Sjuk informationssäkerhet?

Enligt Dagens Nyheter ska en server som används för patientjournaler under åtta månader varit exponerad mot Internet. När felet rättades till upptäcktes, enligt DN, obehörig trafik mot servern. På servern fanns även program installerade för att att genomföra sårbarhetsskanningar och för att avlyssna nätverkstrafik.

Risk för rikets säkerhet

Förstasidorna på Dagens Nyheters digitala edition den 30 oktober till 1 november 2013.

Landstinget i Stockholms län förnekar att ”obehöriga kan ha haft tillgång till omfattande information ur sjukvårdens IT-system i samband med en säkerhetsbrist”. Landstinget har även släppt en lägesrapport om säkerhetsbrist i IT-miljön. Landstinget har, enligt rapporten, låtit tre oberoende företag genomföra analyser där företaget Simovits Consulting har varit huvudansvarig i analysarbetet.

Lägesrapporten och Dagens Nyheters rapportering överensstämmer inte. Bl a säger landstinget i sin lägesrapport att ”det finns inga indikationer på att det skulle funnits någon möjlighet att installera” de program som DN påstår har upptäckts på servern. För en utomstående är det svårt att få det hela att gå ihop.

Omöjligt att offentligt diskutera IT-säkerhet

Det är omöjligt att offentligt och på en detaljerad nivå diskutera IT-säkerhet hos myndigheter. Anledningen är en bestämmelse i offentlighets- och sekretesslagen som handlar om säkerhets- och bevakningsåtgärder.

Tredje punkten i bestämmelsen handlar om säkerhetsåtgärder i telekommunikationer och IT-system. I det senare fallet är det alla slag av säkerhetsåtgärder som omfattas, t ex tekniskt skydd som behörighetskontroll men även administrativa rutiner såsom manuell logganalys. Sekretess enligt bestämmelsen är inte valfri. Är det så att en uppgift uppfyller villkoren i bestämmelsen gäller sekretess för uppgiften. En myndighet kan därför inte i detalj offentligt redogöra vilken IT-säkerhet som finns för att t ex bemöta en dagstidnings påstående om brister i IT-säkerhet.

En person som är anställd av, eller i uppdrag hos, en myndighet får heller inte lämna uppgifterna som omfattas av sekretess för säkerhets- och bevakningsåtgärder till t ex en tidningsredaktion. Anledningen är att det inte råder meddelarfrihet för uppgifterna då sekretessbestämmelsen finns med i 18 kap 19 § OSL. Rätten att meddela och offentliggöra uppgifter har undantagits och sekretessbestämmelsen 18 kap 8 § OSL är ett exempel på sk kvalificerad sekretess (läs gärna mer om kvalificerad sekretess i blogginlägget Fler fel om sekretess i Officerstidningen).

Sekretessen för säkerhets- och bevakningsåtgärder är inte tidsbegränsad. Sekretessen för en uppgift upphör då villkoren i bestämmelsen inte längre är uppfyllda. Säkerhetsåtgärder i IT-system som är avvecklade borde därför vanligtvis inte omfattas av sekretessen. En anledning till fortsatt sekretess skulle kunna vara om andra IT-system innehåller de säkerhetsåtgärder som fanns i ett avvecklat IT-system.

Rikets säkerhet?

Risk för rikets säkerhet

Utdrag från Dagens Nyheters webbplats.

DN: Risk för rikets säkerhet

Rikard Lövström, som har i uppdrag att bevaka IT-frågor för Läkarförbundets styrelse, säger till Dagens Nyheter:

”Det här är en risk för rikets säkerhet. I åtta månader har ett antal okända personer kunnat vada runt i sjukjournaler som sannolikt gäller personer som kungafamiljen, och andra som leder landet.”

Nej, jag tror inte att det är risk för rikets säkerhet. 

Ett röjande av uppgifterna i landstingens journalsystem kan knappast medföra att den yttre säkerheten för det nationella oberoendet eller den inre säkerheten för det demokratiska statsskicket hotas, vilket är det som oftast brukar avses med rikets säkerhet. I fråga om landets ledning och dess betydelse för totalförsvaret skulle sådana uppgifter sannolikt omfattas av försvarssekretess. Om landstingens journalsystem innehåller sådana uppgifter ska uppgifterna omfattas av ett säkerhetsskydd enligt säkerhetsskyddslagen, säkerhetsskyddsförordningen och Rikspolisstyrelsens föreskrifter och allmänna råd om säkerhetsskydd. Det tror jag inte på.

Även om det skulle finnas ömtåliga uppgifter i patientjournalerna om politiker som genom sin befattning har en betydelse för totalförsvaret kan uppgifterna knappast leda till att rikets säkerhet hotas. Men sådana uppgifter skulle ändå kunna användas av främmande makt för att underlätta kontakttagning (HUMINT), otillbörlig påverkan eller helt enkelt för att förstå den berörda människan. Uppgifterna skulle t ex kunna underlätta för en annan stats underrättelsetjänst att värva en svensk spion. Ur detta perspektiv är inte bara politiker intressanta utan även informationsbärare (anställda eller konsulter) eller andra personer som har tillgång till hemliga uppgifter (rikets säkerhet). Även uppgifter om anhöriga skulle kunna vara av intresse.

Det är de effekterna av om främmande makt lyckas använda patientjournalerna för egna syften som skulle kunna vara en risk för rikets säkerhet. Begrepp som rikets säkerhet måste få vara förbehållet ett litet men mycket skyddsvärt område. En inflation i vad som rör rikets säkerhet skulle få stora konsekvenser för samhällets informationshantering. Sådana uppgifter måste därför begränsas till verkligt betydelsefulla ting. Tre miljoner patientjournaler hör enligt min mening inte dit.

Enligt Dagens Nyheter bedömde Säkerhetspolisen också det misstänkta intrånget på servern hos Karolinska universitetssjukhuset vara en fråga för länskriminalpolisen, och inte för Säkerhetspolisen. Underligt av Dagens Nyheter att sätta rubriken till ”Säpo kontaktat om misstänkt dataintrång”. Förvisso sant, men ändå inte.

Sjuk informationssäkerhet?

Antalet incidenter av typen IT-haverier som drabbat hälso- och sjukvården har ökat, enligt Socialstyrelsens rapport om störningar i IT-system i svensk sjukvård 2008-2009 (Kamedo-rapport nr 96).

När Socialstyrelsen genomförde tillsyn av sex universitetssjukhus fann man att samtliga hanterade patientuppgifter på ett sätt som kan innebära risker för patienterna (rapport som PDF).

En granskning av informationssäkerhet av nyttjarnas anslutning till sjukvårdsnätet Sjunet 2011-2012 visade att de flesta inte var godkända (granskningsrapport finns länkad från inera.se men går inte längre att ladda ner). Jag twittrade om granskningen den 4 mars i år.

Läkarförbundet efterlyser nationell kontroll av informationssäkerheten. Det kan behövas. Frågan är om informationssäkerheten inom sjukvården är särskilt dålig eller om den speglar tillståndet i samhället i övrigt?

Som av en händelse arrangerade SIG Security den 31 oktober ett seminarium om säkerhetsaspekter kring patientens journal på nätet. Bl a presenterade Markus Ekbäck, som är informationssäkerhetssamordnare på Karolinska Universitetssjukhuset, sina erfarenheter kring informationssäkerhetsarbetet där. Hans presentation finns länkad från SIG Securitys webbplats men ger ett 404-meddelande. Presentationen går att hitta med Google och jag har även lagt upp den här.

Uppdaterad 2013-11-17

Länkar till Google-sökning och upplagd PDF inlagda

/Kim Hakkarainen

Blogginlägget innehåller hänvisningar till bestämmelser eller andra källor som inte längre gäller. Även om de har ersatts kan påståenden och slutsatser fortfarande vara giltiga.