Sjuk informationssäkerhet?

Enligt Dagens Nyheter ska en server som används för patientjournaler under åtta månader varit exponerad mot Internet. När felet rättades till upptäcktes, enligt DN, obehörig trafik mot servern. På servern fanns även program installerade för att att genomföra sårbarhetsskanningar och för att avlyssna nätverkstrafik.

Förstasidorna på Dagens Nyheters digitala edition den 30 oktober till 1 november 2013.

Förstasidorna på Dagens Nyheters digitala edition den 30 oktober till 1 november 2013.

Landstinget i Stockholms län förnekar att ”obehöriga kan ha haft tillgång till omfattande information ur sjukvårdens IT-system i samband med en säkerhetsbrist”. Landstinget har även släppt en lägesrapport om säkerhetsbrist i IT-miljön. Landstinget har, enligt rapporten, låtit tre oberoende företag genomföra analyser där företaget Simovits Consulting har varit huvudansvarig i analysarbetet.

Lägesrapporten och Dagens Nyheters rapportering överensstämmer inte. Bl a säger landstinget i sin lägesrapport att ”det finns inga indikationer på att det skulle funnits någon möjlighet att installera” de program som DN påstår har upptäckts på servern. För en utomstående är det svårt att få det hela att gå ihop.

Omöjligt att offentligt diskutera IT-säkerhet

Det är omöjligt att offentligt och på en detaljerad nivå diskutera IT-säkerhet hos myndigheter. Anledningen är en bestämmelse i offentlighets- och sekretesslagen som handlar om säkerhets- och bevakningsåtgärder.

Sekretess gäller för uppgift som lämnar eller kan bidra till upplysning om säkerhets- eller bevakningsåtgärd, om det kan antas att syftet med åtgärden motverkas om uppgiften röjs och åtgärden avser
[…]
3. telekommunikation eller system för automatiserad behandling av information,
[…]

Utdrag ur 18 kap 8 § OSL

Tredje punkten i bestämmelsen handlar om säkerhetsåtgärder i telekommunikationer och IT-system. I det senare fallet är det alla slag av säkerhetsåtgärder som omfattas, t ex tekniskt skydd som behörighetskontroll men även administrativa rutiner såsom manuell logganalys. Sekretess enligt bestämmelsen är inte valfri. Är det så att en uppgift uppfyller villkoren i bestämmelsen gäller sekretess för uppgiften. En myndighet kan därför inte i detalj offentligt redogöra vilken IT-säkerhet som finns för att t ex bemöta en dagstidnings påstående om brister i IT-säkerhet.

En person som är anställd av, eller i uppdrag hos, en myndighet får heller inte lämna uppgifterna som omfattas av sekretess för säkerhets- och bevakningsåtgärder till t ex en tidningsredaktion. Anledningen är att det inte råder meddelarfrihet för uppgifterna då sekretessbestämmelsen finns med i 18 kap 19 § OSL. Rätten att meddela och offentliggöra uppgifter har undantagits och sekretessbestämmelsen 18 kap 8 § OSL är ett exempel på sk kvalificerad sekretess (läs gärna mer om kvalificerad sekretess i blogginlägget Fler fel om sekretess i Officerstidningen).

Sekretessen för säkerhets- och bevakningsåtgärder är inte tidsbegränsad. Sekretessen för en uppgift upphör då villkoren i bestämmelsen inte längre är uppfyllda. Säkerhetsåtgärder i IT-system som är avvecklade borde därför vanligtvis inte omfattas av sekretessen. En anledning till fortsatt sekretess skulle kunna vara om andra IT-system innehåller de säkerhetsåtgärder som fanns i ett avvecklat IT-system.

Rikets säkerhet?

Rikard Lövström (@rikardlovstrom på Twitter), som har i uppdrag att bevaka IT-frågor för Läkarförbundets styrelse, säger till Dagens Nyheter:

”Det här är en risk för rikets säkerhet. I åtta månader har ett antal okända personer kunnat vada runt i sjukjournaler som sannolikt gäller personer som kungafamiljen, och andra som leder landet.”

Nej, jag tror inte att det är risk för rikets säkerhet. 

Ett röjande av uppgifterna i landstingens journalsystem kan knappast medföra att den yttre säkerheten för det nationella oberoendet eller den inre säkerheten för det demokratiska statsskicket hotas, vilket är det som oftast brukar avses med rikets säkerhet. I fråga om landets ledning och dess betydelse för totalförsvaret skulle sådana uppgifter sannolikt omfattas av försvarssekretess. Om landstingens journalsystem innehåller sådana uppgifter ska uppgifterna omfattas av ett säkerhetsskydd enligt säkerhetsskyddslagen, säkerhetsskyddsförordningen och Rikspolisstyrelsens föreskrifter och allmänna råd om säkerhetsskydd. Det tror jag inte på.

Även om det skulle finnas ömtåliga uppgifter i patientjournalerna om politiker som genom sin befattning har en betydelse för totalförsvaret kan uppgifterna knappast leda till att rikets säkerhet hotas. Men sådana uppgifter skulle ändå kunna användas av främmande makt för att underlätta kontakttagning (HUMINT), otillbörlig påverkan eller helt enkelt för att förstå den berörda människan. Uppgifterna skulle t ex kunna underlätta för en annan stats underrättelsetjänst att värva en svensk spion. Ur detta perspektiv är inte bara politiker intressanta utan även informationsbärare (anställda eller konsulter) eller andra personer som har tillgång till hemliga uppgifter (rikets säkerhet). Även uppgifter om anhöriga skulle kunna vara av intresse.

Det är de effekterna av om främmande makt lyckas använda patientjournalerna för egna syften som skulle kunna vara en risk för rikets säkerhet. Begrepp som rikets säkerhet måste få vara förbehållet ett litet men mycket skyddsvärt område. En inflation i vad som rör rikets säkerhet skulle få stora konsekvenser för samhällets informationshantering. Sådana uppgifter måste därför begränsas till verkligt betydelsefulla ting. Tre miljoner patientjournaler hör enligt min mening inte dit.

Enligt Dagens Nyheter bedömde Säkerhetspolisen också det misstänkta intrånget på servern hos Karolinska universitetssjukhuset vara en fråga för länskriminalpolisen, och inte för Säkerhetspolisen. Underligt av Dagens Nyheter att sätta rubriken till ”Säpo kontaktat om misstänkt dataintrång”. Förvisso sant, men ändå inte.

Sjuk informationssäkerhet?

Antalet incidenter av typen IT-haverier som drabbat hälso- och sjukvården har ökat, enligt Socialstyrelsens rapport om störningar i IT-system i svensk sjukvård 2008-2009 (Kamedo-rapport nr 96).

När Socialstyrelsen genomförde tillsyn av sex universitetssjukhus fann man att samtliga hanterade patientuppgifter på ett sätt som kan innebära risker för patienterna (rapport som PDF).

En granskning av informationssäkerhet av nyttjarnas anslutning till sjukvårdsnätet Sjunet 2011-2012 visade att de flesta inte var godkända (granskningsrapport finns länkad från inera.se men går inte längre att ladda ner). Jag twittrade om granskningen den 4 mars i år.

Läkarförbundet efterlyser nationell kontroll av informationssäkerheten. Det kan behövas. Frågan är om informationssäkerheten inom sjukvården är särskilt dålig eller om den speglar tillståndet i samhället i övrigt?

Som av en händelse arrangerade SIG Security den 31 oktober ett seminarium om säkerhetsaspekter kring patientens journal på nätet. Bl a presenterade Markus Ekbäck, som är informationssäkerhetssamordnare på Karolinska Universitetssjukhuset, sina erfarenheter kring informationssäkerhetsarbetet där. Hans presentation finns länkad från SIG Securitys webbplats men ger ett 404-meddelande. Presentationen går att hitta med Google och jag har även lagt upp den här.

Uppdaterad 2013-11-17

Länkar till Google-sökning och upplagd PDF inlagda

/Kim Hakkarainen

5 kommentarer

Publicerad i IT-säkerhet, Offentlighet och sekretess, Säkerhetsskydd

5 kommentarer till Sjuk informationssäkerhet?

  1. Jonas Nilsson

    Jag tror tyvärr att din bild gäller samhället i stort och inte bara sjukvården.
    Mycket bra och intressant läsning, jag hoppas på stor spridning.

  2. Daniel Seid

    – ”Nej, jag tror inte att det är risk för rikets säkerhet”

    En principiellt mycket viktig fråga.

    ”– Journalsystemet Take care saknar helt skydd för informationen på så sätt att vi aldrig kan veta om någon har ändrat i journalerna. Normala datasystem har denna funktion, men i detta fall kommer vi aldrig att med säkerhet kunna säga att ingen ändrat på informationen, säger personen.
    […]
    – Om du går in via servern, på systemnivå, och läser en journal eller ändrar i den finns det inga loggar, säger personen.”

    Källa: http://www.dn.se/nyheter/sverige/sparen-fran-attackerna-leder-till-flera-lander/

    SÄPO ger exempelvis rutinmässigt personskydd på utvalda delar ur den centrala statsledningen, 24/7. Varför det? Om samma skyddspersoner även skulle ha journaler där medicinsk data är öppna för angrepp, och då även kan manipuleras, så utgör alltså en sådan (hypotetisk) attack, med möjlig följdkonsekvens personskada – eller dödlig utgång – inte något hot alls mot rikets säkerhet?

    • Daniel, du har rätt! Jag skrev om röjande av informationen och inte aspekten av obehörig ändring. Ändring av information i patientjournaler skulle sannolikt kunna användas av en aktör för att skada personer, i värsta fall med död som följd. Inte endast patientjournaler ger sådana möjligheter då det i vårdkedjan finns andra system, t ex system för e-recept. Ett angrepp på en person i centrala statsledningen kan vara en allvarlig fara för statsskicket och rikets säkerhet. Ett sådant angrepp skulle hypotetiskt kunna begås genom ändringar av information i ett IT-system. Det misstänkta intrånget på systemet för patientjournaler skulle därför kunna utgöra ett hot mot rikets säkerhet. Jag är fortsatt tveksam till om system för patientjournaler generellt ska omfattas av ett säkerhetsskydd.

      Daniel har 2009-2012 enligt sin LinkedIn-profil varit IT risk och security manager på Karolinska Universitetssjukhuset. Han borde veta.

      /Kim Hakkarainen

Kommentera

E-postadressen publiceras inte. Obligatoriska fält är märkta *