Cybersecurity in the Norwegian healthcare system - A socio-technical case study of Akershus University Hospital

Abstract

Det norske helsesystemet har vist seg å være et attraktivt mål for ondsinnede aktører grunnet deres viktige rolle i det norske velferdssystemet. Med stadig mer kritiske tjenester tilgjengelig fra hjemmet gjennom tjenester som digital hjemmeoppfølging økes angrepsflaten og gjør tjenestene mer sårbare for cyberangrep. I kombinasjon med et uforutsigbart trusselbilde i stadig endring blir det både viktigere og mer utfordrende å beskytte egne verdier. Men for å kunne beskytte seg mot cyberangrep i det uforutsigbare trusselbildet er det essensielt å ha oversikt over egne verdier og implementasjon av tilstrekkelige sikkerhetstiltak for å beskytte disse verdiene. Derfor er målet med denne avhandlingen å se på nettopp hvordan det norske helsesystemet kan påvirkes av cyberangrep og hvilke tiltak som best kan mitigere disse cyberangrepene gjennom et sosio-teknisk casestudie av Akershus Universitetssykehus. Disse målene innebærer en analyse av sikkerhetsnivået til Akershus Universitetssykehus gjennom identifiseringen av sårbarheter, også kalt sosio-tekniske problemer, som benyttes til å anbefale tiltak til de mest kritiske og truende sårbarhetene.

Resultatene i avhandlingen viser at det finnes flere sosio-tekniske problemer i det norske helsesystemet som bør tas tak i for tilstrekkelig sikring av deres verdier. Andre funn viser til utfordringer i samhandlingen mellom aktører på nasjonalt, regionalt og lokalt nivå som gjør effektiv samhandling og kommunikasjon under hendelseshåndtering utfordrende. Selv om ikke alle sårbarheter identifisert i denne avhandlingen kan tas tak i og endres med det samme så tjener de likevel som en vekker for sikkerhetsutfordringene det norske helsesystemet står ovenfor og må være oppmerksomme på i deres møte med cybertrusler.

The Norwegian healthcare system has proven to be an attractive target for malicious actors due to its important role in the Norwegian welfare system. With increasingly critical services available from home, such as digital home monitoring, the attack surface is growing and making services more and more vulnerable to cyberattacks. In combination with an unpredictable and constantly changing threat landscape, protecting one's own values becomes more critical and challenging. However, in order to be able to protect oneself against cyber attacks in the unpredictable threat landscape, it is essential to have an overview of one's values and the implementation of sufficient security measures to protect these values. Therefore, this thesis aims to examine how the Norwegian healthcare system can be affected by cyberattacks and which measures can best mitigate these cyberattacks through a socio-technical case study of Akershus University Hospital. These goals involve analysing the security level of Akershus University Hospital by identifying vulnerabilities, also called socio-technical problems, which form the basis for the measures recommended for the most critical and threatening vulnerabilities.

The results in the thesis reveal several socio-technical problems in the Norwegian healthcare system that needs addressing to safeguard their values adequately. In addition, other findings point to challenges in the interaction between actors at the national, regional and local levels, which make effective interaction and communication during incident handling challenging. Although not all vulnerabilities identified in this thesis can be addressed and changed immediately, they serve as a reminder of the security challenges the Norwegian healthcare system faces and must be aware of in their encounter with cyber threats.