2,7 millioner innspilte samtaler til 1177 Vårdguiden har ligget helt ubeskyttet på internett siden 2013. Samtalene inneholder sensitive opplysninger som personnummer, sykdommer, symptomer og tidligere behandlinger av syke svensker. Det skriver Computersweden.
1177 Vårdguiden er en rådgivningstjeneste der svenske innbyggere kan få informasjon om statens helse og omsorgstjenester. Den døgnåpne tjenesten eies av svenske kommuner og landsting, og bemannes av sykepleiere og leger.
Slang på røret
Da den svenske nettavisen videreformidlet opplysningene til selskapet som har ansvaret for sikkerhetsfadesen, slang deres administrerende direktør på røret.
– Jeg har sjekket med IT-avdelingen vår, og opplysningene du oppgir kan umulig stemme, konstaterte Davide Nyblom i Medicall til den svenske nettavisens journalist før samtalen ble brutt.
Selskapet har sitt hovedkontor i Hua Hin Thailand og er en underleverandør av Medhelp, som tar imot samtaler fra Stockholm, Södermanland og Värmland.
De sensitive samtalene har blitt spilt inn når pasientene har ringt 1177, og så blitt lastet opp og lagret i nettskyen når samtalen var over.
Telefonopptakene skal sikre kvaliteten i oppfølgingen av pasientene, opplyser 1117 Vårdguiden til Computersweden.
Omtales som «katastrofe»
Selskapet som står bak telefonløsningen som leveres til 1177 Vårdguiden kaller avsløringen en «katastrofe». De sier at de og deres underleverandører systematisk skal gå igjennom IT-systemene for å forhindre at noe lignende skal skje igjen.
Sikkerhetshullet som nå skal være stengt skal være det verste i svensk historie, skriver Computersweden.
SVT Nyheter melder at 55 samtaler er lastet ned fra totalt syv unike IP-adresser.
Reaksjonene har ikke latt vente på seg.
– Jeg har aldri ført vært så sint – dette skal ikke kunne skje. Vi har underskrevet klare avtaler for at nettopp dette ikke skal skje, og derfor ser jeg spesielt alvorlig på saken, sier regionråd Daniel Forslund i Liberalerna (L) til Computersweden.
Medhelp og deres underleverandører har levert helsetjenester til de svenske regionene i over 20 år.
Ikke krav til sikkerhetstester
Regionsråden sier at de har satt juridiske ressurser på saken for å se over avtalene og følge opp at alle krav er fulgt. Den svenske regionen tilbyr også de private selskapene teknisk hjelp for å begrense skadeomfanget.
Saken er foreløpig ikke politianmeldt.
Forslund opplyser til den svenske IT-avisen at de utfører jevnlige penetrasjonstester for å sjekke at sikkerheten til tjenestene de selv leverer holder hva de lover, men at det samme regimet ikke gjelder deres underleverandører.
Liberalerna-politikeren mener helsesektoren i Sverige nå må gå igjennom et kompetanseløft for å gjenvinne tilliten til befolkningen.
Sveriges sosialminister Lena Hallengren i Sveriges socialdemokratiska arbetareparti sier at avsløringen både er «alvorlig» og «oppsiktsvekkende».
– Dette er fullstendig uakseptabelt. Jeg forutsetter at de berørte landstingene og regioner handler raskt og resolutt for å rette opp i de akutte utfordringene som har oppstått, men også sørger for at noe lignende ikke kan skje igjen, sier hun til Computersweden.
