IO's seneste rapport om informationssikkerhedstilstanden tegner et billede af en sundhedssektor under vedvarende pres. Organisationer er ansvarlige for at beskytte meget følsomme data, opretholde konstant aktive tjenester og koordinere på tværs af komplekse kliniske, operationelle og leverandørøkosystemer. Når sikkerhedskontroller fejler, rækker konsekvenserne ud over økonomiske tab for patientsikkerhed, servicekontinuitet og offentlighedens tillid.
Resultaterne fra dette års rapport viser, at ledere inden for sundhedssikkerhed balancerer stigende lovgivningsmæssige krav, vedvarende bemandings- og budgetbegrænsninger og voksende afhængighed af tredjeparter. Mens AI-aktiverede trusler tydeligvis er ved at dukke op, tyder dataene på, at sektorens definerende udfordringer er mere strukturelle: modstandsdygtighed, styring, arbejdsstyrkekapacitet og vanskeligheden ved at skalere sikkerhed og compliance i komplekse miljøer.
Vores respondenter omfattede ledende cyber- og informationssikkerhedsledere på tværs af det britiske og amerikanske sundhedssystem. Deres svar afslører, hvor risikoen koncentreres, hvordan hændelser materialiserer sig, og hvad der former prioriteterne for det kommende år.
Nedenfor udpakker vi 11 nøglestatistikker, som alle ledere inden for sundhedsvæsenet bør forstå fra dette års rapport.
Vigtig informationssikkerhedsstatistik for sundhedssektoren
- 67 % siger, at sundhedssektorens natur gør det særligt udfordrende at implementere effektive informationssikkerhedsforanstaltninger.
- 77 % siger, at hastigheden og omfanget af lovgivningsmæssige ændringer gør det stadig vanskeligere at overholde informationssikkerhedsstandarder.
- Budgetbegrænsninger er den mest nævnte udfordring og påvirker 51 % af organisationerne, tæt efterfulgt af et kompetencemangel inden for informationssikkerhed (47 %).
- 32 % rapporterer udbrændthed inden for infosec- og compliance-teams, mens 32 % også kæmper med personaleudskiftning og fastholdelse.
- Kun 8 % siger, at de ikke har oplevet nogen cybersikkerhedshændelser i de seneste 12 måneder.
- 55 % er blevet påvirket af en sikkerhedshændelse hos tredjepart eller i forsyningskæden i det seneste år, hvoraf 20 % er blevet påvirket flere gange.
- Databrud er fortsat udbredt: 37 % rapporterer samlet set brud, hvor medarbejderdata (30 %), partnerdata (28 %) og finansielle data (27 %) hyppigst kompromitteres.
- 45 % siger, at den øverste ledelse stadig behandler compliance med informationssikkerhed som en eftertanke, på trods af at 83 % rapporterer en klar sikkerhedsstrategi, og 85 % støtter ansvarlighed på bestyrelsesniveau.
- 40 % nævner manglende medarbejderbevidsthed som en central sikkerhedsudfordring, hvor almindelige fejl omfatter brug af offentlig Wi-Fi (40 %) og klik på mistænkelige links (35 %).
- Tidsbesparelser fra mere effektive sikkerhedsprocesser er det stærkeste rapporterede investeringsafkast fra compliance, nævnt af 47% af organisationerne.
- 95 % har tillid til deres evne til at reagere på en større cybersikkerhedshændelse, og 68 % siger, at tilliden er steget i løbet af det seneste år.
Tredjepartsafhængighed og risiko i forsyningskæden
Sundhedsvæsenets afhængighed af tredjeparter er strukturel. Kliniske systemer, administreret IT, cloud-tjenester, specialiseret software, medicinsk udstyr og outsourcede operationer udvider alle angrebsfladen. Det er derfor ikke overraskende, at halvdelen af respondenterne (50%) er enige i, at risici i forsyningskæden nu er "utallige og uhåndterlige", og hændelsesdataene understøtter denne bekymring.
55 % af sundhedsorganisationerne blev påvirket af en tredjepartshændelse i de seneste 12 måneder, hvor en ud af fem (20 %) blev påvirket flere gange. Det, der skiller sig ud, er arten af eftervirkningerne. Leverandørhændelser skaber ikke blot compliance-arbejde; de forstyrrer leveringen. Respondenterne rapporterede oftest forsinkelser eller forstyrrelser i serviceleveringen (36 %), tab af vigtige partnerskaber eller kontrakter (36 %) og midlertidige driftsforstyrrelser (33 %). I næsten en tredjedel af tilfældene opsagde organisationerne leverandøren helt (30 %), hvilket signalerer, at leverandørtillid i stigende grad er betinget.
Leverandørernes forventninger skærpes tilsvarende. Sundhedsorganisationer kræver nu en blanding af sektorspecifikke og generelle rammer fra partnere, herunder HIPAA (35%), Cyber Essentials (37%), NIST (29%), sammen med ISO-standarder som f.eks. 27001, 27701 og 42001 (20 % hver). Specialordninger som HITRUST (23 %) og ISO 13485 (20 %) bliver også stadig mere almindelige. Kun 3 % rapporterer, at de slet ikke kræver nogen standarder.
Retningen er klar: tredjepartssikring bevæger sig fra due diligence til kontrol af operationel robusthed, med strengere krav, hyppigere validering og en tættere forbindelse mellem leverandørpositionering og kontinuitetsplanlægning.
Et vedvarende hændelsesmiljø
En anden klar indsigt fra rapporten er, at sundhedsorganisationer opererer i et basalmiljø med mange hændelser i stedet for at stå over for isolerede hændelser. Kun 8 % rapporterer at have undgået cybersikkerhedshændelser helt i de sidste 12 måneder. Databrud ramte 37 % af organisationerne, mens phishing eller vishing (32 %), malwareinfektioner (27 %), cloud-brud (25 %) og netværksindbrud (22 %) fortsat er almindelige.
Omfanget af kompromitterede data afspejler sundhedsvæsenets komplekse informationsstrømme. Medarbejderdata blev kompromitteret i 30 % af organisationerne, efterfulgt af partnerdata (28 %), finansielle data (27 %), forskningsdata (27 %) og produktdata (23 %). Personligt identificerbare oplysninger (PII) blev kompromitteret sjældnere (20 %), men dens indvirkning er uforholdsmæssig stor.
Hvor der opstod brud på personoplysninger, resulterede 75 % i juridiske eller lovgivningsmæssige bøder eller omkostninger, og halvdelen (50 %) bidrog til virksomhedslukning eller et strategisk skifte. Dette understreger de enestående høje risici ved datakompromittering i sundhedsvæsenet, hvor lovgivningsmæssige, omdømmemæssige og operationelle konsekvenser mødes.
Hændelser er med andre ord ikke længere exceptionelle fejl. De er en tilbagevendende operationel risiko, der skal forudses, absorberes og afhjælpes som en del af den normale servicelevering.
Arbejdsstyrkekapacitet og operationel belastning
Bag hændelsesdataene gemmer sig et billede af en sektor under vedvarende operationelt pres. Budgetbegrænsninger påvirker 51 % af sundhedsorganisationerne, hvilket gør det til den mest almindeligt nævnte udfordring. Samtidig rapporterer 47 % et kompetencegab inden for informationssikkerhed, mens 32 % nævner udbrændthed inden for infosec- og compliance-teams, og 32 % kæmper med personaleudskiftning og -fastholdelse.
Disse pres forværres af strukturel kompleksitet. 37 % nævner IT- og teknologispredning som en udfordring, og 33 % kæmper med at afgøre, hvilke sikkerhedsprocesser der kan automatiseres sikkert. Efterhånden som værktøjerne spreder sig, og ansvarsområderne udvides, er teams i stigende grad tvunget til at håndtere fragmenterede arbejdsgange, overlappende dashboards og inkonsekvent dokumentation.
For sundhedsorganisationer, der opererer under konstant pres på serviceydelser, resulterer denne mangel på sammenhæng direkte i risiko: huller i synlighed, forsinket respons og større afhængighed af individuel ekspertise. Over tid er dette ikke en bæredygtig driftsmodel.
Reguleringspres og overholdelse af regler
Reguleringskompleksitet var også et af de definerende træk ved sundhedssikkerhedslandskabet i vores rapport. 77 % siger, at hastigheden og omfanget af regulatoriske ændringer gør det stadig vanskeligere at overholde reglerne, mens 39 % nævner overholdelse af regler og standarder som en direkte operationel udfordring.
Kapaciteten er ujævn. Kun 27 % føler sig fuldt rustet til at håndtere overlappende regler og rammer som f.eks. GDPR, NIS 2 og HIPAA, mens 33 % har brug for ekstern hjælp lejlighedsvis. Resten rapporterer huller i tid, specialiserede færdigheder eller støtte på bestyrelsesniveau.
Denne forskel mellem forpligtelse og udførelse afspejles i resultaterne. 70 % af organisationerne har modtaget mindst én databeskyttelsesbøde i det seneste år, hvor en betydelig andel har stået over for sekscifrede bøder. Dataene viser dog også, at struktur betyder noget. En ud af fem rapporterer ingen større udfordringer med at overholde reglerne. ISO 27001, antyder, at hvor kontroller, dokumentation og gennemgangsprocesser er systematiseret, bliver overholdelse af regler mere forudsigelig og mindre byrdefuld.
Hvor compliance udføres godt, giver det håndgribelige fordele. 47 % nævner tidsbesparelser fra mere effektive sikkerhedsprocesser, 38 % forbedret beslutningstagning og 37 % reducerede hændelsesrelaterede omkostninger, hvilket forstærker argumentet om, at når organisationer skifter fra compliance som forpligtelse til compliance som operationel disciplin, er gevinsten betydelig.
Menneskelig adfærd og indlejret risiko
Medarbejderadfærd udsætter fortsat sundhedsorganisationer for undgåelige risici. 40 % nævner manglende medarbejderbevidsthed som en aktuel udfordring, og rapporteret adfærd afspejler denne mangel. 40 % rapporterer, at medarbejdere bruger offentlig Wi-Fi til arbejde, 35 % rapporterer, at de klikker på mistænkelige links, og 32 % rapporterer usanktioneret brug af generative AI-værktøjer. Svage adgangskodepraksisser og usikrede personlige enheder påvirker hver især 28 % af organisationerne.
Disse adfærdsmønstre er sjældent et resultat af ligegyldighed. De afspejler miljøer, hvor sikre processer er fragmenterede, inkonsekvente eller vanskelige at følge. Når sikkerhedskontroller skaber friktion eller langsom levering, vælger personalet som standard bekvemmelighed.
I sundhedssektoren, hvor medarbejdere ofte har adgang til kliniske systemer og følsomme data, bliver det lige så vigtigt at integrere sikker adfærd i de daglige arbejdsgange som formel bevidsthedstræning.
AI som en forstærker, ikke den centrale begrænsning
AI spiller en fremtrædende rolle i sundhedsvæsenets nye trusselsbillede. 51 % nævner AI-genereret misinformation og desinformation som en prioriteret bekymring, mens 47 % peger på AI-drevet phishing. Internt er 33 % bekymrede over misbrug af generative AI-værktøjer, og 52 % er enige i, at de indførte AI for hurtigt og nu kæmper med at forvalte den ansvarligt.
Samtidig siger 45 %, at AI og maskinlæringsteknologier i øjeblikket hæmmer deres informationssikkerhedskapaciteter, og 63 % mener, at fremskridt inden for AI udvisker traditionelle sikkerhedsroller.
Dataene tyder dog på, at AI forstærker eksisterende svagheder snarere end at skabe helt nye. Ledelsesmæssige huller, begrænsninger i arbejdsstyrken, afhængighed af tredjeparter og regulatorisk kompleksitet er fortsat de dominerende pres. AI øger hastigheden og omfanget af risiko, men den erstatter ikke behovet for struktureret kontrol, klar ansvarlighed og integreret tilsyn.
Tillid, beredskab og vejen frem
Trods et højt antal hændelser og et stigende pres er tillidsniveauet inden for sundhedsvæsenet fortsat påfaldende højt. 95 % siger, at de har tillid til deres evne til at reagere på en større cybersikkerhedshændelse, og 68 % rapporterer, at deres tillid er steget i løbet af det seneste år.
Denne tillid er baseret på konkret kapacitet. Næsten halvdelen udfører regelmæssig test af hændelsesrespons (47%), 49% har klart definerede roller under hændelser, og 42% opretholder dokumenterede beredskabsplaner. Mange integrerer beredskab med forretningskontinuitet og katastrofeberedskab (33%) og er afhængige af ekstern støtte såsom MSSP'er eller juridisk rådgivning (30%).
Den resterende udfordring er konsistens. Tilliden er stærkest, hvor hændelsesrespons øves, leverandørscenarier inkluderes, og ledelsen er aktivt engageret før, under og efter hændelser.
På tværs af dette års resultater er ét tema gennemgående: manuelle, fragmenterede og personafhængige tilgange er ved at nå deres grænser. Sundhedsorganisationer, der anvender integrerede, repeterbare systemer til styring af sikkerhed, risiko og compliance på tværs af interne teams og tredjepartsøkosystemer, vil være bedst placeret til at opretholde modstandsdygtighed uden at overbelaste allerede belastede ressourcer.
