Korona: Kriseledelse brukte hjemme-PC-er åpne for hackerangrep

Da Norge stengte ned, ble deler av kriseledelsen i Helsedirektoratet sendt på hjemmekontor med PC-er som var sårbare for hackerangrep.

Pressekonferanse 13. mars

Norge I KRISE: 13. mars ble Norge stengt ned. I bakgrunnen er Bent Høie med på videolink via Norsk helsenett.

Foto: Lise Åserud

Situasjonen var så alvorlig at Regjeringens Krisestøtteenhet ble koblet inn. Frykten for digitale angrep mot et Norge styrt fra hjemmekontor var så stor at norske sikkerhetsmyndigheter den 13. mars gikk ut med en egen advarsel.

«Det er viktig at arbeidet med sikkerhetsoppdateringer prioriteres», stod det i meldingen fra Nasjonal sikkerhetsmyndighet (NSM).

Men i den norske helsekriseledelsen var det nettopp slike sikkerhetsoppdateringer som manglet.

36 sikkerhetshull i Windows, hvorav 7 ble betegnet som «kritiske», var ikke tettet i 120 PC-er som norske helsebyråkrater i Helsedirektoratet, HELFO og Pasient- og brukerombudet hadde fått med seg når de skulle styre Norge fra hjemmekontor.

Det viser dokumenter fra Regjeringens Krisestøtteenhet (KSE) som NRK har innsyn i.

Maskinene var levert av Norsk helsenett, bekrefter administrerende direktør Johan Ronæs.

Virksomhetens oppdrag er blant annet å levere IKT-infrastruktur for samhandling mellom aktørene i helse- og omsorgssektoren.

– Vi oppdaget dette torsdag før påske, og varslet kunden. Det var en risiko.

– Det var 36 sårbarheter, hvorav 7 var kritiske?

– Det var den oppdateringen, ja. Så laget vi en plan og rettet det i løpet av helgen. Vi reiste rundt fysisk og oppdaterte maskinene.

– En angriper kan gjøre alt de ansatte kan

Vidar Sandland, Norsis

RISIKO: Grunnprinsippene for datasikkerhet er brutt, ifølge Vidar Sandland ved Norsk senter for informasjonssikring (Norsis).

Foto: Jan Tore Øverstad/NorSIS

Dersom noen av Helsedirektoratets PC-er hadde blitt angrepet, ville den største risikoen vært tilgang til skyløsninger og felles datasystemer, ifølge Vidar Sandland i Norsk senter for Informasjonssikkerhet (Norsis), som har hovedkontor på Gjøvik.

– I utgangspunktet kan en angriper gjøre alt de ansatte kan gjøre, med de samme rettighetene og tilgangene de har. Jeg vil jo tippe de har tilgang til en del systemer.

– Så PC-ene kunne brukes som springbrett inn mot alle datasystemene disse ansatte hadde tilgang til?

– Ja, det er det som er det største potensialet for skade.

«Iboende risiko betydelig høyere enn antatt»

Rett før påske ble situasjonen oppfattet som så alvorlig at Regjeringens Krisestøtteenhet (KSE) valgte å informere alle departementene om saken.

Situasjonsbilde fra KSE 04.04.2020

SVÆRT ALVORLIG: Regjeringens krisestøtteenhet skrev i sin statusoppdatering 4. april at risikoen var betydelig høyere enn tidligere antatt.

Foto: Faksimile / KSE

Midt i den nasjonale krisehåndteringen av koronavirusutbruddet, ble sikkerhetsbristen omtalt som «svært alvorlige forhold knyttet til Norsk Helsenett som driftsleverandør».

Ifølge KSE var den «iboende risikoen betydelig høyere enn tidligere antatt» og situasjonen «uoversiktlig».

De sårbare PC-ene var spredt blant ansatte i Helsedirektoratet, ifølge divisjonsdirektør for digitalisering, Jan Arild Lyngstad.

– Det var ingen i toppledelsen, men de var tilfeldig fordelt blant medarbeiderne.

– Men de var i den operative kriseledelsen?

– Hele direktoratet var i den operative kriseledelsen, så det var litt tilfeldige PC-er som ikke var oppdatert.

– Ble det behandlet sensitiv eller gradert informasjon på de maskinene?

– Nei. De ble ikke brukt til gradert informasjon.

– Hadde man tilgang til dataplattform med pasientinformasjon?

– Nei. De hadde ikke tilgang til pasientsensitive data.

Sandland mener PC-ene som ble levert av Norsk helsenett, brøt med de viktigste prinsippene for datasikkerhet.

– Du bryter grunnprinsippene her, det helt elementære som må på plass. Man må til enhver tid ha oppdatert operativsystem, oppdaterte programmer og antivirusprogram. Det er de tre helt elementære ting som må være på plass hos enhver virksomhet, sier Sandland til NRK.

AKTUELT NÅ

SISTE NYTT

Siste meldinger