Brugernavne og kodeord flød rundt i åbent dokumentsystem hos Region Hovedstaden

16. oktober 2017 kl. 05:119
Brugernavne og kodeord flød rundt i åbent dokumentsystem hos Region Hovedstaden
Illustration: Bigstock.
Adskillige dokumenter med brugernavn og kodeord til diverse systemer i sundhedssektoren har ligget frit tilgængelige i et dokumentstyringssystem hos Region Hovedstaden.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Brugernavne og kodeord til blandt andet en hospitalsscanner og andet medicinsk udstyr på hospitaler og flere online-tjenester relateret til sundhedssektoren i Region Hovedstaden har ligget frit tilgængelige på nettet.

Det afslører søgninger, som Version2 har gennemført på domænet vip.regionh.dk. Adressen giver adgang til et dokumentstyringssystem kaldet VIP, som indeholder tusindvis af vejledninger, instrukser og politikker.

Enhver kan i udgangspunktet logge på systemet som anonym bruger. Det kræver blot et klik med musen.

Men dokumenterne må ikke indeholde brugernavne og kodeord, lyder det fra Region H:

Artiklen fortsætter efter annoncen

»Jeg vil gerne slå fast, at det ikke er meningen, at kodeord og brugernavne skal være offentligt tilgængeligt på VIP. Det er en fejl, og vi har nu gennemgået alle de dokumenter med adgangskoder og brugernavne, vi kunne finde, og lukket dem for offentlig adgang,« oplyser direktør i Region Hovedstadens Center for Sundhed, Anne Skriver Andersen, i et skriftligt svar til Version2.

Ifølge Region Hovedstaden er det tilsigtet, at der er åben adgang til dele af VIP med anonymt login. Det skyldes, at ansatte i blandt andet hjemmeplejen og på hospitalerne i regionen her skal kunne finde råd og vejledning, for eksempel vejledninger og kliniske retningslinjer til personalet men også til fagpersoner i andre sektorer og regioner.

»Vi vil gerne være åbne og dele vores vejledninger med samarbejdspartnere og andre fagfolk udenfor regionen. Dette er dels vigtigt i relation til samarbejdet med Region Sjælland, hvor det fælles elektroniske journalsystem, Sundhedsplatformen forudsætter fælles guidelines. Men det er også vigtigt for os af hensyn til videndeling og samarbejde med sundhedspersoner i praksissektoren og kommunerne,« oplyser Anne Skriver Andersen.

Direktionen erkender over for Version2 sit ansvar for den ringe sikkerhed i forhold til bl.a. passwords:

Artiklen fortsætter efter annoncen

»Vi har et ansvar for, at retningslinjerne for, hvad der skal ligge offentligt tilgængelig i VIP, bliver fulgt. Version2s research har vist, at det desværre ikke altid er tilfældet. Det skal jeg være den første til at beklage,« fortæller Anne Skriver Andersen.

Strammer op på IT-sikkerhed

Region Hovedstaden har nu indskærpet retningslinjerne overfor de mere end 1.000 redaktører, der har adgang til at lægge oplysninger op i systemet i forhold til, hvad der skal være, og hvad der ikke skal være offentlig tilgængeligt.

Når det er sagt, så understreger Anne Skriver Andersen også, at der ikke ligger helbredsoplysninger i VIP.

»Jeg vil dog gerne understrege, at VIP ikke er et sundheds-it-system, der indeholder personfølsomme oplysninger som fx blodprøvesvar eller medicinordinationer. Derfor er VIP underlagt andre regler end fx Sundhedsplatformen.«

Artiklen fortsætter efter annoncen

Med andre ord har der ifølge direktøren altså ikke ligget eksempelvis patientjournaler eller lignende i systemet.

Password og kodeord

Version2 har gennemført flere søgninger på blandt andet ‘kodeord’ og ‘password’ i VIP.

Da Version2 søgte på ‘kodeord’ i VIP, dukkede der 35 dokumenter op. Regionen undersøgte dem nærmere og har i den forbindelse oplyst, at man fandt kodeord til lokale systemer eller apparater i 30 af de 35 dokumenter. De blev efterfølgende fjernet fra den offentlige del af VIP.

I en anden søgning på ordet 'password' blev 129 dokumenter returneret. Her har regionen oplyst, at 28 dokumenter indeholdt password til lukkede systemer og programmer. Disse dokumenter blev også fjernet.

I forhold til det eksakte antal dokumenter, der bliver returneret ved søgninger på for eksempel ‘kodeord’, så er VIP tilsyneladende et særdeles dynamisk system. I hvert fald har antallet af returnerede resultater ændret sig flere gange siden vores oprindelige søgning.

Lukkede og åbne systemer

Version2 har løbende forelagt resultaterne af vores research til Region Hovedstaden.

Til at starte med påpegede Region Hovedstaden, at de kodeord og brugernavne, vi havde fundet, var til såkaldt lukkede systemer.

I et skriftligt svar definerer Anne Skriver Andersen lukkede systemer som følger:

»Lukkede systemer er systemer, som ikke er umiddelbart offentligt tilgængelige. Fx software på en lokal PC, apparatur ude på en afdeling eller hardware ude på en afdeling. Lokale pc’ere er jo desuden beskyttet af personalets egne passwords.«

Altså ikke systemer, hvor der er umiddelbar adgang fra internettet.

Sidenhen fandt Version2 dog flere brugernavne og kodeord til, hvad der i sammenhængen kan kaldes åbne systemer.

Vi fandt for eksempel et læge-login til en sædbanks hjemmeside og et login til en onlinetjeneste til bestilling af tolke. Da vi gjorde Region Hovedstaden opmærksom på dette, stoppede svarene fra regionen med at henvise til lukkede systemer i forhold til eksponerede oplysninger.

Hvad de lukkede systemer angår, så vil nogen nok mene, at hospitaler er ganske åbne institutioner, hvor folk kommer og går nogenlunde frit. Og derfor uvedkommendes adgang til eksempelvis en scanner måske ikke begrænset af, hvorvidt enheden er tilgængelig fra internettet eller ej.

»Det er rigtigt, at hospitalerne er åbne – og netop derfor var det, som sagt, en fejl, at kodeord lå på den åbne del af VIP,« oplyser Anne Skriver Andersen i et mailsvar.«

VIP

VIP (vip.regionh.dk) er dokumentstyringssystem, der giver fagfolk i hjemmepleje, kommuner og praksissektoren mulighed for at søge i dokumenter med råd og vejledning.

VIP står for 'Vejledninger, instrukser og politikker'. Vip.regionh.dk indeholder mere end 25.000 dokumenter.

Det er formålet med systemet, at samarbejdspartnere i hjemmeplejen, kommuner og praksissektor kan søge råd og vejledning gennem fri adgang til at søge i VIP.

kilde: Region Hovedstaden

»Vi er ikke orienteret om, at der har været et misbrug«

Det er svært at sige, i hvor høj grad, at oplysningerne, der har ligget frit tilgængelige på vip.regionh.dk, har kunnet misbruges af uvedkommende.

Ikke mindst fordi, vi på Version2 af etiske årsager kun i et særdeles begrænset omfang har testet, hvad de eksponerede oplysninger reelt har kunnet bruges til.

Når det er skrevet, så er vi under researchen udelukkende stødt på materiale i VIP, der har karakter af instrukser og vejledninger - og altså ikke eksempelvis patientdata.

I forhold til, hvorvidt oplysningerne på vip.regionh.dk har kunnet misbruges til i sidste ende at tilgå følsomme oplysninger, siger Anne Skriver Andersen:

»Fordi vi ikke har været gennem alle vejledninger og dokumenter, ikke har en kontrol på det og ikke tjekker op på det, så kan jeg jo aldrig sidde og afvise noget, men jeg vil bare sige, jeg har tillid til, de (folk med adgang til at publicere oplysninger i systemet, red.) ikke deler oplysninger, som kan give adgang til personfølsomme oplysninger. Det er jo et generelt ansvar, som sundhedspersoner, der lægger disse oplysninger op, har.«

I forlængelse af dette påpeger hun:

»Vi er også nødt til at holde fast i, vi ikke har oplevet, der har været et misbrug i de seks år, vi har kørt det på denne her måde.«

Hvordan ved I, der ikke har været et misbrug?
»Vi er ikke orienteret om, at der har været et misbrug. Og har ikke oplevet et misbrug.«

9 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
9
16. oktober 2017 kl. 22:17

Hvis der skal sidde folk og godkende indhold, så går der nok ikke længe inden vi hører brok over langsomme arbejdsgange, og spild af tid, der kunne bruges på patienterne.

Nej, lad dem nu bare bruge systemet som det er tiltænkt, i stedet for at drukne det i bureaukrati. Men sørg samtidig for at folk ikke kan være i tvivl om, at login informationer ikke hører til deri.

8
16. oktober 2017 kl. 14:17

Sune Buhl: Jeg udtrykte mig uklart, beklager - jeg gav dig ret. Mine indvendinger var ikke rettet mod dig.

7
16. oktober 2017 kl. 14:15

@Anne-Marie Krogsbøll

Jeg synes egentlig jeg i mit tidligere svar medgav at en kontrol før udgivelse var en god ide, så jeg vil ikke kommentere mere på den del. Og jeg synes så absolut at denne sag har udgjort / udgør en sikkerhedsrisiko.

De 1000 redaktører er nok ganske retvisende (men jeg har ikke præcis viden herom). Husk på at vi i Region H. er mere end 40.000 ansatte. På Herlev og Gentofte hospital alene 7.000 eller deromkring. Der er typisk redaktører helt ned i afsnitsniveau (under-afdeling) og typisk flere. Der er mange instrukser og arbejdsgange. Udover nye, så er det jo også opdateringer af eksisterende, så der er meget arbejde forbundet hermed.

Og så tror jeg at jeg stopper med indlæg nu - vil ikke ud i en længere diskussion :-)

6
16. oktober 2017 kl. 14:00

Netop, Sune Buhl. Jeg kan sagtens forstå argumentet med, at dem som har forstand på et givent område, skriver vejledningerne m.m. Men at man i det offentlige - med de enorme mængder følsomme data - giver så mange adgang til uden videre at lægge ting ud, det forstår jeg ikke. Der bør der være en "karantæne" på vejen, hvor en central instans lige sikrer sig, at "nogen" ikke har overset "noget" - måske fordi de slet ikke forestiller sig, at vip er åbent for offentligheden?

Og med 1000 redaktører med direkte adgang til at lægge ting ud (hvor bogstaveligt skal vi tage det tal - er der i virkeligheden flere - eller færre?), så er det for mig at se ønsketænkning at tro, at der ikke vil slippe ting ud, som ikke burde slippe ud.

Jer, der tydeligvis ikke mener det - anser I slet ikke det i artiklen beskrevne som et sikkerhedsproblem? Eller har I bare en bedre løsning?

5
16. oktober 2017 kl. 13:33

Nu er der jo ret mange hospitaler, afdelinger og ansatte i region hovedstaden. Instrukser / vejledninger skrives lokalt, så derfor er der behov for et stort antal redaktører.

Men derimod ikke sagt, at en praksis med en eller flere centrale godkendere eller et automatisk system der kontrollere instrukser / ændringer for loginoplysninger ikke ville have været en god ide.

I min afdeling har vi dog altid været obs på at systemet er åbent og derfor undgået følsomt indhold af enhver karakter. Men som sagt, så er region hovedstaden en stor maskine.

4
16. oktober 2017 kl. 12:13

Interessant er der følge, hvordan man starter med være i benægtelse (bl.a. med henvisningen til "lukkede systemer"). Det viser klart, at det er ikke er noget, som man har tænkt igennem.

Som jeg vist har sagt et par gange (i lignende sammenhænge): jeg er forarget, men desværre ikke overrasket.

3
16. oktober 2017 kl. 07:37

Leif Nelang:

Jeg mener heller ikke, at de skal "redigere" materialet, men blot tjekke, at det ikke indeholder personfølsomt og andet følsomt materiale. Og der tyder noget jo - ud fra artiklen - på, at det ikke går godt, når 1000 redaktører har adgang til at lægge materiale direkte ud på nettet. Jeg kan ikke se, hvad der skulle være galt i, at det skulle igennem et "filter", inden det lægges ud.

2
16. oktober 2017 kl. 07:32

Det er ikke meningen at der skal stå personfølsomme oplysninger i dette system.

Det er et Wikipedia-agtigt system med vejledninger og lignende.

"Når der sker dette, så gør dette". "Maskinen, der siger ping, skal startes med dette håndsving, og derefter skal knapperne trykkes på i denne rækkefølge"

Det giver derfor mening at det er specialisterne, der skriver disse vejledninger, og at de bliver skrevet af de, der har videnen og kompetencen. Artiklerne skal ikke igennem en redaktør/journalist, der måske ikke har viden om præcist det speciale.

(Dette er kun baseret på hvad der står i artiklen, jeg har ikke insiderviden)

1
16. oktober 2017 kl. 07:19

Flot arbejde....

"...jeg har tillid til, de (folk med adgang til at publicere oplysninger i systemet, red.) ikke deler oplysninger, som kan give adgang til personfølsomme oplysninger. Det er jo et generelt ansvar, som sundhedspersoner, der lægger disse oplysninger op, har.«"

"....overfor de mere end 1.000 redaktører.."

"1000 redaktører"? Det gør mig godt nok utryg. Jeg forstår ikke, at man ikke i sådanne følsomme systemer, hvor man har ansvaret for borgernes personfølsomme oplysninger, har en central instans, der har ansvaret for at tjekke de dokumenter, der lægges ud på nettet. Hvorfor skal det være åbent for så mange "redaktører" - hvoraf mange garanteret ikke har ret megen uddannelse i/indsigt i data-sikkerhed?

Det virker rent ud sagt "gak-gak" og meget lidt gennemtænkt. Er det mon de samme, der har ansvaret for datasikkerheden i Sundhedsplatformen? Eller er det de samme principper, man der arbejder efter på det punkt?