”Tänk om alla system hade gått ner”
I vintras drabbades Västra Götalandsregionen av en flera veckor lång cyberattack. Vårdpersonalen fick skriva ut journaler och operationslistor för att vara beredda om de inte skulle kunna komma åt de digitala systemen.
I en lång serie attacker försökte obehöriga komma åt Västra Götalandsregionens it-miljö. Attackerna polisanmäldes och Säpo involverades. Samtidigt som regionens it-avdelning kämpade för att hantera attacken fick vårdchefer och vårdpersonal förbereda sig så gott de kunde på en arbetsvardag utan tillgång till sina vårdsystem.
Maria Bertilsson är enhetschef för IS/IT och medicinteknik på sjukhusen i Uddevalla och Trollhättan. När attacken inleddes aktiverade de sina reservrutiner.
— Vi skickade ut massmeddelanden till verksamheterna om att de regelbundet skulle skriva ut listor från de olika systemen för att ha beredskap om internet skulle behöva stängas ner. Det ingår i vår beredskapsplan, säger Maria Bertilsson.
På den obstetriska mottagningen i Trollhättan skapade situationen huvudbry.
— Vi har i princip allting digitalt, i många olika program. Och ungefär 3 400 förlossningar per år. Vi kan inte skriva ut alla journaler på en gång, de är bara fullt aktuella för stunden, säger Lilian Olsson Fors som är barnmorska och avdelningschef.
De försökte ändå förbereda sig på det värsta genom att skriva ut besökslistor varje dag och regelbundet skriva ut journaler för de patienter som låg inne.
— Men vi hade säkert inte haft tillräckligt med information utskriven för att känna oss helt trygga om något hade hänt. Tänk om alla system hade gått ner och en stund senare hade en kvinna ringt på och sagt att hon ska föda. Då hade vi bara haft hennes egen historia att gå på.
Chefens ansvar för säker it
- Fungerande it-säkerhet kräver dedikerade resurser, tydlig roll- och ansvarsfördelning, säkerhetsmedvetna användare och en bra teknisk säkerhetsmiljö.
- Bygg förståelse i verksamheten – det fungerar inte att bara säga att något inte får göras av säkerhetsskäl, förklara varför och motivera medarbetarna.
- Arbeta över de organisatoriska gränserna, så att it-avdelningen inte isoleras. Låt it-avdelning och vårdpersonal samarbeta.
Källa: Anne-Marie Eklund Löwinder, säkerhetschef på Internetstiftelsen, och David Lindahl, forskningsingenjör på FOI
Västra Götalandsregionen uppger att den stod emot attackerna utan någon större påverkan på sina verksamheter. Lilian Olsson Fors är inte särskilt orolig över nya incidenter, även om hon tycker det är svårt att hålla koll på alla risker i den digitala miljön.
— Jag är ju äldre och har inte levt med it hela livet. Det finns så många fördelar med att ha journalerna digitalt. Jag minns hur det var förr när vi sprang runt och letade efter journaler på avdelningen, det var ju inte så säkert det heller.