Introduktion
”“Säkerhet är en teamsport – och det här är kulturen vi behöver överallt”
Stefan Jernberg, Chief Compliance Officer på Carasent, lever och andas citatet från Microsofts VD Satya Nadella; ”Security is a team sport – and this is the culture we need everywhere”. Med fokus på vårdsektorn och en lång bakgrund inom mjukvaruutveckling är han fast besluten att göra den nordiska vårdsektorn säkrare.
Carasentgruppen utvecklar och levererar olika journalsystem och BI-lösningar till vårdgivare i Sverige och Norge. En betrodd och uppskattad leverantör, inte minst för deras förmåga att stötta upp i viktiga säkerhetsfrågor kring nyttjande av deras system. Det här är deras beskrivning av varför ett säkerhetsarbete bör arbetas fram i nära samarbete mellan vårdaktörer och leverantörer.
Leverantörer till vårdsektorn har stora möjligheter att bidra till högre säkerhet
Säkerheten kring vårdsektorn har på kort sikt hamnar i strålkastarljuset, inte minst för att det är en tacksam sektor för hotaktörer att ge sig på. Hoten mot vårdsektorn förväntas öka, samtidigt som kraven blir allt fler. I den här kontexten är det viktigare än någonsin att komma samman och samarbeta för en säkrare sjukvård.
Vi måste balansera vår ambition att förenkla och förbättra verktygen för vårdutövarna, samtidigt som vi hela tiden säkerställer säkerheten.
– Digitalisering inom vårdsektorn erbjuder stora möjligheter, men medför såklart även en del risker. Den senaste tiden har vi sett hur flera vårdaktörer blivit utsatta för cyberangrepp, och det är något vi som leverantörer måste ha i beaktande när vi utvecklar våra lösningar. Vi måste balansera vår ambition att förenkla och förbättra verktygen för vårdutövarna, samtidigt som vi hela tiden säkerställer säkerheten. Jag ser att vi har en viktig roll att spela här.
– Som leverantör till många olika verksamheter ser vi och förstår de systemtekniska utmaningar som vårdutövare och administrativ personal upplever i sin vardag, med system som inte pratar med varandra, och i flera fall inte ens är kompatibla. Här uppstår många säkerhetsrisker, exempelvis när data manuellt ska föras över mellan olika system.
– I grannlandet Norge har man arbetat fram en standard som innebär krav på ett gemensamt gränssnitt för journalsystem – denna standard finns i tre av fyra regioner och upplevs förenkla mycket. Här i Sverige har vi lite att lära av det, men vi kan ändå alla göra mycket för att förenkla och förbättra arbetsmiljön för vår vårdpersonal.
När man väljer Carasent så väljer man samtidigt en trygg aktör som stöttar i arbetet med compliance och informationssäkerhet.
– Vi ser säkerhet som en kritisk pusselbit i samverkan mellan vårdaktörer och leverantörer. När man väljer Carasent så väljer man samtidigt en trygg aktör som stöttar i arbetet med compliance och informationssäkerhet. Vi går ofta in och stöttar upp i frågor där vi märker att kunden behöver hjälp eller känner osäkerhet kring, något som vi märker att framför allt våra mindre kunder är tacksamma över.
Ett systematiskt säkerhetsarbete utgör grunden
Tillsammans med Secify fokuserar Carasent nu på införandet av ledningssystemet enligt ISO 27001; ett i Europa vedertaget ramverk för att arbeta systematiskt och riskbaserat med informationssäkerhet. De olika bolagen inom Carasentgruppen har alltid haft stort fokus på säkerhet och nu vill man sätta upp ett gemensamt ramverk för koncernen. Eftersom Carasent jobbar med känsliga personuppgifter i form av journaldata är det viktigt att upprätthålla systematik i allt arbete med informationssäkerhet, och se till att säkerhetskulturen förblir naturligt integrerad i verksamheten. Dessutom finns det en affärsmässig aspekt i införandet av ISO27001, som Stefan rekommenderar andra att tänka över.
– Vi märker att vår säljavdelning såväl som vår supportavdelning får många frågor som enkelt besvarar sig själva med en ISO27001-certifiering i ryggen. När vi har det på plats kommer kunddialoger bli mycket enklare.
En annan viktig aspekt i deras arbete är leverantörsrisker, något som har uppmärksammats av hela svenska folket genom nyliga attacker som har fått stor medial exponering. På Carasent arbetar man hårt med kravställning och audits för att kontrollera att de egna leverantörerna håller en tillräckligt hög nivå.
Säkerhetsarbetet måste förenklas
Secify tror att lösningen på många problem är att förenkla säkerhetsarbetet och bryta ned det till en hanterbar omfattning. Den här filosofin kallas för ”No nonsense security”.
På Carasent är detta en självklarhet. Stefan förklarar det så här:
– Säkerhetsarbetet måste förenklas hela tiden – inom vårdsektorn har vi inget annat val, då arbetsmiljön helt enkelt inte tillåter krångliga lösningar och svåra system.”Vi behöver göra säkerhetsarbetet tillgängligt för alla, du skall inte behöva vara IT-expert för att först. ” låt oss börja med ett språk som alla förstår och åtgärder som skillnad i vardagen.
Om man som organisation investerar i att höja lägsta-nivån och bygga in grundläggande förståelse och kunskap i verksamheten så kommer allt därefter så mycket enklare.
– Om man som organisation investerar i att höja lägsta-nivån och bygga in grundläggande förståelse och kunskap i verksamheten så kommer allt därefter så mycket enklare. Alla vardagliga sysslor kommer att hanteras klokare, säkrare och mer effektivt.
– Alla behöver naturligtvis inte bli experter, men alla behöver ha en grundläggande förståelse för hur informationssäkerhet påverkar just deras verksamhet. Vilka risker finns det när det kommer till att spara ner information, i olika IT-system eller på papper? Hur hanteras systemen säkert och vilket ansvar faller på mig som individ? När den enskilda individen har förstått vilket ansvar man har över informationssäkerheten i sin organisation, ja då har man kommit enormt långt som jag ser det, avslutar Stefan.
Stefan Jernberg
Chief Compliance Officer på Carasent
