Ransomware lammede et sygehus: Hvad sundhedssektoren lærer os om cybersikkerhed
I maj 2024 blev Odense Universitetshospital ramt af et ransomware-angreb der lammede hele IT-systemet. Operationer blev aflyst. Personalet vendte tilbage til papir og blyant. IT-leverandøren gik konkurs. Sundhedssektoren er cyberkriminelles primære mål — og din klinik er ikke undtaget.
Hvad skete der på OUH?
Den 31. maj 2024 opdagede Odense Universitetshospital, at deres IT-systemer var kompromitteret af ransomware. Angrebet stammede fra en sårbarhed hos hospitalets IT-leverandør. Hele netværket måtte lukkes ned. Planlagte operationer blev aflyst. Akutpatienter måtte omdirigeres. Personalet gik tilbage til papirjournaler.
IT-leverandøren bag angrebet — firmaet der skulle beskytte hospitalet — gik efterfølgende konkurs. Skaden var ikke kun teknisk. Den var operationel, menneskelig og juridisk.
Styrelsen for Samfundssikkerhed vurderer i deres trusselsvurdering, at cybertruslen mod Danmark er på det højeste niveau. Sundhedssektoren er særligt udsat, fordi patientdata er de mest værdifulde data på det sorte marked — og fordi klinikker typisk ikke har dedikeret IT-sikkerhed.
Hvorfor er sundhedsdata så attraktive for angribere?
Et CPR-nummer kombineret med diagnose og kontaktoplysninger kan sælges for mange gange mere end et kreditkortnummer. Årsagen er simpel: et kreditkort kan spærres. Et CPR-nummer og en psykiatrisk diagnose kan bruges til identitetssvig, afpresning og forsikringssvindel i årevis.
Ransomware-grupper ved dette. De går systematisk efter sundhedsudbydere — fra store hospitaler til små psykologklinikker — fordi chancen for at offeret betaler løsesummen er høj. Alternativet er jo, at patientdata lækkes offentligt.
Hvad betyder det for en lille klinik?
En stor region som Region Syddanmark eller OUH har IT-afdelinger, kriseplaner og forsikringer. Din klinik har sandsynligvis ingen af delene.
Det betyder, at konsekvenserne af et angreb er proporcionalt langt større. Et ransomware-angreb mod en tandlægeklinik med 8 ansatte kan betyde:
- Komplet tab af adgang til journalsystemet — ingen adgang til patientdata, ingen booking
- Krav om løsesum for at genskabe adgang — typisk 50.000–500.000 kr. for SMV'er
- Pligt til at anmelde databrud til Datatilsynet inden 72 timer
- Pligt til at informere alle berørte patienter
- Mulig GDPR-bøde for manglende sikkerhedsforanstaltninger
Den menneskelige faktor er indgangspunktet
Langt de fleste ransomware-angreb starter ikke med en sofistikeret teknisk sårbarhed. De starter med et menneske der klikker på et link i en phishing-mail.
Datatilsynet advarer specifikt om dette: de modtager et stigende antal anmeldelser af databrud, der skyldes at medarbejdere har åbnet phishing-mails. En falsk email der ser ud som om den kommer fra journalsystemet, fra Microsoft, fra MitID — og en receptionist der klikker, fordi hun ikke er trænet i at genkende det.
Det er ikke hendes skyld. Det er klinikkens ansvar at træne hende.
1. Træn personalet i at genkende phishing — regelmæssigt, ikke som en engangshændelse.
2. Hav en klar procedure: hvad gør du, hvis du opdager et muligt angreb? Hvem ringer du til?
3. Sørg for at journalsystemet er cloud-baseret og backuppet — ikke kun på en lokal server.
4. Dokumentér dine sikkerhedsforanstaltninger. Det er det Datatilsynet kræver under artikel 32.
Din klinik er et mål. Er personalet klar?
SikkerKlinik træner dit personale i at genkende phishing og cybertrusler — og dokumenterer det automatisk. Gratis for klinikker med op til 5 medarbejdere.
Start gratis — ingen kort kræves →