklaring af behovet for, at der i sektoren etableres fælles funktioner til håndtering af avancerede hændelser
(forensics). Etablering heraf forudsætter særskilt aftale.
I N I T I AT I V 4 . 2 .
Etablering af tværgående it- og cyberberedskab
For at sikre at sektoren hurtigst muligt formår at overkomme effekten af en større, tværgående cyber- og informa-
tionssikkerhedshændelse, er der behov for tværgående processer for effektiv og koordineret hændelseshåndtering.
Derfor igangsætter DCIS i samarbejde med sektorens aktører i første halvår af 2019 et arbejde med at beskrive en
model for etableringen af et tværgående samarbejde om et it- og cyberberedskab for sektorens fælles systemer og
forsyningskæder. Arbejdet bygger oven på og koordineres med de eksisterende lokale it- og cyberberedskaber ved
sektorens aktører, det generelle sundhedsberedskab samt den nationale krisestyringsorganisation.
I N I T I AT I V 4 . 3 .
Beredskabsøvelser for fælles systemer og forsyningskæder
Sundhedssektorens skal være i stand til på effektiv og koordineret vis at håndtere cyber- og informationssikker-
hedshændelser, når de indtræffer. For at sikre dette skal samarbejdet i sektorens tværgående it- og cyberbered-
skab kontinuerligt efterprøves, og læring herfra skal videndeles og indarbejdes i processer for hændelseshåndte-
ring på tværgående såvel som lokalt plan. De tværgående it- og cyberberedskabsøvelser skal omfatte hændelser,
som rammer tværgående it-systemer og it-infrastrukturkomponenter, der leverer forretningskritiske it-tjenester
til én eller flere af sundhedssektorens aktører. Aktørernes deltagelse i øvelserne sker inden for egne budgetter.
> Beredskabets aktiveringstrin
Såvel det nationale som sundhedssektorens beredskab anvender tre trin for aktivering:
Trin 1 – Informationsberedskab:
Der vurderes endnu ikke at være behov for at aktivere og etablere en
krisestab. Chefer og nøglepersoner bør være opmærksomme. Det kan fx være relevant at foretage skærpet
overvågning, informere relevante medarbejdere og gennemgå procedurerne i beredskabsplanen.
Trin 2 – Stabsberedskab:
En hændelse eller trussel kan medføre, at krisestabe skal kunne mødes inden
for 2 timer for at koordinere myndighedernes opgaver. Det kan fx være relevant at mødes jævnligt i en
kreds af ledere og medarbejdere, dog stadig uden at etablere en egentlig krisestab og kriseledelse.
Trin 3 – Operationsberedskab:
Etablering af en krisestab, som samles for at varetage samtlige krise-
styringsrelevante opgaver.
50
 SUU, Alm.del - 2018-19 (1. samling) - Bilag 178: Orientering om Strategi 2019-2020 - En styrket, fælles indsats for cyber- og informationssikkerhed, fra sundhedsministeren
2001404_0051.png
I N I T I AT I V 4 .1.
"Alle aktører i sektoren skal derfor
have relevante funktioner og proce-
durer til håndtering af cyber- og
informationssikkerhedshændelser
i eget systemlandskab på plads."
 SUU, Alm.del - 2018-19 (1. samling) - Bilag 178: Orientering om Strategi 2019-2020 - En styrket, fælles indsats for cyber- og informationssikkerhed, fra sundhedsministeren
2001404_0052.png
FR A TA N K E T I L H A N D L I N G
Udmøntning og løbende evaluering,
prioritering og udvikling
Strategien sætter en ambitiøs retning for at styrke
sundhedssektorens samlede kapacitet i forhold til
cyber- og informationssikkerhed og dermed bidrage
til at fremtidssikre det danske sundhedsvæsen. Det
er en krævende opgave, der
kræver, at der løbende følges
op på udmøntningen af stra-
tegien og dens initiativer.
Strategien er politisk aftalt
mellem Sundheds- og Ældre-
ministeriet, KL og Danske
Regioner. Arbejdet med at
følge op på strategien og dens
initiativer forankres i styre-
gruppen for udarbejdelsen af strategien, som videre-
føres med enkelte justeringer af sammensætningen;
herunder at styregruppen udvides med et medlem fra
Sundhedsstyrelsens sundhedsberedskab og et med-
lem fra Praktiserende Lægers Organisation. Styre-
gruppen mødes fire gange årligt og drøfter udmønt-
ningen af strategien og afrapporterer to gange om året
til Den nationale bestyrelse for sundheds-it om frem-
driften i dette arbejde.
Med henblik på at sikre gennemsigtighed og fremdrift
i arbejdet med at styrke sundhedssektorens kapacitet
i forhold til cyber- og informationssikkerhed skal der
årligt gennemføres et antal eksterne reviews af dele af
sektorens cyber- og informationssikkerhedsindsats.
Ved at benytte en ekstern part sikres der uafhængighed
ver er dækkende.
Cyber- og informationssikkerhed er et område under
konstant udvikling, og nye udfordringer og trusler så-
vel som nye muligheder kan opstå, som ikke fandtes
ved strategiens lancering. Derudover ændrer sekto-
ren sig også løbende. Derfor
skal strategiens retning og
initiativer evalueres årligt ba-
seret på opdaterede trussels-,
sårbarheds- og risikovurde-
ringer af sundhedssektoren.
Til det brug udarbejdes et
samlet årshjul, der fastlæg-
ger rækkefølgen af trinene i
processen. På den baggrund
gennemføres den endelige
vurdering af, om strategien og de eksisterende initiati-
Strategien sætter en
ambitiøs retning for at styrke
sundhedssektorens samlede
kapacitet i forhold til cyber- og
informationssikkerhed og dermed
bidrage til at fremtidssikre det
danske sundhedsvæsen.
> Snitflade mellem Center for Cybersikkerhed
og sundhedssektorens aktører
Center for Cybersikkerhed spiller primært en rolle i forhold til indsatsen i sundhedssektoren gennem
rådgivning og bistand. Center for Cybersikkerhed udarbejder trusselsvurderinger – såvel nationale som
specifikt for sundhedssektoren – et nationalt cybersituationsbillede, formidler varsler om løbende trends
og aktuelle sikkerhedshændelser både til og fra sundhedssektoren i forhold til de øvrige sektorer og
centrets internationale samarbejdspartnere. Som følge af sektoransvarsprincippet påhviler ansvaret for
cyber- og informationssikkerhed i sundhedssektoren sundhedssektorens aktører – også i forbindelse
med håndtering af konkrete cyber- og informationssikkerhedshændelser. Center for Cybersikkerhed
bistår udelukkende med egentlig hændelseshåndtering i de tilfælde, hvor centret vurderer, at en hæn-
delse har tværsektoriel og national relevans; og i disse tilfælde skal Center for Cybersikkerheds bistand
ses som et supplement til sektorens egen håndtering og indsats.
52
 SUU, Alm.del - 2018-19 (1. samling) - Bilag 178: Orientering om Strategi 2019-2020 - En styrket, fælles indsats for cyber- og informationssikkerhed, fra sundhedsministeren
2001404_0053.png
DCIS er en ny enhed, der samler trådene,
koordinerer analyser og monitorerer indsatser
Som led i arbejdet med at styrke den samlede cybersikkerhedsindsats i sektoren er der den 1. november 2018
oprettet en decentral cyber- og informationssikkerhedsenhed (DCIS) i Sundhedsdatastyrelsen. Enheden vil
udgøres af 12-14 ansatte og får til opgave at samle og koordinere arbejdet i sektoren og skal bl.a. fungere som
sektorens bindeled til Center for Cybersikkerhed. Herudover har enheden til ansvar at understøtte sektorens
implementering af strategien, herunder være tovholder på gennemførelsen af de aftalte analyser, koordinere
varsler, udarbejde vejledninger og informationsmateriale, facilitere videndeling mv.
 SUU, Alm.del - 2018-19 (1. samling) - Bilag 178: Orientering om Strategi 2019-2020 - En styrket, fælles indsats for cyber- og informationssikkerhed, fra sundhedsministeren
2001404_0054.png
i forhold til den decentrale cyber- og informations-
sikkerhedsenhed (DCIS), da opgaverne i denne enhed
også vil være omfattet af de eksterne reviews.
Endelig skal den decentrale cyber- og informations-
sikkerhedsenhed (DCIS) stå for, at der etableres en
metode til indsamling af viden i hele sektoren om an-
tallet af cyber- og informationssikkerhedshændelser
og karakteren heraf med henblik på at måle effekten
af sektorens samlede indsats. Opgørelserne skal bl.a.
danne baggrund for vurderinger af, om cyber- og in-
formationssikkerhedsindsatsen i sektoren er tilstræk-
kelig. Der skal i den forbindelse tages hensyn til, at
oplysninger om antallet af angreb og sikkerhedshæn-
delser skal håndteres fortroligt.
toren, herunder gennemførsel af analyser, udarbej-
delse af vejledninger, facilitering af videndeling mv.
inden for enhedens budget.
Med strategien lægger sundhedssektorens parter
samtidig op til en række nye, fælles aktiviteter, som
beror på en afdækning af sektorens konkrete behov og
afsøgning af finansiering. Det indebærer, at sundheds-
sektorens parter på et senere tidspunkt kan aftale
finansiering af de nye, fælles aktiviteter. Finansiering
af de nye, fælles aktiviteter indgår dermed i den løbende
prioritering og justering af sektorens indsats – i takt
med udviklingen af nye teknologier, i trusselsbilledet
og i sektoren selv.
Strategien sætter en fælles dagsorden for cyber- og
En række af strategiens aktiviteter baserer sig på ind-
satser, som allerede løftes hos de enkelte aktører, og
de finansieres og tilrettelægges derfor lokalt inden for
aktørernes egne budgetter. Det gælder fx udarbejdel-
sen af sårbarheds- og risikovurderinger, awareness-
og kompetenceudvikling for relevante faggrupper mv.
Tilsvarende afholdes aktiviteter i den decentrale cyber-
og informationssikkerhed (DCIS) for sundhedssek-
informationssikkerhed i sundhedssektoren. Snarere
end et definitivt katalog af aktiviteter er strategien
derfor tænkt som et dynamisk dokument med ret-
ningsgivende, strategiske initiativer, der skal bidrage
til, at sundhedssektorens parter i fælleskab fortsat
kan udvikle og styrke sektorens samlede cyber- og
informationssikkerhedsindsats.
54
 SUU, Alm.del - 2018-19 (1. samling) - Bilag 178: Orientering om Strategi 2019-2020 - En styrket, fælles indsats for cyber- og informationssikkerhed, fra sundhedsministeren
2001404_0055.png
Tak til Region Nordjylland, Aalborg Universitetshospital, hjemme-
plejen i Københavns Kommune samt alle deltagere i fotograferingen.
 SUU, Alm.del - 2018-19 (1. samling) - Bilag 178: Orientering om Strategi 2019-2020 - En styrket, fælles indsats for cyber- og informationssikkerhed, fra sundhedsministeren
2001404_0056.png
Strategi for cyber- og informationssikkerhed i sundhedssektoren
2 0 19 - 2 0 2 2