Datainnbruddet som ble oppdaget hos Helse Sør-Øst den 8. januar i år, ble gjennomført ved å utnytte en applikasjon driftet lokalt ved et sykehus i regionen. Dette fortalte administrerende direktør i Helse Sør-Øst RHF, Cathrine M. Lofthus, under et foredrag ved Sikkerhetskonferansen til Nasjonal sikkerhetsmyndighet onsdag ettermiddag. Hun understreket at det ikke var Sykehuspartner som sto for driftingen av denne applikasjonen.
Det har i ettertid blitt besluttet at Sykehuspartner heretter skal drifte alle serverne i regionen, det vil si at ikke noe overlates til det enkelte sykehus.
Helseministeren: – Vi kan ikke utelukke at informasjon er på avveie
Kartlagt
Det er svært lite av detaljer som så langt har kommet fram om datainnbruddet som kan ha berørt helseopplysningene til mer enn halvparten av Norges befolkning, så dette er første gang på ganske lenge at partene har kommet med ny informasjon om hva som skjedde. Innbruddet etterforskes fortsatt av PST.
Lofthus fortalte at det også er klart at aktøren som stod bak innbruddet, hadde foretatt skanning etter angrepsvektorer i flere dager før selve inntrengningen skjedde. Deretter skal det ha blitt utført kartlegging med et lavt aktivitetsnivå for å unngå å bli oppdaget.
Lofthus sa videre at det var viktig for det regionale helseforetaket å ha kontinuerlig kontakt med sykehusene for å sikre at de hele tiden var oppdatert og forberedt på eventuelt ytterligere hendelser.
– Vi var bekymret for at systemene skulle bli tatt ned, fortalte hun.
Selv om regionen har rutiner som tar høyde for at det kan ta noe tid å ta ned og skifte ut systemer, omtalte Lofthus en potensiell, ondsinnet avstenging som en uvant situasjon.
Les også: PST mistenker at datainnbruddet hos Helse Sør-Øst dreide seg om etterretningsvirksomhet
Skrudde av servere
Den 10. januar ble de første serverne som ble kompromittert, tatt ned av driftspersonellet – angivelig med et håp om å isolere problemet. Men ifølge Lofthus har dette i ettertid vært omdiskutert.
Ifølge Lofthus har helseforetakets bruk av systemer for inntrengningsdetektering (IDS) gitt etterforskningen viktig informasjon om hvordan trusselaktøren har opptrådt.
Selv om det fortsatt kan ta en god stund før resultatet av etterforskningen er klart, fortalte Lofthus om lærdom som har blitt tatt av hendelsen.
– Det inkluderer at det kan og antagelig vil skje alle, sa Lofthus.
Derfor har Helse Sør-Øst i sterkere grad enn tidligere begynt å understreke viktigheten av grunnleggende sikkerhetsråd som at man bør oppgradere programvare så raskt som mulig, at kjøring av ikke-autorisert programvare blokkeres, og at brukerne ikke benytter kontoer med administratorrettigheter.
Bakgrunn: Hackere skal ha fått tilgang til minst ti servere hos Sykehuspartner
Ikke valgfag
I likhet med stadig flere, mener hun at informasjonssikkerhet må være på bordet til styrene i virksomheter, og da ikke som «valgfag». Hun la også til at mange av ledergruppene ute i sykehusene har fått seg en vekker etter dette datainnbruddet.
På spørsmål fra salen om hva som kan ha vært motivet for innbruddet, sa Lofthus at det er vanskelig å spekulere i dette, og at inntil etterforskningen er ferdig når det gjelder dette, så vil det bare være spekulasjoner.
Spekulasjoner? – Jaktet på pasientjournaler og forsvarsinformasjon
Diger infrastruktur
Lofthus fortalte under foredraget også at helsevesenet har en vesentlig teknologisk gjeld, hvor de eldste systemene ikke tilfredsstiller dagens krav til informasjonssikkerhet.
De rundt 80 000 medarbeidere til Helse Sør-Øst behandler i gjennomsnitt 13 000 pasienter i døgnet. Disse bruker omtrent 45 000 ulike pc-er med sammen cirka 2500 ulike applikasjoner som kjøres på rundt 10 000 servere. Det meste av IKT-systemene, men altså ikke alt, driftes av Sykehuspartner, som har omtrent 1400 ansatte.
Frykter nedkjølingseffekt
I en kommentar til digi.no sier Christine Korme, direktør for digitalisering og fornying hos Abelia, at det var både interessant og skremmende å høre Lofthus fortelle mer om angrepet mot Helse Sør-Øst inder NSMs Sikkerhetskonferanse i dag.
– Hennes oppfordring om at IT-sikkerhet ikke kan være «valgfag» for styrer i virksomheter, bør virkelig tas på alvor. mener Korme.
– Abelia frykter at denne typen hendelser kan føre til en digital nedkjølingseffekt – stikk i strid med hva den bør føre til. Lav kompetanse og i noen tilfeller ubegrunnet frykt for private leverandører og at «noe kan skje», fører til at virksomheter fortsetter å drifte og lappe på gamle usikre løsninger, fortsetter hun.
– Da får brukerne dårligere løsninger og ikke minst; langt mindre sikre løsninger. Digital nedkjøling er i seg selv en sikkerhetsrisiko. Slik hendelser bør være en vekker og grunn god nok til å redusere teknologisk gjeld umiddelbart, avslutter Korme.
Saken er oppdatert med avsnittet om infrastrukturen til Helse Sør-Øst, samt kommentarer fra Christine Korme i Abelia.