Ransomware-attack mot EHR-leverantör: vad säger detta om koncentrationen inom vård-IT?

Den senaste ransomware-attacken mot en stor mjukvaruleverantör (ChipSoft) inom den nederländska sjukvårdssektorn har återigen blottlagt en känslig fråga: beroendet av ett litet antal parter för kritisk digital infrastruktur. I det här fallet handlade det om en leverantör av elektroniska patientjournaler (EHR), vars system tillfälligt togs offline för att begränsa skadorna och möjliggöra utredningar.

Enligt flera medierapporter och frågor som sedan dess har väckts i politiken undersöks i vilken utsträckning patientuppgifter kan ha fångats upp och hur detta påverkar vårdinrättningar som är beroende av dessa system. Incidenten är inte isolerad utan en del av en bredare trend där IT inom sjukvården i allt högre grad utsätts för cyberattacker.

Marknadskoncentration: effektivitet kontra risk

I Nederländerna är EHR-marknaden mycket koncentrerad. En liten grupp leverantörer levererar programvara till de allra flesta sjukhus och vårdinrättningar. En aktör som ofta nämns är ChipSoft, som enligt marknadsuppskattningar har en marknadsandel på cirka 76% inom sjukhussektorn.

Denna koncentration har haft fördelar, såsom standardisering, skalfördelar och snabb utrullning av digitala vårdprocesser. Samtidigt skapar den en form av beroende som också medför risker. När en dominerande part drabbas av en störning påverkar det omedelbart en stor del av vårdkedjan. En annan faktor är att delar av infrastrukturen ofta lutar sig mot externa teknikplattformar, t.ex. moln- och mjukvarutjänster från stora leverantörer som Microsoft, vilket innebär att eventuella sårbarheter i den kedjan indirekt kan påverka tillgängligheten och säkerheten i vårdsystemen.

Inom IT kallas detta fenomen ofta för "vendor lock-in": organisationer är så tekniskt och avtalsmässigt sammanflätade med en leverantör att det är komplicerat och kostsamt att byta.

Innovation under press?

En återkommande debatt inom IT för sjukvården är huruvida en konsoliderad marknad påskyndar eller hämmar innovation. Förespråkare för stora leverantörer pekar på stabilitet och fortsatt utveckling inom ett ekosystem. Kritikerna menar att en monopolliknande ställning kan minska incitamentet till innovation.

Dessutom spelar interoperabilitet en viktig roll. Olika källor och forskningsrapporter har tidigare kritiserat den begränsade utbytbarheten mellan system från olika leverantörer. Detta kan få praktiska konsekvenser inom sjukvården: när systemen inte kommunicerar väl finns det risk för ofullständig patientinformation i avgörande ögonblick.

Cybersäkerhet som en strukturell risk

Den senaste tidens ransomware-incidenter visar att IT inom vården inte bara är en funktionell fråga, utan också en säkerhetsfråga. Sjukvårdsdata är extremt känsliga och därför attraktiva för brottslingar. EHR-systemen är dessutom sårbara på grund av sin storlek och komplexitet: stora datamängder, många användare och komplexa åtkomststrukturer ökar attackytan.

Experter på cybersäkerhet har länge påpekat att datasegmentering och striktare åtkomstkontroll är viktigt för att begränsa skadorna vid en attack. I vissa system kan bred åtkomst för anställda faktiskt innebära att ett komprometterat konto kan få stora konsekvenser.

Vad innebär detta för marknaden?

Diskussionen rör sig alltså alltmer från "vilken programvara som fungerar bäst" till "hur organiserar vi ett motståndskraftigt ekosystem". I detta verkar det finnas utrymme för mindre och mer specialiserade aktörer. Inte nödvändigtvis som ersättare för stora EHR-plattformar, utan som komplement i ett mer modulärt landskap.

Mindre aktörer kan i vissa fall innovera snabbare, utveckla mer specifikt och lättare integrera med befintliga system via moderna API-arkitekturer. Detta gör dem mer flexibla i en bransch som förändras snabbt, både tekniskt och lagstiftningsmässigt.

Organisationer som Webcamconsult, som är verksamma inom digitala vårdapplikationer och patientkommunikation, verkar inom den bredare rörelsen mot hybrid och mer distribuerad vård-IT. Inte som ett alternativ till stora journalsystem, utan som en del av ett ekosystem där samarbete och interoperabilitet blir allt viktigare.

Slutsatser

Detta gör ransomware-attacken mot en stor leverantör av mjukvara för sjukvården till mer än en incident. Den berör grundläggande frågor om marknadsstruktur, beroende och digital motståndskraft inom hälso- och sjukvården.

En starkt koncentrerad marknad kan vara effektiv, men den medför också systemrisker. Utmaningen under de kommande åren ligger i att hitta en balans mellan skala, säkerhet och innovation, utan att viktiga vårdprocesser blir beroende av för få länkar i kedjan.

Källor

• Security.nl, Parliamentary questions on ransomware attack on EHR provider ChipSoft
• NU.nl, Hacked patient records software provider takes systems offline
• NU.nl, Ransomware attack on patient records software provider