DXS International-brud: Lektioner lært for sundhedsvæsenet

DXS International-brud: Lektioner til gavn for sundhedsvæsenet

Af Kate O'Flaherty • 19 februar 2026

I takt med at antallet af alvorlige hændelser i sundhedssektoren stiger, skal organisationer lære at håndtere informationssikkerhed, databeskyttelse og AI-risici som en sammenhængende styringsudfordring. Hvordan kan dette gøres?

Af Kate O'Flaherty

Den 14. december 2025 blev DXS International – som leverer sundhedsinformation og klinisk beslutningsstøtte til cirka 10 % af alle NHS-henvisninger i England – udsat for et databrud, der påvirkede deres kontorservere.

I en arkivering I forbindelse med London Stock Exchange hævdede DXS International, at bruddet blev "øjeblikkeligt inddæmmet" i en fælles indsats fra virksomhedens interne IT-sikkerhedsteams i tæt samarbejde med NHS England. Men kort efter blev DevMan-ransomwaregruppen hævdede at have stjålet 300 GB data, herunder interne budgetter og økonomiske filer.

Selvom selve hændelsen havde minimal indflydelse, og virksomhedens kliniske tjenester i frontlinjen forblev operationelle, er det et godt eksempel på, hvordan tredjepartsrisiko kan kaskadere gennem forsyningskæden.

I takt med at hændelser som denne stiger, skal sundhedsorganisationer lære at håndtere informationssikkerhed, databeskyttelse og AI-risici som en sammenhængende styringsudfordring. Hvordan kan dette gøres?

Et stort problem

Fordi DXS Internationals tjenester forblev oppe og kørende, er det let at afvise bruddet som uophørligt. Men selvom de kliniske tjenester i frontlinjen forblev oppe, kan andre problemer dukke op senere hen, siger Skip Sorrels, felt-CTO-CISO hos Claroty. "Når man kompromitterer den administrative rygrad i sundhedsvæsenet, skaber man langsigtede risici såsom identitetstyveri, phishing-kampagner og erosion af patienternes tillid."

Sorrels påpeger, at "operationel" ikke betyder "sikker": "Angriberne går bevidst efter de mere avancerede administrative systemer, fordi de ved, at disse leverandører ofte mangler den samme sikkerhedsmæssige stringens som den kliniske infrastruktur, de understøtter."

Kevin Curran, seniormedlem i IEEE og professor i cybersikkerhed ved Ulster University, er enig i denne vurdering. "Stjålne data kan misbruges og påvirke patienters privatliv i årevis."

Han beskriver, hvordan økonomiske konsekvenser, herunder efterforskningsomkostninger, advokatsalærer og mulige bøder, kan belaste ressourcer, der allerede er under pres i de offentlige sundhedsydelser. "Desuden fremhæver det systemiske problemer i den digitale sundhedsinfrastruktur, hvilket fører til en bredere undersøgelse af, hvordan sammenkoblede teknologier håndterer følsomme oplysninger."

Tredjepartsrisici

Det britiske sundhedsvæsen har kontinuerligt styrket cyberindsatsen siden WannaCry ransomware angreb ramte NHS i 2017. Tilsynsmyndigheder sætter stigende fokus på forsyningskæder og anerkender, at sårbarheder hos managed service providers eller kritiske leverandører kan have vidtrækkende konsekvenser, siger Katharina Sommer, koncernchef for offentlige anliggender hos NCC Group.

Tredjeparts- og forsyningskæderisici repræsenterer "en af de mest presserende sikkerhedsudfordringer inden for sundhedsvæsenet", da sektoren i stigende grad er afhængig af eksterne leverandører til essentielle tjenester, siger Curran.

"Angreb på softwareforsyningskæden er yderst farlige og stadig mere udbredte, fordi de udnytter den sammenkoblede natur af moderne softwareudvikling," fortæller Curran. IO"Disse angreb er rettet mod sårbarheder i afhængigheder, byggeprocesser eller tredjepartskomponenter, hvilket ofte giver angribere mulighed for at kompromittere flere virksomheder via et enkelt fejlpunkt."

Ud over den umiddelbare indvirkning kan problemer forårsages af mindre organisationer med "store systemiske fodaftryk, men begrænset sikkerhedsmodenhed", siger Tracey Hannan-Jones, konsulentdirektør for informationssikkerhed og GRC samt gruppe-DPO hos UBDS Digital.

Forværret er dog, at sundhedssektoren står over for en udfordring med hensyn til synlighed, ifølge Claroty's Sorrels. "De fleste sundhedsorganisationer kæmper med virkelig at forstå sikkerhedssituationen hos deres tredjeparts- og fjerdepartsleverandører. Man kan ikke outsource en tjeneste og tro, at man har outsourcet risikoen."

Regulatoriske forventninger

Ud over sikkerhed i forsyningskæden kræver reguleringen i stigende grad, at kritiske tjenester som sundhedspleje skal tage ekstra skridt for at øge modstandsdygtigheden. Når der sker brud, forventes det, at de, der opererer i sektoren, beskytter data og overholder strenge rapporteringskrav.

DXS International-bruddet giver indsigt i de lovgivningsmæssige forventninger til sundhedsdata i Storbritannien og EU, især under Generel databeskyttelsesforordning (GDPR) og tilpassede britiske databeskyttelseslove. "Disse rammer kræver, at organisationer, der behandler personoplysninger, herunder sundhedsoplysninger, skal sikre robuste sikkerhedsforanstaltninger og reagere transparent på hændelser," siger Curran fra Ulster University.

I dette tilfælde er DXS' "hurtig underretning" til Information Commissioner's Office (ICO) og retshåndhævelse i overensstemmelse med GDPR artikel 33, som kræver rapportering af brud inden for 72 timer, hvis der er en risiko for enkeltpersoners rettigheder og friheder, siger Curran.

Tilsvarende gælder de britiske krav i henhold til Databeskyttelsesloven af 2018 Curran siger, at de skal understrege ansvarlighed og forpligte enheder til at dokumentere og afbøde risici forbundet med datahåndtering. "ICO's løbende vurdering af hændelsen afspejler, hvordan tilsynsmyndighederne ikke blot gransker selve bruddet, men også tilstrækkeligheden af responsforanstaltninger, herunder inddæmnings- og efterforskningsprotokoller," fortæller han. IO.

Regulatorer kræver i stigende grad dokumentation for proaktiv risikostyring, fordi reaktive tilgange har vist sig utilstrækkelige over for udviklende trusler – som det fremgår af det stigende antal cyberhændelser i sundhedsvæsenet, ifølge Curran.

Sammenhængende risici

Det kommer på et tidspunkt, hvor cyber-, privatlivs- og AI-risici bliver uadskillelige i sundhedsmiljøer på grund af forbundne systemer, datadeling og automatisering. Samtidig omformer AI-drevne værktøjer risikoprofiler.

DXS International-hændelsen eksemplificerer denne konvergens, hvor en leverandørs brud "potentielt kan afsløre integrerede netværk, der håndterer patientdata, og blande cybersikkerhedstrusler med bekymringer om privatlivets fred", siger Curran.

Datadeling på tværs af økosystemer – mellem udbydere, leverandører og endda grænseoverskridende enheder – udhuler yderligere traditionelle grænser, påpeger han. "Under rammer som NHS' Sundheds- og socialplejenetværk, information flyder dynamisk. Denne sammenkobling kan føre til en cyberhændelse, der kaskaderer ned i krænkelser af privatlivets fred, såsom utilsigtet videregivelse af følsomme sundhedsjournaler.”

Med denne risiko i tankerne "fremmer det betydelige blinde vinkler" at behandle cyber-, privatlivs- og AI-risici i siloer inden for sundhedsmiljøer, siger Curran.

I stedet skal virksomheder have en fælles tilgang til risikostyring. Dette kræver brug af integrerede rammer, der samler informationssikkerhed, databeskyttelse og AI-styring for at understøtte modstandsdygtighed, tillid og langsigtet compliance.

For eksempel skal organisationer betragte AI-agenter og mennesker som "en kombineret arbejdsstyrke, der interagerer med software og infrastruktur", siger Javvad Malik, ledende CISO-rådgiver hos KnowBe4. "Til dette har vi brug for klar ansvarlighed, leverandørgaranti og tilsyn, der bringer data, mennesker og AI sammen for at understøtte tillid og modstandsdygtighed."

Rammer som f.eks. Det Nationale Center for Cybersikkerheds Cybervurderingsramme, ISO 27001 og NIST Cybersikkerhedsramme "tilvejebringe praktiske værktøjer til at integrere kontroller, politikker og risikomålinger", siger NCC Groups Sommer. "Dette hjælper organisationer med at opbygge tillid, demonstrere overholdelse af regler og håndtere cyberrisici på en sammenhængende og forsvarlig måde."

Curran fra Ulster University anbefaler at etablere "tværfaglige teams" bestående af eksperter fra cybersikkerhed, privatliv og kunstig intelligens, der skal samarbejde om risikovurderinger og sikre, at trusler evalueres gennem "et mangesidet perspektiv".

Robust, pålidelig og fremtidssikret

Sundhedsorganisationer og de leverandører, de er afhængige af, skal arbejde på at opbygge mere robuste, troværdige og fremtidssikrede risikostyringspraksisser.

For at vinde er organisationer nødt til at bevæge sig hen imod en samlet tilgang til risiko, siger Ivan Milenkovic, vicepræsident for risikoteknologi EMEA hos Qualys. "I stedet for at genopfinde hjulet, integrerer de bedste teams etablerede internationale standarder for sikkerhed, privatliv og den nye grænse inden for AI-styring i én motor."

Centralt for dette er at integrere risikostyring i organisationskulturen gennem fælles politikker, der kræver "regelmæssige, integrerede revisioner", råder Curran fra Ulster University.

I mellemtiden skal du implementere en model for delt ansvar med dine leverandører, siger Clarotys Sorrels. "Behandl ikke leverandørkontrakter som 'sæt og glem'. Kræv kontinuerlig gennemsigtighed, dokumentation for sikkerhedstest og bevis for, at de opfylder grundlæggende standarder."

Kate O'Flaherty

Kate er journalist inden for cybersikkerhed og privatliv med mere end et årtis erfaring med at dække emner, der er vigtige for brugere, virksomheder og regeringer. Udover ISMS.online kan hendes arbejde findes i Forbes, Wired, The Guardian, The Observer, The Times og The Economist.

Læs mere fra Kate O'Flaherty

Cyber sikkerhed 26 februar 2026

EU's digitale omnibuslovforslag: fælles compliance på dagsordenen

EU's lovforslag om digital omnibus: Fælles compliance på dagsordenen

EU har introduceret en ny digital omnibuslov, der har til formål at strømline reguleringen af databeskyttelse, cybersikkerhed og kunstig intelligens. Hvordan kan organisationer...

Kate O'Flaherty

Cyber sikkerhed 29 januar 2026

Risici ved 700credit-brud på API'en sætter fokus på finansiel forsyningskædestyring blog

700Kreditbrud: API-risici sætter fokus på finansiel forsyningskædestyring

Hvad viser 700Credit-bruddet om det finansielle datasystem og risici i forsyningskæden, og hvilke erfaringer kan vi drage? Af Kate O'Flaherty i ...

Kate O'Flaherty

Cyber sikkerhed 22 januar 2026

banneret for udfordringen med overholdelse af forsyningsvirksomheder

Udfordringen med overholdelse af forsyningsvirksomhederne

Forsyningsselskaber kæmper med fragmentering og siloer, hvilket forhindrer en strømlinet tilgang til compliance. Der er behov for et mere solidt fundament, fordi...

Kate O'Flaherty