Digitaliseringen av spesialisthelsetjenesten – altså sykehusene – skaper lengre leverandørkjeder og et større antall leverandører. Da blir det verre å ha god nok leverandørkontroll, faren for kritiske angrep blir betraktelig større. Trusselaktørers spillerom øker. Det fremgår av en fersk trusselvurdering, der det også pekes på fremmede makters muligheter til å vinne innpass gjennom anskaffelser der laveste pris er eneste kriterium.
Det er de fire regionale helseforetakene og Norsk helsenett som står bak rapporten: «Trusselvurdering 2025 Det digitale trusselbildet mot spesialisthelsetjenesten». Den tar for seg de mest relevante digitale truslene mot spesialisthelsetjenesten, og hvordan disse kan påvirke spesialisthelsetjenestens verdier. Også anskaffelser er viet plass.
Utfordrende å ha god leverandørkontroll
Spesialisthelsetjenesten er blitt stadig mer digitalisert de siste årene, heter det. Dette medfører lengre leverandørkjeder og et større antall leverandører, noe som øker angrepsflaten betraktelig. Det er utfordrende å ha god kontroll på alle leverandørene, og kjenne til deres sikkerhetsnivå og eventuelle politiske tilknytning. Bytte av underleverandører kan være vanskelig å avdekke, men får store konsekvenser dersom det fører til at en trusselaktør får informasjon eller tilganger.
Angrep gjennom digitale leverandørkjeder kan utføres ved at angriper benytter tilgang hos leverandøren til å endre legitim programvare slik at den inneholder skadevare, som igjen distribueres til leverandørens kunder. En annen mulighet, fremholdes det i trusselvurderingen, er at angriperen får direkte tilgang til kundenes systemer ved at leverandøren har legitim tilgang til et internt system for vedlikehold og support. Spesialisthelsetjenesten kan også påvirkes gjennom angrep på leverandørkjeden ved at tjenester eller systemer blir gjort utilgjengelige.
Tilgang til sensitiv informasjon
Det slås fast at det for hel- eller deleide statlige aktører kan det å være en del av leverandørkjedene være verdifullt. På denne måten kan de få tilgang til sensitiv informasjon, påvirke leverandørkjeder og gjennomføre fysisk eller digital sabotasje. Aktørene kan oppnå tilgang til et ellers godt sikret mål ved å angripe en mindre sikker leverandør eller underleverandør. Dette kan også være en fremgangsmåte for å treffe mange mål med ett og samme angrep.
Trusselaktører kan utnytte avhengigheter for å skape politisk press ved å true integriteten og tilgjengelighet i tjenesten, heter det. Angrep gjennom leverandørkjeden kan brukes for å skjule hvem som står bak, ettersom identifisering av aktøren kan kreve samarbeid på tvers av sektorer og landegrenser.
Avhengighetsrisiko
EOS-tjenestene advarer mot risikoen vi tar ved å gjøre oss avhengige av enkeltland og enkeltselskaper for leveranser til kritiske funksjoner. Kina søker å etablere seg i kritiske leverandørkjeder gjennom subsidierte anskaffelser, og har en uttalt strategi om å kontrollere kritiske leverandørkjeder globalt. En av strategiene de benytter for å oppnå dette, er å direkte eller indirekte subsidiere kinesiske teknologiselskaper slik at disse kan tilby teknologien sin til en pris som er vanskelig å konkurrere mot. På denne måten kan de vinne anbudskonkurranser, som ofte er basert på pris, og få innpass ved å utkonkurrere andre leverandører i kritiske leverandørkjeder.
Bli den første til å kommentere på "Slik er det digitale trusselbildet mot sykehusene – risiko ved bruk av laveste pris"