Beredskapsøvelse – løsepengevirus og pasientinformasjon på avveie

Om øvelsen

Type øvelse: Diskusjonsøvelse

Tidsbruk: 2 timer

Passer for: Kommunale virksomheter

Målgrupper: Kommunens kriseledelse, beredskapsledere og -koordinatorer, kommuneoverleger og ledere i helse- og omsorgstjenesten, herunder ledere for allmennlegetjenesten og legevakt, relevante ansatte i virksomhetene.

Diskusjonsøvelse - løsepengevirus og pasientinformasjon på avveie

Øvelsen tar utgangspunkt i et alvorlig digitalt sikkerhetsbrudd der kommunen rammes av et løsepengevirusangrep. Flere systemer er utilgjengelige, og det foreligger mistanke om at pasientopplysninger er kopiert og gjort tilgjengelig for uvedkommende.

Hendelsen stiller kommunen overfor krevende valg knyttet til pasientsikkerhet, personvern, drift av helsetjenester, varsling og kommunikasjon – under betydelig tidspress og usikkerhet.

Scenario

Fram til helgen har kommunen vært i normal drift.  Helse- og omsorgstjenestene er tett integrert med digitale fagsystemer og felles IKT‑infrastruktur. Kommunen benytter ekstern leverandør for flere sentrale systemer, inkludert elektroniske pasientjournaler (EPJ). Det foreligger beredskapsplaner for IKT‑hendelser, men det har ikke vært gjennomført øvelser.

Del 1: Mandag morgen

Flere ansatte har problemer med å logge inn på kommunens interne systemer. Skjermer fryser, og enkelte PC-er viser en melding om at filer er låst og utilgjengelig (kryptert).

Kort tid etter mottar kommunens IT-avdeling varsel i flere systemer der det fremgår at kommunen er utsatt for et løsepengevirusangrep. Angriperne krever betaling i kryptovaluta for å gi tilgang til systemene igjen.

Samtidig oppdager IT-avdelingen spor som kan tyde på at data er kopiert ut av systemene før kryptering. Det er uklart hvilke data det gjelder, men kommunens EPJ-system er blant de berørte.

Spørsmål til diskusjon. Bruk disse i alle fasene i øvelsen:

  • Hvordan påvirker denne hendelsen oss? Hva kan konsekvensene bli?
  • Hva er vår rolle og vårt ansvar i denne situasjonen?
  • Hvilke tiltak skal vi sette inn?
  • Hvilke ressurser er tilgjengelige internt? Hvem andre kan vi be om bistand fra?
  • Hvilke oppgaver må vi fortsette å gjøre? Hvilke oppgaver kan vi prioritere ned?
  • Hvem har myndighet til å beslutte hva vi skal gjøre, hva vi skal prioritere og hva vi ikke skal prioritere?
  • Hvem trenger vi å samarbeide med og samordne oss med?
  • Hvordan fanger vi opp hva innbyggerne, egne ansatte og andre målgrupper trenger av informasjon? Hvordan når vi ut med informasjon? Hva er innholdet i informasjonen?
  • Hvordan identifiserer og ivaretar vi særskilt utsatte grupper?

Gode råd - del 1  

  • Behandle hendelsen som en alvorlig samfunnssikkerhets‑ og pasientsikkerhetshendelse.
  • Varsle leverandør og Helse- og kommuneCERT. Vurder ytterligere varsling.
  • Isoler berørte systemer og følg etablerte rutiner for håndtering av IT-hendelser.
  • Vurder fortløpende behov og tiltak for å skjerme informasjon for innsyn.
  • Ikke ta forhastede beslutninger uten helhetlig situasjonsforståelse.
  • Dokumenter erfaringer. 

Del 2: Mandag

I løpet av de neste timene bekrefter leverandør og kommunens IT-avdeling at angrepet er omfattende. Kommunen har mistet tilgang til flere fagsystemer, inkludert EPJ. Det er indikasjoner på at pasientjournaler og personopplysninger kan være kopiert. Kommunen har mottatt en trussel om publisering av data på det mørke nettet dersom kommunen ikke betaler løsepenger innen 24 timer.

Helse- og omsorgstjenestene har tatt i bruk manuelle rutiner for dokumentasjon. Ansatte rapporterer stor usikkerhet, særlig rundt pasientsikkerhet og dokumentasjon. Media får kjennskap til hendelsen og spør om sensitive pasientopplysninger er på avveie. Innbyggere tar kontakt med kommunen med bekymring for egne data.

Gode råd – del 2

  • Vurder om kommunen kan hente kritisk informasjon fra andre kilder, f.eks. fastlegenes EPJ. Hvis ja, hvordan kan dette gjennomføres i praksis?
  • Vurder varsling etter personvernregelverket.
  • Vurder hvordan dere støtter ansatte som står i en krevende arbeidssituasjon.
  • Etabler tett samarbeid mellom alle helsetjenestene, IT-avdeling, personvernansvarlig, sikkerhetsansvarlig og kommunikasjonsansvarlig.
  • Vær åpen og tydelig i informasjon til egne ansatte, innbygger og presse – vær ærlig om det dere ikke vet. Ivareta samtidig behov for å skjerme informasjon om tekniske sårbarheter og annet som ikke bør deles av hensyn til å få kontroll over situasjonen.
  • Lytt til innbyggere, brukere, pårørende og egne ansatte. Gi oppdatert informasjon og konkrete råd.
  • Sørg for skriftlig dokumentasjon av vurderinger, beslutninger og avvik.
  • Dokumenter erfaringer.

Avslutning, evaluering og forbedring

Vi håper dere nå har hatt noen spennende og oppklarende diskusjoner, og at øvelsen var nyttig. 

Etter diskusjonsøvelsen anbefaler vi å gjøre en evaluering.

Bruk enkle spørsmål:

  • Hva har vi lært? Hva er vi gode på? Hva kan vi bli bedre på? 
  • Hva trenger vi å gjøre om på, eller få på plass?
  • Er det noe vi trenger å diskutere og avklare nærmere internt hos oss eller sammen med andre?

Følg opp øvelsen:

  • Hva skal vi prioritere å gjøre? Hva er viktigst? Hvem følger opp? Når?
  • Bør vi, for eksempel:
    • Endre på risiko- og sårbarhetsanalysene våre?
    • Gjøre om på noe i beredskapsplanene, tiltakskort eller rutiner?
    • Gjøre noe for å styrke vår kapasitet og kompetanse?
  • Bør vi dele våre erfaringer med andre i og utenfor egen organisasjon, og bør vi eventuelt gjennomgå hvordan vi samhandler med andre før og under slike hendelser?

Hvis du har tilbakemeldinger på øvelsen, gode diskusjonsøvelser du ønsker å dele med oss, eller innspill til andre temaer som vi bør lage øvelser for, ta gjerne kontakt med Helsedirektoratet på: beredskapsverktoy@helsedir.no

Først publisert: 18.06.2026 Siste faglige endring: 18.06.2026 Se tidligere versjoner