«Sykehuspartner HF oppdaget at en trusselaktør har gjennomført et dataangrep mot noen internett-tjenester som driftes av Sykehuset Innlandet.»
Det bekrefter sykehuset i en pressemelding.
Analyser viser at det kan ha blitt hentet ut personsensitive data. Dette av blant annet avdøde, studenter og pasienter.
Forholdet er meldt til Fylkesmannen i Innlandet, Datatilsynet og Politiet.
Forsøker å få oversikt
«Dette er en svært beklagelig situasjon som vi tar på største alvor», står det i meldingen.
Kommunikasjonsrådgiver i Sykehuset Innlandet, Line Fuglehaug, sier til NRK at det nå jobbes med å få oversikt over hvilke data som er hentet ut og omfanget av dette.
– Det er veldig tidlig ennå, men det er fullt fokus på å få kartlagt det som har skjedd, sier hun.
Kommunikasjonsrådgiver i Sykehuset Innlandet, Line Fuglehaug, sier til NRK at de jobber med å få en oversikt over omfanget.
Foto: Ruth Barsten / NRKAngrepet ble avdekket av et av deteksjonsverktøyene Sykehuspartner HF benytter i sin sikkerhetsovervåkning.
«Vi opererer i en virkelighet med et trusselbilde i endring. Dataangrepet viser nødvendigheten av det kontinuerlige arbeidet med informasjonssikkerhet, både i det daglige og i den pågående moderniseringen av infrastrukturen i regionen», står det.
– Alvorlig sak
Etter at Sykehuspartner HF avdekket angrepet, har de gjennomført og satt i gang flere tiltak for å begrense skadeomfanget.
De berørte tjenestene ble umiddelbart tatt ned og isolert.
«Det antas at trusselaktøren kan ha hentet ut personsensitiv informasjon fra disse tjenestene. De berørte tjenestene er isolert og gjort utilgjengelige for å hindre ytterligere skade», står det.
Fylkeslegen i Innlandet, Harald Vallgårda, ble varslet om dataangrepet mot Sykehuset Innlandet søndag kveld.
Han sier det er alvorlig at pasientopplysninger kan være på avveie, og at det er viktig at de nå raskt finner ut av omfanget og hvilke opplysninger som er på avveie.
– Det er viktig at pasienter som eventuelt er rammet blir varslet, sier han.
Harald Vallgårda, fylkeslegen i Innlandet, ble varslet om saken søndag. Han mener det er viktig at de dette gjelder blir kontakta så fort som mulig.
Foto: NRKBle ikke informert
Pasient- og brukerombud i Innlandet, Tom Østhagen, sier det er viktig at Sykehuset Innlandet prioriterer å gi beskjed til de dette gjelder.
Østhagen mener også pasientombudet bør få informasjon når slikt skjer, noe de ikke har fått.
– Jeg hadde jo satt pris på å bli informert så tidlig som mulig. Vi er i dialog med pasientene og det er mange som ringer oss som har behov for helsehjelp fra Sykehuset Innlandet. Det er viktig for oss å vite at de dette gjelder får informasjon, sier han.
Pasient- og brukerombud i Innlandet, Tom Østhagen mener han burde ha fått beskjed om at personopplysninger kan være på avveie.
Foto: Ann-Kristin Mo / NRKSykehuset Innlandet ønsker ikke å kommentere saken ytterligere før de har fått god nok oversikt over situasjonen.
Disse tjenestene er berørt:
Labhåndboka: Beskrivelse av ulike analyser og prøvetaking. Bestillinger på utstyr fra legekontor til lab på Sykehuset Innlandet HF. Tjenesten inneholder ikke helseopplysninger.
MorsReg: Innmelding av dødsfall fra Sykehuset Innlandet HF og fra begravelsesbyrå. Inneholder opplysninger om avdøde.
Checkbox: System for innhenting av opplysninger fra pasienter i forbindelse med kvalitetsarbeid og forskningsprosjekter. Inneholder helseopplysninger.
SI Aktiv: System for registrering av treningsdata for ansatte (bedriftsidrett). Inneholder personopplysninger om ansatte.
Elektronisk kvalitetshåndbok: Kvalitetshåndbok publisert på internett. Denne inneholder ikke personopplysninger.
Elektronisk studentvurdering: Inneholder informasjon som navn og fødselsnummer på studenter.
