Användningen av smarta mobiler och plattor fortsätter att öka inom vård och omsorg.
Men mobiliteten innebär också risker och det är känslig information om patienternas läkemedel och behandlingar som står på spel, menar Sara Fernholm på mobilsäkerhetsföretaget Lookout.
Organisationer inom vård och omsorg har länge varit restriktiva i fråga om den information som får tas med utanför arbetsmiljön, samtidigt som anställda ändå tar med sig sin mobil. Även om vårdpersonal sällan kan arbeta på distans, både av rent fysiska anledningar och av säkerhetsskäl, har ändå användandet av mobiler varit oundviklig.
Att använda mobiler bidrar till att vi alla blir mer effektiva och flexibla, men tekniken öppnar också för risker som verksamheter måste hantera. Till skillnad från vanliga datorer omfattas inte mobila enheter av de skydd vi tar för givna i kontorsmiljön, och jag behöver väl knappast påpeka att verksamheter inom vården hanterar mycket känslig information.
Samtidigt är IT-attackerna mot vårdorganisationer på ökande. I USA drabbades över 600 vårdorganisationer av 92 olika gisslanattacker bara under 2020. Genom attackerna exponerades data för över 18 miljoner patienter, och attackerna kostade vårdorganisationerna knappt 21 miljarder dollar. Situationen är bättre i Sverige, men vi ska akta oss för att släppa garden.
Vi tenderar att lita på våra mobiler och interagerar intuitivt med innehåll i meddelandeappar, SMS och e-post. Vi installerar dessutom ofta appar som kan tyckas harmlösa, men som kan bryta mot regler och öppna för angrepp. Om vi dessutom blandar ihop arbete och privatliv i samma mobil innebär det att riskerna blir än större.
Samtidigt föredrar hackare mobiler eftersom det är lättare att lura användare på dessa än på en vanlig dator och för att mobilerna ofta lämnas oskyddade.
Om patientinformation läcker ut kan det inte bara äventyra förtroendet mellan vårdorganisationen och patienten, det är även ett lagbrott. Därför förväntar sig både vårdorganisationen såväl som patienter och andra berörda att IT-ansvariga vidtagit de mått och steg som är nödvändiga för att minimera risken att information hamnar i orätta händer.
IT-säkerheten för vårdorganisationer är komplex, dels genom att vården tillämpar många olika typer av teknik som en del av infrastrukturen och att det är svårt att upprätthålla separation mellan systemen, dels att resurserna för IT-säkerhet är knappa.
Som ett led i att skydda vårdorganisationens mobila enheter bör en av de första åtgärderna en vårdorganisation vidtar vara att se till att de normala utbildningsåtgärderna inom IT-säkerhet inkluderar riskhantering av mobiler och plattor.
Den som genomgått en utbildning kring nätfiske mot företag är antagligen medveten om hur de upptäcker typiska tecken på vad som kan vara farliga e-postmeddelanden. Den typen av enkla varningssignaler finns tyvärr inte på mobiler. Användarupplevelsen och gränssnitt är anpassade för enkelhet och små skärmar, och det hjälper knappast att det finns ett otal olika kanaler för nätfiske eftersom det finns så många appar där vi kan skicka och ta emot meddelanden.
Till syvende och sist är alla medarbetare människor, vilket innebär att de sannolikt kommer att begå misstag. Grundlig utbildning och träning såväl som rätt verktyg för IT-säkerhet för mobilen är därför nödvändiga steg för att minska en organisations riskexponering.
Sara Fernholm, partneransvarig i norra Europa, Lookout.