Det amerikanske selskapet Community Health Systems driver 206 sykehus i stater over hele USA.
I april og juni i år skal hackere har angrepet sykehusenes datasystemer, og selskapet innrømmer nå at informasjon om 4,5 millioner pasienter kom på avveie.
Ifølge selskapet selv skal det være snakk om opplysninger om personer som de siste fem årene har vært pasienter hos noen av deres institusjoner. Opplysningene inneholdt navn, personnummer, fødselsdato og kontaktinformasjon.
– Selskapet understreker at informasjonen ikke inneholdt helseopplysninger eller kredittkortopplysninger, skriver de i en melding til amerikanske myndigheter.
Community Health Systems opplyser at de både har satt i gang egne undersøkelser ved hjelp av innleide sikkerhetskonsulenter og at de samarbeider med FBI om en etterforskning av dataangrepet. Tidlige resultater fra etterforskningen peker mot Kina.
Ferske opplysninger tyder på at angriperne skal ha utnyttet den kjente sikkerhetssårbarheten Heartbleed, som ble mye omtalt i mediene tidligere i år.
Ikke kjent med lignende i Norge
I Norge er det opprettet et eget overvåkings- og kompetansesenter for informasjonssikkerhet – HelseCSIRT. Senteret skal spre kompetanse om IKT-trusler og beskyttelsesmekanismer, og kontinuerlig overvåke trafikken på helsenettet.
Senteret drives av Norsk Helsenett, som også har ansvaret for datanettverkene til elektronisk samhandling i helse- og omsorgssektoren i Norge.
De sier meldingene fra USA understreker viktigheten av gode systemer og rutiner.
VIKTIG ARBEID: Administrerende direktør Håkon Grimstad i Norsk Helsenett forteller at de hele tiden jobber med it-sikkerhet for helsevesenet i Norge.
Foto: Norsk Helsenett– Alle slike hendelser viser at det finnes trusler som må tas på alvor knyttet til angrep mot sensitiv informasjon, sier administrerende direktør Håkon Grimstad til NRK.
Han forteller at man tradisjonelt har vært relativt flinke til å sikre seg i Norge, men at det alltid må være bevissthet på området. Derfor mener de dette er noe som kan bidra til økt bevissthet.
– Vi må alltid prøve å ligge i forkant, og sørge for å sikre oss best mulig, sier Grimstad.
Det er med bakgrunn i dette HelseCSIRT har blitt opprettet. De hjelper ulike deler av helsevesenet med overvåking og innsats ved eventuelle dataangrep.
– Har det vært hendelser i Norge som kan sammenlignes?
– Nei, ikke som jeg kjenner til – ikke i det hele tatt. Vi skal være veldig glade for det og gjør også alt vi kan for at det fortsetter slik, sier Grimstad.
NRK er kjent med at det også i norsk helsevesen har vært hendelser som kan karakteriseres som dataangrep mot maskiner med pasientinformasjon, men det skal være snakk om mye mindre skala enn hendelsen som er blitt kjent i USA.
– Brukte Heartbleed-sårbarheten
Sikkerhetsselskapet TrustedSec omtaler dataangrepet i USA som et av de første store angrepene der Heartbleed-sårbarheten er utnyttet.
HULL: Heartbleed-sårbarheten gir et potensiale for at angripere kan se inn i informasjon som skulle vært sikker og kryptert, og der kan de faktisk finne hemmelige passord.
Foto: PAWEL KOPCZYNSKI / ReutersHeartbleed-sårbarheten ble avslørt i april i år av sikkerhetseksperter. Sikkerhetshullet var knyttet til krypteringsmekanismen OpenSSL som brukes av svært mange datasystemer til å overføre informasjon sikkert.
Alt fra sosiale medier til e-postklienter, nettskyer, banker og flyselskaper bruker slik teknologi, og mange ble rammet.
Nå hevder sikkerhetseksperter at pasientinformasjon for millioner av mennesker er kommet på avveie ved utnyttelse av akkurat denne sårbarheten.
– Vi har fått informasjon om hvordan angriperne kom inn fra en kilde tett på etterforskningen av angrepet. Angriperne skal ha klart å få ut innloggingsopplysninger fra nettverksustyr ved hjelp av Heartbleed-sårbarheten. Deretter klarte de å komme seg inn i systemene til sykehusselskapet gjennom fjerninnlogging, skriver TrustedSec.
Om nettverksustyr hos Community Health Systems ikke var sikret for Heartbleed, eller andre detaljer om hvordan dataangrepet var mulig er ikke kjent.
Selskapet har ikke ønsket å gi noen kommentar til detaljene om Heartbleed-sårbarheten etter å ha blitt konfrontert med informasjonen fra blant annet Bloomberg.
GÅR DIGITALT: Stadig mer også i helsevesenet blir digitalt. Mange steder i norsk helsevesen har pasientjournaler med veldig sensitiv informasjon gått bort fra papiret og inn i datamaskinene.
Foto: Ola A. Thorset / Scanpix– Heartbleed skal være utbedret i norsk helsevesen
Selskapet i USA understreker at helseopplysninger eller finansielle opplysninger ikke ble lekket, og opplyser at foreløpige spor peker mot Kina.
Grimstad i Norsk Helsenett vil ikke gå ut med detaljer om hvilke systemer som brukes av det norske helsevesenet eller hva de gjør for å sikre det. Likevel kan han si at de mener de har sikret seg godt mot Heartbleed-sårbarheten.
– Hvor godt er norsk helsevesen sikret mot Heartbleed-svakheten?
– Vi fikk vite om Heartbleed-svakheten i vår som alle andre. Da ble det satt i verk tiltak umiddelbart for å tette hullene. Svakheten skal derfor ikke være åpen hos oss i dag så langt jeg kjenner til, sier administrerende direktør Håkon Grimstad.
Heartbleed-sikkerhetshullet eksisterte i så lenge som rundt to år. Dermed har løsningen på problemet for mange ulike selskaper måttet inkludere at alle brukere bytter passord etter at systemene var oppdatert med programvare som ikke lenger er utsatt for Heartbleed.
Les mer:
Bakgrunn: Hva er Heartbleed
