I det simulerte dataangrepet mot Norges fire helseregioner, prøvde Riksrevisjonen å lage støy for å bli avslørt.
Likevel klarte de å gjøre det de fryktet: Å hacke seg tilgang på sensitiv, taushetsbelagt informasjon om norske pasienter.
I Helse Sør-Øst fikk de tilgang på helseinformasjonen til svært mange. I de tre andre fikk de tilgang på helseinformasjonen til absolutt alle.
Til sammen tilsvarer dette opplysninger om flere hundre tusen nordmenn.
– Vi ble overrasket over hvor enkelt det var, sier Annette Gohn-Hellum.
Kan i verste fall føre til pasientskader
Hun er ekspedisjonssjef i Riksrevisjonen. Målet deres med angrepet, var å sjekke datasikkerheten ved helseregionene.
De gjorde tilsvarende for fire år siden, og var nå interesserte i å finne ut hva som er gjort siden da.
– Vi påpekte alvorlige feil for fire år siden, og det var et angrep også i 2018. Det virker som det ikke er blitt gjort så mye mer med datasikkerheten ved norske sykehus etter det. Sykehusene i Norge ligger langt bak grunnleggende krav til IKT-sikkerhet, sier Gohn-Hellum.
Nå har Riksrevisjonen måttet gi en minst like alvorlig rapport til helsemyndighetene.
Gohn-Hellum sier det kan få fatale konsekvenser om pasientopplysninger havner i feil hender.
Pasientopplysninger kan slettes, blokkeres, manipuleres eller stjeles
Systemer og utstyr som er kritisk for driften av sykehusene kan stoppes.
– Det kan i verste fall forårsake pasientskader, sier Gohn-Hellum.
ENKELT: Annette Gohn-Hellum forteller at Riksrevisjonen brukte enkle hackermetoder, og at de forsøkte å lage støy for å bli oppdaget. Likevel hacket de seg tilgang på taushetsbelagte helseinformasjon.
Foto: Ilja C. Hendel / RiksrevisjonenBrukte enkel metode
Hackermetodene som ble brukt i angrepet, var med hensikt svært enkle.
Hackerne startet med å få kontroll over PC-er. Deretter skaffet de oversikt over nettverket, for så å forsøke å komme seg inn på brukerkontoene til ansatte. Dette klarte de ved å gjette passord.
Videre identifiserte de brukere med utvidede rettigheter. Erfaringen de gjorde seg, er at altfor mange ansatte i norsk helsevesen har slike rettigheter. Via slike brukere, fikk hackerne tilgang på interne nettverk.
Da er veien kort til å få kontroll over hele systemet.
Og det klarte Riksrevisjonen altså hos tre av fire helseregioner.
– Da kan du slette informasjon og data, låse systemer og kreve løsepenger for å gi kontrollen tilbake. Da eier du dem, sier Gohn-Hellum.
Følte seg naken og krenket
I sommer avslørte NRK at fire norske sykehus på nettsidene sine hadde lagt ut helseinformasjon om flere hundre pasienter.
Om blant andre Helge Aurheim og hans slankeoperasjon. Navn, fødselsnummer og mer til, ble publisert på nettsidene til Oslo universitetssykehus.
Sykehus la ut sensitive pasientopplysninger om Helge
– Man føler seg rimelig naken. For det første vet man ikke hva som ligger der ute. For det andre forventer man ikke at slikt skal skje. Vi stoler jo på at sykehusene har kontroll på disse opplysningene, sier han i dag.
Sykehuset har beklaget saken, og innrømmet at de brøt loven.
Tonje Brenna fikk helseopplysninger knyttet til epilepsibehandlingen sin lagt ut for all offentlighet, på nettsidene til Sykehuset Innlandet.
– Jeg følte meg krenket. Det er ingen god opplevelse i det hele tatt at min helseinformasjon, fødselsnummer og data kan ha havnet i feil hender. Det gjør at jeg føler jeg må være forsiktig med alt. Jeg har mistet all tilliten til sykehusets håndtering av mitt personvern etter det, sier Brenna.
Solberg og Høie lover bedring
Riksrevisjonen er opptatt av at hver enkelt sykehusansatt må være bevisst på IKT-sikkerhet.
Men de understreker at det først og fremst er ledere som er ansvarlig for at det bygges en god kultur knyttet til dette.
– Det at vi klarte å bryte oss inn, handlet om mye mer enn de ansattes atferd, sier Gohn-Hellum.
I en pressekonferanse tirsdag, lovet statsminister Erna Solberg (H) å styrke datasikkerheten ved sykehusene.
Hun presiserte at hver enkelt ansatt på sykehusene må ta ansvar, men at også systemfeil må ryddes opp i.
FORVENTET BEDRING: Riksrevisjonen mener helsedepartementet har gjort altfor lite for å bedre IKT-sikkerheten.
Foto: Terje Pedersen / NTB– Noe av det er blitt fikset siden de simulerte angrepene i januar, mens andre feil krever at vi lager helt nye systemer. Her har det vært en forsinkelse, og det vil ta tid før vi får fikset noen av de, sa statsminister Erna Solberg.
Helseminister Bent Høie (H) erkjenner at det ikke er gjort nok for å sikre IKT-systemene i de norske helseregionene.
– Riksrevisjonens rapport er alvorlig og veldig viktig. Den gir helseregionene et klart grunnlag for å jobbe videre med å redusere denne risikoen, sier Høie til NTB.
Han forsikrer at arbeidet er i gang, og at han selv vil følge opp dette i 2021.
Riksrevisjonen mener helsedepartementet har opptrådt for passivt så langt.
– Departementet har i alle fall ansvar for å holde seg informert om status på området. Særlig når vi kan konstatere at både lov og forskrift er brutt, sier riksrevisor Per-Kristian Foss.
Helseregionene har ifølge Riksrevisjonen utbedret mange av de konkrete svakhetene i etterkant av rapporten de nå har fått. Flere av svakhetene skal imidlertid lenger tid å utbedre.
