Mandag 8. januar skjedde det som ikke skulle skje.
Norges største helseregion, Helse Sør-Øst, som sørger for spesialhelsetjenester til rundt 3 millioner nordmenn, opplevde datainnbrudd.
Helseminister Bent Høie kunne ikke utelukke at pasientinformasjon var på avveie. PST mente angrepet tydet på profesjonelle aktører.
11 måneder senere varsler PST at de nå henlegger saken.
– For vårt vedkommende er denne saken nå avsluttet, sier PST-sjef Benedicte Bjørnland til NRK.
– Potensielt full tilgang
Det er fortsatt usikkert hva angriperne faktisk fikk med seg, men ifølge Bjørnland har de hatt tilgang til en mengde sensitiv informasjon.
– De har potensielt hatt tilgang til hele nettverket. Det er pasientdata, beredskapsplaner og forskningsdata. Men vi kan ikke konkludere med at slike data er tappet fra nettverket, sier Bjørnland.
Angrepet skal ha skjedd via en ekstern server som var koblet til internett. Deretter har man fått tilgang til interne servere og skaffet seg administratorrettigheter.
Etterforskningen har vist at inntrengerne skal ha vist ekstra interesse for et læringsprogram på helseforetakets nettverk, men PST vet ikke hvem som står bak.
– Det er grunn til å tro at det er en profesjonell aktør, men vi kan ikke konkludere med at det er en statlig aktør, sier Bjørnland.
PST har tidligere advart med at fremmede makter kan ha interesse av beredskapsplaner.
NRK avslørte sårbare IKT-systemer
I mai i fjor avslørte NRK at IT-arbeidere i India, Bulgaria og Malaysia hadde tilgang og utvidede rettigheter til datasystemene til Helse Sør-Øst.
NRK hadde dokumentasjon som viste at 110 utenlandske IT-arbeidere hadde hatt mulighet til å jobbe mot servere og IT-systemet til helseregionen.
- Dataekspert: – Stoler ikke på Helse Sør-Øst
Et halvt år senere stod den samme helseregionen overfor et datainnbrudd. Varselet kom fra Sykehuspartner, som har ansvaret for all IKT-drift i helseforetaket. Måten innbruddet ble gjort på tyder på at aktørene er svært avanserte og profesjonelle.
Siden 16. januar har PST etterforsket saken som mulig brudd på straffeloven § 121: Etterretningsvirksomhet mot statshemmeligheter.
PST har vært i møte med Helse Sør-Øst om resultatet av etterforskningen. Nasjonal Sikkerhetsmyndighet har ansvar for å følge opp hendelsen videre.
– Vi ønsker at man for fremtiden ruster seg mot potensielt nye angrep.
Beklager henleggelsen
Administrerende direktør i Helse Sør-Øst Cathrine M. Lofthus sier til NRK at hun synes det er beklagelig at etterforskningen nå blir henlagt.
– Men vi kan med stor grad av sikkerhet si at pasientopplysninger ikke er kommet på avveie eller er misbrukt.
PST-sjef Bjørnland sier derimot at man ikke kan utelukke at så har skjedd.
– Jeg tenker at det er veldig naturlig at Helse Sør-Øst forklarer hvordan de kommer fram til slike konklusjoner, sier Bjørnland.
Lofthus viser til at PSTs etterforskning har vært mer begrenset enn undersøkelsene Sykehuspartner selv har stått for.
– De har analysert en mye lengre periode og i et mye større omfang. De sier at det ikke er noe som tyder på at pasientinformasjon er på avveie, og det er jeg veldig glad for.
– Kan du da garantere at denne informasjonen ikke er på avveie?
– Vi kan aldri gi garantier. Sånn er det med alle datasystemer.
Lofthus sier de tolker resultatene fra PSTs etterforskning som at inntrengerne ikke var på jakt etter pasientopplysninger, men at de var interessert i et e-læringsprogram for ansatte.
– Det programmet inneholder verken pasientopplysninger eller er rettet mot pasientbehandling.
– Men hvorfor skulle dette e-læringsprogrammet være interessant for inntrengerne?
– Det er alltid vanskelig å svare på hva som er motivet for et dataangrep, men vi ser at de har vært ute etter dette programmet.
Alvorlig
Selv om inntrengerne ikke har forsynt seg av pasientinformasjonen, så viser etterforskningen at de hadde tilgang til den dersom de ønsket.
– Vi har hele tiden sett på dette som et alvorlig dataangrep, og det var også derfor vi anmeldte det til PST og håpet at de kunne slå fast hvem som stod bak.
Lofthus sier de jobber kontinuerlig med å bedre sikkerheten i datasystemene sine.
– Hva skal pasientene deres kunne forvente om hvordan dere håndterer personopplysningene deres?
– Det er viktig at våre pasienter skal være trygge på at vi håndterer pasientinformasjon på en trygg og sikker måte.
