Regioner vest for Storebælt tager tager kritik af cybersikkerhed mest alvorligt

Rigsrevisionens beretning fra januar 2025 retter en bemærkelsesværdig kritik mod samtlige fem danske regioners indsats for at beskytte sundhedsdata mod cyberangreb. 

Rapporten som vi tidligere har gennemgået her på Regional-Indsigt konkluderer, at selvom der er gjort fremskridt, er regionernes samlede cybersikkerhed stadig “ikke helt tilfredsstillende”. 

Læs også: Ny rapport afslører fortsatte udfordringer i regionernes cybersikkerhed 

Truslen mod sundhedssektoren betegnes samtidig som “meget høj” af Center for Cybersikkerhed, hvilket burde øge presset på regionerne for at handle hurtigt og effektivt, herunder rette op på de kritikpunkter der er.

Hvem klarer sig bedst?

Rigsrevisionen har vurderet regionerne på 15 kontrolmål, der dækker alt fra netværkssegmentering og backup-tests til brugen af multifaktorlogin. Ingen region opfylder alle mål, men forskellen i antallet af kritikpunkter (delvist opfyldte og ikke opfyldte) er tydelig, hvis man kigger ned igennem nedenstående skema:

Region Nordjylland og Region Midtjylland er dem som klarer sig bedst med færrest kritikpunkter, mens Region Hovedstaden og Syddanmark er i bunden. Men når det handler om, hvordan regionerne svarer på kritikken, viser der sig en endnu tydeligere skillelinje mellem øst og vest.

Vestdanmark tager ansvar, Østdanmark undviger

I løbet af den seneste måned har politikerne i de fem regioner læst og godkendt svar på kritikken, som skal sendes til Indenrigs- og sundhedsministeriet. I svarene er der store forskelle i, hvor åbent og konkret regionerne forholder sig til kritikken:

• Region Midtjylland erkender, at “netværkssegmentering er en kompleks problemstilling” og vælger ikke at love noget, de ikke kan holde. De skriver: “Vi arbejder kontinuerligt på at forbedre regionens netværkssegmentering.”
• Region Nordjylland kalder revisionen “en givtig proces” og oplyser, at samtlige NIS-systemer er segmenteret senest ved udgangen af 2025.
• Region Syddanmark svarer detaljeret på hver enkelt anmærkning og dokumenterer, at der enten er taget højde for kritikken eller er igangsat processer.

Til sammenligning:

• Region Hovedstaden forsøger at modsige dele af kritikken og skriver bl.a.: “at man vurderer, at styresystemerne stadig er sikre, selvom de ikke er nyeste version.”
• Region Sjælland erkender kritikken i mindre grad og fremhæver, at “risici ikke vurderes som store”.

Region Sjællands formuleringer er mere passive, i retning af at man arbejder på sagen, men genrelt fornemmer en ret lav erkendelse og vage formuleringer. Omvendt er Region Hovedstaden teknisk stærk, men noget defensiv i sine formuleringer og udfordrer dele af kritikken i stedet for at anerkende, at der ku være et problem.

Erkendelse og korrektion

Der er naturligvis tale om en stor mængde dokumenter med et komplekst indhold, når man sådan skal se på tværs af fem regioner, men vi har alligevel våget det ene øje og udarbejdet en vurderings-matrix.

Så her kommer en matrixvurdering over regionernes svar på Rigsrevisionens kritik – vurderet ud fra to dimensioner:

• Konkretion i handleplan: Hvor præcise og håndfaste er regionens planer for at rette op? hvis vi vurderer de enkelte regioners svar ud fra det vi har bemærket i en erkendelses-matrix, så ser det ud som i skemaet herunder:

• Grad af erkendelse: I hvor høj grad anerkender regionen kritikken og tager ansvar?

Afslutningsvis må vi konkludere, at det er regionerne vest for Storebælt, der ikke bare tager kritikken mere alvorligt; de arbejder også mere åbent og systematisk med at rette op. 

At to ud af fem regioner har en mere afslappet holdning til kritikken, skal ses i perspektiv af at Center for Cybersikkerhed i maj 2024 vurderede, at truslen fra cyberkriminalitet og cyberspionage mod sundhedssektoren i Danmark er MEGET HØJ.

Læs også: It-nedbrud lammede Region Midtjylland og hospitalerne måtte gå analog