Hospitalernes digitale forsvar: Hvem skal beskytte os, når cyberangreb rammer?
Cyberangreb er ikke science fiction. Det er virkelighed, og sundhedssektoren er blandt de mest udsatte mål. Men ansvaret er spredt ud på regioner, hospitaler og leverandører, og det gør forsvaret komplekst.
Under akutafdelingen på Aarhus Universitetshospital findes der et særligt rum. Rummet er skjult bag en stor grå port, der kun kan blive kørt op ved brug af en særlig nøgle.
Rummet er vigtigere end nogensinde før og står klar til, hvis der kommer et angreb.
Et angreb, der ikke involverer bomber eller skydevåben og som kan udføres på flere tusinde kilometers afstand.
Et angreb, der ved et enkelt tryk på en knap kan vende op og ned på de danske hospitalers almindelige hverdagspraksis og udskyde vigtige operationer, kryptere patientjournaler og lave rod i blodbanken.
Det kaldes et cyberangreb.
Cyberangreb er i dag en af de alvorligste trusler mod den danske sundhedssektor, der er stærkt afhængig af digitale systemer.
Der ses hver dag forsøg på angreb mod både myndigheder, leverandører og borgere, og indenfor den sidste måned har Region Midtjylland blokeret 345 millioner forsøg på “kontakt”, herunder deciderede angrebsforsøg.
En ny trussel
En ny trusselsvurdering, foretaget af Styrelsen for Samfundssikkerhed og udgivet i november 2025 peger på, at truslen fra cyberkriminalitet er meget høj.
Samtidig viste en spørgeskemaundersøgelse foretaget i 2024 af ingeniørforeningen IDA blandt 84 eksperter på området, at det kan have alvorlige konsekvenser, hvis der sker nedbrud i sundhedssystemets kritiske it-infrastruktur.
“Hackerne går i høj grad efter sundhedssektoren. Situationen er alvorlig lige nu. Det synes jeg ikke, at man må underkende,” fortæller Alexander Nordal Behrndtz, teknoantropolog og ph.d.-studerende i cybersikkerhed ved Forsvarsakademiets Institut for Militærteknologi og Syddansk Universitet.
En klonet tyv
Vi har altid skulle beskytte os mod trusler udefra. I gamle dage samarbejdede vi med allierede og gravede voldgrave for at beskytte vores territorium.
I dag samarbejder sundhedssektoren og myndighederne på kryds og tværs, og de graver også en slags voldgrave. De tager ikke en skovl og graver en voldgrav omkring hospitalerne, men de forsøger at beskytte deres IT-systemer mod fjenden.
Det er en ny form for beskyttelse, som man først for alvor fik øjnene op for vigtigheden af i 2017.
Den 12. Maj 2017 vågnede cyber-verdenen til en ny virkelighed.
På få timer havde et ransomware-program, der senere blev kendt som WannaCry, inficeret computere verden over, heriblandt i det britiske sundhedsvæsen, National Health Service (NHS).
Ransomware er programmer, som hackere kan benytte til at holde data som gidsel og dermed kræve løsesum.
WannaCry var en såkaldt ransomware-orm, hvilket vil sige, at den kunne duplikere sig.
Forestil dig en tyv, der går rundt i et nabolag om natten. Han tager i alle dørene, og når han finder en, der er ulåst, går han ind i huset.
Når han først er inde, kan han klone sig selv. Klonen går i gang med at røve huset, mens tyven går videre til det næste hus.
Og sådan fortsætter det, indtil tyven er inde i så mange huse som overhovedet muligt på én og samme tid.
På samme måde var WannaCry-ormen på få timer inde i flere hundrede tusinde computere.
Aflyste aftaler
Angrebet førte, ifølge den britiske rigsrevision National Audit Office, til, at det britiske sundhedsvæsen blev sat i nødberedskab.
Op mod 20.000 patientaftaler blev aflyst, herunder livsvigtige operationer, ligesom ambulancer måtte omdirigeres, fordi akutmodtagelser i perioder ikke var fuldt funktionsdygtige.
Om et angreb som WannaCry kan ske i Danmark er svært at forudse, men Alexander Nordal Behrndtz peger på, at det vil være arrogant at tro, at sundhedssektoren aldrig kan blive udsat for en lignende hændelse:
"Sundhedssektoren har ekstremt komplekse digitale systemer, fordi de har rigtig mange ting, der skal arbejde sammen. Derfor er de også bare ekstra udsatte."
Eksperter peger generelt på tabet af patientjournaler som et af de værst tænkelige scenarier.
Labanen leder efter svagheder
Tilbage på Aarhus Universitetshospital sidder Ulf Larsen, der er funktionsleder i hospitalets Sundheds-IT, sammen med beredskabskoordinator Jørgen Marquard Johannsen.
Ulf Larsen lægger ikke skjul på, at han også mener, at sundhedssektoren er under pres. Han forklarer:
“Cyberkriminelle afsøger for svagheder, noterer sig, hvad der er af muligheder, lægger en strategi og eksekverer den. Hvis man er en rigtig laban, så har man fundet flere svagheder, koordineret på tværs af dem, og så slår man til, når målet er sårbart.”
Derfor er det vigtigt, at hospitalet er i stand til at være det, man kalder cyberresilient. At være cyberresilient betyder, at hospitalet fortsat er funktionsdygtigt, selv under angreb.
Men der er stor forskel på, hvor resiliente de forskellige aktører i sundhedssektoren er. Det skyldes, at det er op til de enkelte regioner, hospitaler og lægehuse at bygge de voldgrave, der kan beskytte dem mod fjenden.
Det endelige ansvar
I Danmark har vi det, vi kalder sektoransvarsprincippet. Man kalder det også for nærhedsprincippet. Det betyder i bund og grund, at ansvaret for cyber- og informationssikkerhed ligger dér, hvor det skal efterleves.
Energisektoren, vandsektoren og sundhedssektoren beskytter for eksempel hver især deres egne systemer.
Det er underleverandørernes ansvar, at de systemer, de sælger til hospitalet, er sikre. Det kan for eksempel være en leverandør af systemer til patientjournaler. Det er hospitalets ansvar, at man indkøber sikre systemer, og det er regionens ansvar at kigge hospitalernes sikkerhed efter i sømmene.
På den måde fortsætter det opad i systemet, hele vejen til Ministeriet for Samfundssikkerhed og Beredskab, som fastlægger de krav, IT-systemerne skal efterleve.
Men det endelige ansvar ligger hos dem, der udvikler og drifter systemerne. Det kan måske lyde paradoksalt, men paradigmet er, at det handler om samarbejde.
Samarbejde, tillid og en gulerod
I Sundhedsdatastyrelsen, under Ministeriet for Samfundssikkerhed og Beredskab, sidder en gruppe kyndige fagfolk, som hele tiden overvåger cyberspace for at identificere trusler. De hedder SundCERT, og er det nationale center for cyber- og informationssikkerhed i sundhedssektoren.
Deres job er at koordinere en fælles indsats for at sikre, at sundhedsvæsenet kan reagere hurtigt og effektivt i tilfælde af et angreb.
Afdelingsleder Søren Bank Greenfield fortæller, at SundCERT faktisk ikke kan pådutte hospitaler eller underleverandører noget som helst, selvom de sidder med den viden, der skal til.
De kan udelukkende advare, rådgive og assistere i tilfælde af cyberangreb. Søren anerkender, at ansvarsparadokset kan være frustrerende:
“Vi snakker faktisk om det til vores jobsamtaler. Dem, vi ansætter, skal kunne være i det. Så det er noget, vi er bevidste om, at vi udelukkende assisterer og rådgiver. Vi forsøger at skabe så meget værdi for sundhedsvæsenet, at det ville være tosset ikke at være med.”
Søren medgiver også, at der er fordele og ulemper ved at decentralisere ansvaret. Men han mener, at frihed under ansvar er den rigtige vej at gå:
“Jeg tror mere på samarbejde, tillid og en gulerod, end på en eller anden kæmpestor forordning, som de alligevel ikke forstår og kan efterleve. Jeg tror mere på, at man ved at give dem noget hjælp under samarbejde, faktisk kommer sikrere ud.“
Den særlige nøgle
Beredskabskoordinatoren på Aarhus Universitetshospital, Jørgen Marquard Johannsen, finder den særlige nøgle frem. Han putter den i nøglehullet og åbner porten til beredskabsrummet.
Inde på den anden side gemmer der sig beredskabsplaner og sikre computere og telefoner til, hvis krisen opstår:
“Kommunikation vil blive en udfordring. I nogle af de her katastrofescenarier kan vi jo stå i en situation, hvor vi har svært ved at orientere befolkningen. Altså hvis infrastrukturen rigtig er ramt, så kan vi jo ikke bare skrive et oplæg på internettet.”
Derfor er det vigtigt at sørge for, at man kan kommunikere uden de digitale systemer, der gør hverdagspraksissen i vores samfund meget lettere, men også mere sårbar.
Det er i sidste ende op til hospitalerne at redde dem selv. Men det betyder ikke, at der ingen hjælp er at hente:
“I løbet af en halv time kan vi lave et nogenlunde situationsoverblik i sektoren, og så kan vi kigge på, om der er nogen af vores kapaciteter, vi kan sætte i spil og hjælpe dem,” fortæller Søren Bank Greenfield.
Selvom de på Aarhus Universitetshospital er bevidste om, at truslen udefra er alvorlig, så føler de sig også trygge ved det beredskab, de har.
Hospitalerne vil ikke kunne fungere, som de plejer, og der vil gå noget tid, inden de kommer fuldstændig op at køre igen, skulle de blive udsat for et omfattende angreb.
