NITO trenger datakurs

I juni valgte styret i Helse Sør-Øst å terminere en milliardavtale om IT-utvikling som de hadde inngått med det amerikanske selskapet DXC. Bakgrunnen var medias avsløringer om at IT-arbeidere i blant annet Malaysia og India hadde tilgang til norske pasientdata.

President Trond Markussen i NITO skriver i en kronikk i sommer at regjeringen totalt mangler forståelse for at IT-systemer i helsesektoren handler om beredskap. Han argumenterer mot bruk av private leverandører i helsetjenesten.

Vi er enige med NITO i at informasjonssikkerhet og beredskap er svært viktig i helsesektoren, men den kanskje største sikkerhetsutfordringen ligger nettopp i dagens gamle IT-systemer. Helse Sør-Øst består av et gigantisk lappeteppe av gamle systemer som har vist seg sårbare og lite tilpasset moderne krav til informasjonssikkerhet. 80.000 medarbeidere i Helse Sør-Øst bruker 45.000 datamaskiner med til sammen 2.500 ulike applikasjoner som kjører på 10.000 servere. Det var disse sårbarhetene den kansellerte DXC-avtalen var ment å gjøre noe med.

Dramatisk for pasientsikkerheten

Abelia frykter at håndteringen i Helse Sør-Øst vil bli dramatisk for pasientsikkerheten ved norske sykehus og for den videre moderniseringen av helsesektoren. Vi tror heller ikke at medisinen NITO foreskriver vil bidra til friskmelding. I stedet for å finne løsninger i samarbeid med et stort, profesjonelt og internasjonalt fagmiljø, vil man tydeligvis fortsette å lappe på gamle sårbare systemer til nærmest evig tid.

Vi reagerer på at NITO gjør norske og internasjonale IT-selskaper og IT-arbeidere til skyteskive. Det er Helse Sør-Øst og deres selskap Sykehuspartner som ikke sørget for god nok sikkerhet rundt sine oppdrag. Ved å hevde at private leverandører i seg selv utgjør en risiko i helsesektoren, undergraver NITO svært mange av landets dyktige IT-arbeidere.

Både regjering og fagdirektorat mener at næringslivet er helt nødvendig for å modernisere og digitalisere helsetjenesten. De tilfører spesialkompetanse som helsetjenesten ikke har selv, og bidrar til bedre og mer stabile tjenester. Forutsetningen er selvfølgelig at helsetjenesten selv har bestillerkompetanse og kan håndtere risiko.

Mer bevissthet om IKT-sikkerhet

Norge har ivaretatt strenge krav til sikkerhet i viktige bransjer før, enten det er olje, shipping eller flytransport. Vi sluttet ikke med oljeboring da Alexander Kielland-plattformen veltet i 1980. I stedet sørget vi for bedre sikkerhet. Den lærdommen gjelder også her.

Løsningen på usikre IT-prosjekter er derfor ikke å slutte med IT-prosjekter. Det er heller ikke å holde utenlandske aktører ute eller drive all IT-utvikling i offentlig regi. Det vi trenger er bedre bevissthet om informasjonssikkerhet og evne til å skille mellom «utlendinger» og «uvedkommende».

Når stadig flere tjenester digitaliseres blir IT-sikkerhet et viktigere ansvar for toppledere og styrer i alle typer virksomheter. Da trenger man mer enn et datakurs. Resepten må være kontinuerlig kompetanseutvikling av ledere og ansatte – og tillit til at myndigheter og næringslivet kan samarbeide om å finne de beste løsningene.

(Denne kommentaren er tidligere publisert i Computerworld)