Analys av 1177-läckan

1177 vårdguiden

Igår så tipsade en anonym person sajten Computer Sweden att miljontals inspelade samtal till vårdupplysningstjänsten med telefonnummer låg tillgängliga för allmänheten på en webbserver. Denna server har används som backup-server av företag som upphandlats av tre landsting.

Servern är en gammal -server som bland annat verkade ha mjukvaran och går under namnet , Network Attached Storage. ownCloud gör att du kan sätta upp din egen molntjänst on-prem (hos dig själv).

Vid upphandlingen av leverantören så ställdes ett antal krav hur denna känsliga information skulle vara tillgänglig. Bl.a. skulle SITHS-kort användas för att komma åt informationen (se länkar nedan).

Men trots dessa krav på leverantören, hur kunde det går fel? Jag gissar på att ingen följt upp och kontrollerat kraven med hjälp av tillsyn. Skulle återkommande penetrationstester eller automatisk genomföras så skulle det inte troligtvis inte ha hänt. Något som bl.a. kreditkortsstandarden PCI-DSS ställer krav på.

Även så rekommenderar vi som jobbar med säkerhet både hängslen och livrem. Det som har hänt här är att företaget troligtvis kopplat något fel eller genomfört en felaktig konfiguration, jag tror inte heller att filerna legat uppe sedan 2013. Utan att misstaget genomfördes någon gång förra året under 2016. Men ett enda misstag ska inte få denna typ av konsekvenser, därav bör det finnas mer skydd exempelvis kryptering på filnivå. I detta fall kan hårddisken varit krypterad men det spelar ingen roll när webbservern visar katalogerna och gör filerna tillgängliga för nedladdning.

Har någon laddat hem filerna och lyssnat? Givetvis. Minst två personer, den som tipsade Computer Sweden samt journalisten. Även finns det stor chans att filerna cachats på diverse ställen ute på Internet. Dock kan loggfiler finnas kvar och gör det möjligt att spåra nedladdningar.

Sådana här läckor är givetvis otroligt allvarliga och kan leda till fara för liv och lem.

Tyvärr är nog detta enbart toppen av ett isberg när det gäller cybersäkerhet inom vårdsektorn.

Källor:

Uppdatering: Vi vet nu lite mer och servern verkar ha varit online sedan 2016 då någon ”stoppade in internetkabeln”.

Jonas Lejon

Om Jonas Lejon

En av sveriges främsta cybersäkerhetsexperter med nästan 20 års erfarenhet inom området och en bakgrund från FRA och Försvarsmakten. Kontakta mig gärna på telefonnummer 010 1889848 eller [email protected] om Er organisation behöver hjälp med cybersäkerhet. LinkedIn Twitter

4 comments

  1. Mats Dufva

    Jepp Jonas, gjorde samma analys för vad gäller exponeringstiden, troligt scenario, uppföljning och att det är toppen av ett isberg.
    De flesta har nu hört talas om GDPR, men långt innan det så fanns även PdL (Patientdatalagen från 2008) som ställt liknade säkerhetskrav.
    I SLL tjänsteutlåtande gällande antagande av leverantör finns ordet ”säkerhet” bara med gällande ”patientsäkerhet”.
    Det är förstås på fler ställen som ordet ”säkerhet” behöver finnas med. Och inte bara ordet i sig – utan medvetenheten om vad det verkligen innebär.

    https://www.sll.se/globalassets/5.-politik/politiska-organ/halso-och-sjukvardsnamnden/2018/180927/36-antagande-av-leverantor—1177-vardguiden-pa-telefon.pdf

    Ps SLL har betalt MedHelp över 100 miljoner för tjänsten. Skall bli intressant att se om SLL har rätt att få ute vite för det som skett eller om vite bara kan tas ut om svarstiden inte hålls eller samtal inte besvaras.

  2. Jakob

    Det är kanske dags att börja diskutera om IT-system med känslig information inte skall följa lagen om offentlig upphandling.

    För vi alla vet ju att när det kommer till IT-säkerhet så är det billigaste alltid det bästa!?

Skriv en kommentar

Du kan använda följande HTML HTML:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

Denna webbplats använder Akismet för att minska skräppost. Lär dig hur din kommentardata bearbetas.