Svensk vård står inför ett teknologiskt skifte som kan förändra spelreglerna för informationssäkerhet. Kvantdatorer, som i framtiden kan knäcka dagens kryptering, utgör ett långsiktigt hot mot skyddet av känsliga data, såsom hälsodata.
Samtidigt öppnar kvantteknologi dörren för banbrytande medicinsk forskning och läkemedelsutveckling. Det är inte en fråga om tekniken kommer att komma, utan när. Det är också en komplex fråga hur balansen mellan innovation och säkerhet ska hanteras. Vad som dock är klart är att ledarna inom Sveriges vårdsektor behöver agera nu, innan hotet blir verklighet.
En ny rapport från RISE i samarbete med E-hälsomyndigheten, finansierad av Vinnova, slår fast att tiden är knapp. Strategin som hackare redan använder kallas harvest now, decrypt later och innebär att krypterad data samlas in idag för att dekrypteras när kvantdatorer blir tillräckligt kraftfulla. De dekrypterade uppgifterna kan då användas i till exempel utpressningssyfte. För hälsodata, som behåller sitt värde under hela individens livstid, kan detta vara ett existentiellt hot.
- Det största hotet är inte teknisk osäkerhet utan passivitet, och det behöver beslutsfattarna bli medvetna om. Det finns inga färdiga standarder ännu men det finns grundstandarder för postkvantkryptografi, PQC, som innebär att arbetet kan påbörjas, och det behöver göras nu. Väntar vi med att starta tills allt är på plats riskerar vi att hamna flera år efter, säger Michael Popoff, senior forskare inom kvantteknologier på RISE.
Rapporten pekar på att de avgörande besluten behöver fattas nu, inför nya upphandlingar och i ledningsgrupper. De ramavtal som tecknas under 2026 kommer att avgöra om systemen är rustade med PQC till 2030, då EU kräver att de ska vara det. PQC är klassiska, icke-kvantbaserade algoritmer som är konstruerade för att stå emot attacker från kvantdatorer. Krav på PQC-beredskap måste med andra ord föras in omedelbart.
- Vi ser en utveckling där säkerhetskrav får en allt tydligare plats inom offentlig upphandling. Det ger offentliga aktörer en strategisk möjlighet att styra marknaden, säger Åse Lundh Gravenius, senior forskare och rättslig expert.
Hon framhåller att det kan krävas möjlighet att utesluta leverantörer av säkerhetsskäl. Men frågan är inte bara teknisk. Den är också organisatorisk och etisk. Kvantresiliens måste förankras på ledningsnivå och integreras i riskhantering.
- Lösningarna finns där, tekniken finns där, så låt oss prata om det. Det här är inte en IT-fråga utan är en ledningsfråga. Hälsodata är berättelser om människors liv, insamlade under tillit. Att skydda dem är inte bara en juridisk skyldighet utan också ett socialt ansvar, säger Michael Popoff.
Rapporten föreslår att Sverige snabbt tar fram ett tekniskt referensdokument för kvantresiliens inom vårdsektorn, innan internationella standarder är på plats. Ekonomiska incitament, som tidsbegränsade stöd för inventering och migreringsplaner, kan ge kommuner och regioner kapacitet att agera. Kunskapsstyrning och kommunikation är avgörande för att väcka handlingsvilja.
- Vi måste se synergierna. Det finns tydliga överlappningar mellan de åtgärder som krävs för kvantresiliens och de processer som nu följer av NIS2 och EHDS. Det handlar inte om nya resurser, utan om smart samordning och ett högt tempo, säger Åse Lundh Gravenius.
Budskapet är tydligt: hotet är framtida, men tidpunkten för att agera är nu. Vägen idag mot kvantresiliens handlar om att använda redan befintliga styrmedel strategiskt som upphandling, ledningsstyrning och samordning med andra regelverk.
I ett nystartat Vinnovaprojekt som leds av RISE ska man nu undersöka hur man ska genomföra övergången till kvantsäkra lösningar för hälsodata. I projektet arbetar man med typfall och i arbetsgrupper som motsvarar olika aktörer i ekosystemet. Tanken är att förbereda aktörerna som hanterar hälsodata, både privata och offentliga, för den migration till kvantsäkra IT-system som kommer att krävas. Projektet avslutas i slutet av 2028 och målet är då att ha en säkerställd övergång till kvantsäkra lösningar för vårdsektorn till 2030.
Läs hela rapporten (pdf) Forskningsrapport: Framtidens hot, dagens beslut - policy för kvantsäkra hälsodata
