Security Culture in the Norwegian Health Care Domain

Abstract

Informasjonssikkerhet er et viktig aspekt av hverdagen for alle, ikke bare for sikkerhetseksperter, men også brukerne av elektroniske systemer etter hvert som verden blir mer og mer digitalisert. Noe som betyr at deteksjon av risiko og trusler ikke lenger bare er begrenset til automatikken, men brukerne selv trenger å vite hvordan de skal gjenkjenne en trussel og handle deretter når de står overfor den. Dette krever kursing om og bevisstgjøring på de truslene man ser i trusselbildet til helsesektoren i dag. Med andre ord, forbedre sikekrhetskulturen i helsesektoren.

Helsesektoren over hele verden har i det siste vært under angrep fra aktører som ønsker å forstyrre arbeidet helseinstitusjoner gjør og få tilgang til sensitiv pasientinformasjon, og helsepersonell står som første og mektigste forsvar mot slike angrep. De må bare trenes på en slik måte at de kan gjenkjenne de potensielle risikoene og truslene for å avverge og avskrekke angrepet. Prioriteten hos helsepersonell ligger imidlertid naturlig nok på personvern, pasientbehandling og pasientsikkerhet i stedet for informasjonssikkerhet. Men siden angriperne har endret mål fra harde mål til myke mål, det vil si brukerne, må informasjonssikkerhet innlemmes i deres daglige arbeid og på en slik måte at det ikke begrenser arbeidet deres. Denne masteroppgavens hovedoppgave var å finne ut i hvor stor grad helsepersonells jobbhverdag blir påvirket av denne digitale sikkerhetskursingen, og om de overfører den kunnskapen og bevisstheten hjem.

Resultatet av forskningen som er gjort med denne masteroppgaven, er at opplæringen som gis til helsepersonell ikke påvirker deres arbeid i en slik grad som først antatt siden de er vant til å jobbe med personvern i tankene. På informasjonssikkerhetsbiten er det absolutt rom for forbedring, og en ny tilnærming i opplæringen kan være svaret. En mer tilpasset tilnærming, møte helsepersonell i jobbhverdagen deres og ikke på en generell måte.

Information security is an important aspect of everyday life for everyone, not only to security experts but also the users of electronic systems as the world becomes more and more digitised. Which means that the ability to recognise risk and threats is no longer just limited to automatic detection, but the users themselves needs to know how to recognise a threat and act accordingly when faced with it. This demands more digital security training and awareness training to recognise the threats the health care sector faces today. In other words, enhance the digital security culture within the health care sector.

The health care sector all over the world has of late been under attack from actors wanting to disrupt the work health institutions do and gain access to confidential patient information, and health care professionals themselves stands as first and most crucial defence against such attacks. They just have to be trained in such a fashion that they can recognise the potential risks and threats in order to avert and deter the attack. However, the priority lies naturally with privacy, patient care and patient security rather than information security. But since the attackers have changed targets from hard targets to soft targets, i.e. the users, information security needs to be incorporated into their everyday work and in such a manner that does not constrain their work. This master thesis main assignment was to discover to what degree health care professionals everyday work is affected by the digital security training, and if the knowledge and and awareness is transferred to their home setting.

The result from the research done with this thesis, show that the training given to health care professionals does not affect their work in such a degree as first anticipated as they are used to working with privacy in mind. There is certainly room for improvement regarding information security, and a new approach to the training could be the answer. The new approach could be a more customised training, meeting the health care professionals in their everyday work and not in a general way.