Helse Vest ble 5. januar i år rammet av Windows-ormen «Conficker», også kjent som «Downadup».
Viruset rammet en stor andel av helseregionens anslagsvis 14.000 klientmaskiner og rundt 600 servere. Over 10.000 PC-er måtte renses for ondsinnet kode.
- Dette viruset unytter sikkerhetshull i Windows og sprer seg effektivt når det først har kommet seg inn i organisasjonen, sier virusanalytiker Snorre Fagerland i Norman til digi.no.
Conficker har ifølge virusanalytikeren et klassisk design og er en type virus som kombinerer mange mekanismer.
- Viruset har blant annet en stor passordliste, som den bruker for å gjette seg frem til passord for å kunne infisere andre maskiner. I tillegg sprer den seg også via minnepinner, sier Fagerland.
Den omfattende spredningen av viruset tvang til slutt Helse Vest IKT å stenge netttilgangen, for å kunne få kontroll over situasjonen. Først etter flere dager kunne systemene friskmeldes.
Det er Helse Vest IKT som har ansvar for maskinparken, og ifølge administrerende direktør Erik M. Hansen er angrepet det verste de har opplevd siden det verdenskjente «I Love You»-viruset herjet i 2000.
Ovenfor digi.no understreker han likevel at viruset ikke har utgjort noen sikkerhetsrisiko og ikke har medført konsekvenser for liv og helse, slik enkelte medier har hevdet. Pasientbehandlingen har imidlertid periodevis blitt noe forsinket.
- Viruset førte til lengre responstider i mange av våre systemer, spesielt tirsdag 6. januar. Det er fordi Active Directory ble rammet. Det var tidvis også problemer med pålogging til PC-ene, men ikke til systemene.
Ifølge Hansen har alle produksjonssystemene i helseregionen fungert som normalt siden fredag 9. januar.
- Alle PC-ene ble renset ved hjelp av renseverktøy som ble distribuert via Microsofts Server Management System (SMS). Serverne måtte renses manuelt, noe som tok fem dager. Det henger sammen med at disse måtte tas ned utenfor ordinær arbeidstid.
Hansen forteller at de benytter antivirusløsning fra F-Secure, og at han er veldig fornøyd med dem. - De har vært på ballen hele veien, sier han.
Helse Vest opplyser at de installerte sikkerhetsoppdateringene fra Microsoft straks de ble klare i oktober 2008. Vanlige brukere skal heller ikke ha administrative rettigheter på maskinene sine.
- Utfordringen med denne typen virus, som er såvidt kompliserte, gjør det vanskelig å si om vi kunne gjort noe annerledes.
Helse Vest IKT-sjefen ønsker derfor ikke å spekulerer i hva den opprinnelige infeksjonen og den massive spredningen kan skyldes. Ikke før de har rukket å se på alle detaljene.
- Jeg håper vi finner frem til dette i løpet av de neste fjorten dagene. Deretter vil vi gå gjennom våre egne risiko- og sårbarhetsanalyser og tilhørende tiltaksplaner, sier han.
Samtidig er Hansen kjent med at viruset også spres via minnepinner og bekrefter at slike er i bruk blant de ansatte.
Viktig med katastrofeplan
Virusanalytiker Snorre Fagerland ønsker ikke å kommentere den spesielle saken, men sier på generelt grunnlag at det er viktig å planlegge for katastrofe på forhånd.
- Spesielt for organisasjoner der oppetid og drift er kritisk bør man har gjort en del arbeid på forhånd. Dersom noe går galt bør man vite hvilke prosedyrer som skal følges, hvem som har ansvaret og hvem som bør kontaktes eller kalles inn for hjelp. Når noe går galt vil ofte kaoset som oppstår være mer skadelig enn selve viruset, sier Fagerland.
Fagerland selv kjenner ikke til tilfeller der liv eller helse har stått på spill som følge av virusangrep. Men legger til at det er mange eksempler på betydelige finansielle tap, også blant norske virksomheter.
- Særlig gjelder det i forbindelse med driftstans hos større organisasjoner, der hele konsernet tas ned. Da snakker vi om økonomiske tap i flere millioners-klassen. Det har vært en del tilfeller, også her til lands, sier Fagerland.
Hvilke virksomheter eller organisasjoner det dreier seg om ønsker virusanalytikeren imidlertid ikke å kommentere.
Microsoft ga forrige uke ut en oppdatert versjon av et verktøy som fjerner ondsinnet kode. Denne skal ifølge selskapet fjerne Conficker-ormen fra infiserte maskiner. De har også lagt ut en oppskrift på hvordan ormen kan fjernes manuelt.
Les også:
- [28.04.2009] Advarer mot falske sikkerhetsprogrammer
- [30.03.2009] - Dataspionasje også i Norge
- [16.03.2009] Slik unngår du Conficker
- [12.03.2009] - Må ha rutiner som takler virus
- [10.03.2009] Advarer mot hissig Conficker-mutant
- [03.03.2009] Datakollaps i Kripos
- [25.02.2009] Kriminelle utnytter nyoppdaget hull i Excel
- [13.02.2009] Million-dusør i kampen mot «Conficker»
- [02.02.2009] Fylke oppretter nødblogg
- [20.01.2009] - Conficker har smittet ni millioner
- [16.01.2009] Løpsk Windows-orm kan bli botnet
- [08.01.2009] Datavirus slo ut Helse Vest
- [27.11.2008] Microsoft advarer om ny Windows-orm
- [24.10.2008] Windows-sårbarhet allerede under angrep