Eksperter advarer: 30.000 usikre computere på danske hospitaler

Illustration: Ole Bo Jensen, Imagebureauet​​
Regionerne har stadigvæk tusindvis af Windows 7-maskiner kørende på de danske sygehuse, selvom supporten udløb i januar. Det afføder massiv kritik fra danske og internationale sikkerhedseksperter.

Tusindvis af computere, røntgensystemer og andre medicinske enheder på de danske hospitaler er dårligt sikret mod hackere, fordi regionernes it-afdelinger stadig holder fast i at bruge det mere end ti år gamle styresystem Windows 7.

Det viser en række aktindsigter, Version2 har fået hos regionerne. Tilsammen har de fem regioner 30.000 Windows 7-styrede maskiner.

Og det er ifølge Itzik Feiglevitch, der er konsulent hos it-sikkerhedsfirmaet Check Point, en alvorlig trussel mod det danske sundhedsvæsen.

»Gamle styresystemer og Internet of Things-enheder er som åbne døre, hvis man vil hacke hospitaler,« siger han og henviser til flere tilfælde, hvor scannere, røntgenmaskiner og medicinpumper er blevet hacket af sikkerhedsfirmaer for demonstrationens skyld.

»Med et klik kan man skrue op for dosen og slå patienterne ihjel – uden at det kan ses på udstyrets skærm,« siger Itzik Feiglevitch.

Han bakkes op af den selvstændige sikkerhedskonsulent Jens Roed Andersen:

»Det er simpelthen ikke rettidig omhu i 2020 at have flere tusinde Windows 7-maskiner. Man bliver ramt af noget grimt på et eller andet tidspunkt,« siger han og fortsætter:

»Det er godt, jeg ikke har ansvaret for det.«

12.000 af de forældede enheder står i Region Sjælland, hvor hver anden computer drives af Windows 7. Styresystemet er berygtet for at indeholde designfejl, der gør den mere usikker end arv­tageren, Windows 10.

It-direktør Per Buchwaldt afviser at stille op til interview, men skriver i en mail til Version2, at man arbejder på højtryk for at komme væk fra Windows 7.

»Det er planen, at alle Windows 7, med enkelte undtagelser, er skiftet til Windows 10 inden udgangen af 2020«.

Hans medarbejdere skal således opdatere 40 Windows-maskiner om dagen resten af året, også i weekenden.

Plaster på et blødende sår

På trods af kritikken af de forældede styresystemer mener regionerne over en bred kam, at de har deres på det tørre.

De har nemlig købt den såkaldte ‘udvidede support’ fra Windows 7-producenten, Microsoft har tilbudt brugere verden over. Derfor får maskinerne stadig sikkerhedsopdateringer, oplyser regionerne til Version2.

Hos det danske sikkerhedsfirma Improsec fraråder man dog at sætte sin lid til supporten med henvisning til, at der er fundamentale usikkerheder i Windows 7.

Partner og COO i Improsec, Claus Vesthammer, beskriver den udvidede support som »et plaster på et åbent sår«. Det stopper ikke blødningen.

Alle regionerne oplyser, at de arbejder på at nedbringe antallet af Windows 7-maskiner hurtigst muligt.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (23)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#3 Bjarne Nielsen

Fra artiklen:

12.000 af de forældede enheder står i Region Sjælland, ...

og

»Det er planen, at alle Windows 7, med enkelte undtagelser, er skiftet til Windows 10 inden udgangen af 2020«.

Hans medarbejdere skal således opdatere 40 Windows-maskiner om dagen resten af året, også i weekenden.

40 maskiner resten af året (uden ferier og weekender) lander iflg. min hovedregner kun omkring halvgået. Eller måske er "enkelte undtagelser" management-speak for ca. halvdelen af de 12.000?

  • 2
  • 4
#4 Mogens Lysemose

Hvis man kun læser denne artikel ser det jo helt uansvarligt ud.

Men hvis man læser den relaterede artikel kan man se at Regionen faktisk har taget nogle sikkerhedstiltag:

...forskellige sikkerhedsmetoder for at sikre de mange tusinde Windows 7-maskiner.

Nogle har helt lukket ned for internetadgangen til og fra enhederne. Andre har lavet såkaldte whitelists, der gør, at de kun kan tilgå godkendte forbindelser.

Alt sammen er lappeløsninger for at kompensere for det usikre styresystem. Lappeløsninger, der alle koster tid og penge, påpeger den selvstændige it-sikkerhedskonsulent Jens Roed Andersen

https://www.version2.dk/artikel/derfor-boer-windows-7-lade-livet-1090168

Som det påpeges er det ikke en langsigtet løsning, men jeg synes det ville være fair at inkludere det i denne artikel i stedet for at hænge Regionen helt ud...

  • 10
  • 0
#6 Louise Klint

Jeg tror også, man kan kalde det prioritering.

I Region H skal man vælge iblandt følgende:

A) Skal vi bruge en mindre sum på opdatering af usikre og forældede styresystemer? B) Eller kaste pengene i grams efter udenlandsk IT-konsulentbistand og skyhøje meromkostninger, det kræver at drifte den elektroniske patientjournal, Sundhedsplatformen?

De har valgt...

27.06.19, Lønomkostninger til Sundhedsplatformen nærmer sig fordobling: https://itwatch.dk/secure/ITNyt/Politik/article11467135.ece https://www.regionh.dk/politik/spoergsmaal-fra-regionsraadet-til-adminis... 10.07.19: https://itwatch.dk/secure/ITNyt/Brancher/branchesoftware/article11484221... 31.07.19: https://politiken.dk/indland/art7315500/Danmark-delt-i-to-%E2%80%93-med-... https://politiken.dk/indland/art7315507/Jysk-fynske-regioner-v%C3%A6lger...

Det koster 370 millioner kroner om året at holde Sundhedsplatformen kørende. Det er 5 gange så meget, som de betaler for deres elektroniske patientjournal i Region Midtjylland. 04.08.19: https://politiken.dk/forbrugogliv/sundhedogmotion/art7319019/Sundhedspla... 04.08.19, Sundhedsplatformen er en god forretning for Epic: https://politiken.dk/indland/art7319322/Men-Sundhedsplatformen-en-god-fo... 07.08.19, Region Sjælland: https://www.dr.dk/nyheder/regionale/sjaelland/amerikanske-konsulenter-fa... 06.10.19: https://politiken.dk/indland/art7425291/Sundhedsplatformen-koster-770-sy...

En Sundhedsplatform, der – som alle ved – er et utroligt arbejdsredskab for klinikere og sundhedspersonale 07.11.19: https://www.dr.dk/nyheder/regionale/sjaelland/ud-af-tre-laeger-er-utilfr...

Og gør Region H og Sjælland til ”fremtidens sundhedsvæsen i verdensklasse”!

  • 4
  • 2
#8 Morten Vinding

Det lyder meget plausibelt at fordi IT-budgettet er så ekstremt overskredet pga. sundhedsplatformen er der ikke råd til andet end livsnødvendige IT-udgifter...

Ja det kunne det være hvis der ikke også i samme artikkel står: "...købt den såkaldte ‘udvidede support’ fra Windows 7-producenten, Microsoft..."

Altså har man også her valgt at skovle skatte penge ud af vinduet fordi man ikke har udvist retidig omhu! Penge man vel at mærke intet får for, andet end at købe sig lidt tid...

Jeg kunne til nød gå med til at der var enkelte maskiner man ikke kunne opdatere pga. af speciel software, men der står at halvdelen af alle computere i region sjælland kører windows 7. Det er der altså ikke nogen undskyldning for!

Og hvordan det så står til med patching tør jeg da slet ikke tænke på så ?

  • 2
  • 1
#9 Finn Hansen

citat: "er dårligt sikret mod hackere, fordi regionernes it-afdelinger stadig holder fast i at bruge det mere end ti år gamle styresystem Windows 7." citat:"Med et klik kan man skrue op for dosen og slå patienterne ihjel – uden at det kan ses på udstyrets skærm,« siger Itzik Feiglevitch." citat: "Man bliver ramt af noget grimt på et eller andet tidspunkt,« siger han og fortsætter:"

Behøver jeg at sige, disse udtalelser er klikbait og kun tjener et formål at skærmme og tjene penge...

Uanset, så kan man sige præcis det samme om Windows 10 - det er lige så usikket om end endnu mere, da Microsoft har snaplen nede i hver eneste ene maskine på verdensplan der er koblet på internettet (tjek deres tvungen windows update funktion), denne snapel har de endnu ikke trukket til sig - "opsamling af data" under påskud af, at de bruges til at forbedrer systemet. Denne opsamling kan de ikke på Win7 og nedaf, og hvis de forsøger, så kan man netop forhindre det via blokade. Mht. sikkerhed, så fatter min lille ubrugte hjerne ikke, at man synker så lavt som at skrive sådan en artikel, uden samtidig at sige, i går Microsofts ærinde. Om systemet kører win7, win8 eller win10 så er de sådan ca. lige usikre, hvis man ikke som ejer gør noget fornuftigt og sikre sin maskine (det tror jeg på regionerne gør) - at læne sig op af Microsoft defender og anitivrus program er som at pee i modvind, man rammes af alskens ulykker, dog kan de gode usaér kikke med og have adgang, det kan de kun med noget større besvær, hvis man som ejer selv gør en aktiv indsats for at sikre maskinen/maskinerne både med antivirus, malwareagent og firewall etc. og ikke kobler kritisk infrastruktur på internettet, men har det kørende på et seperat net som er adskildt af en stærk firewall eller helt simpelt slet ikke har kontakt med omverden uden for sit eget netvæk. Her tænker jeg på røntgen og doserins maskiner etc. på hospitaler - jeg fatter i min lille hjerne ikke hvorfor man ukritisk bringer sådan en i mine øjne dum artikel som kun har til formål at lave "indtjening", det er lavt gået. Mod de aller stærkeste hackere, kan vi kæmpe forgæves, de skal nok finde vejen ind også hvis man skifter til den ufattelige gode Windows 10 som er guds gave (gratis/tvunget gratis) på jord. Blot mit opstød over noget jeg lige faldt over og naturligvis aner jeg ikke hvad jeg snakker om selv om jeg er uddannet på området.

  • 7
  • 2
#11 Knud Larsen

Dette er jo som Corona panikken - det er en medie panik som med År 2000 skiftet fuldstændig galt. Indtil 2000 var det helt enkelt ikke tænkeligt at bruge et Windows eller Microsoft produkt som styresystem, fordi det var uforudsigeligt i real tid og usikkert. Det er i kritiske systemer derfor yderst begrænset hvad der er brugt af W7 etc men i stedet sikre 'gamle' systemer. Til det administrative herunder journalsystemer er situationen anderledes. Men her er der ikke tale om kristiske data og dosering som påstået men om risiko a la det nyopfundne GDPR, og det har jo som vist her ikke den store betydning for den offentlige sektor.

Så hold nu hestene og tænk lidt fornuftigt. I øvrigt må en masse kunne klare sig med effetkive firewalls og proxy systemer - det er da netop sådan et sted det kan gøre nytte. Og skyen?? Ja jeg må sige jeg er noget rystet over hvor åbne samtlige std opsætninger af hjemmeside hosts er - det er rystende. Alle de gode sikekrheder som linux tilsidesættes helt - det er nok for svært?

  • 1
  • 4
#12 Povl H. Pedersen

Der kan gøre meget for at minimere risikoen.

Man kan sørge for at alle enheder er på PVLAN, dvs maskiner på samme segment ikke kan nå hinanden, og så i routerne sørge for at der netværksmæssigt er lukket mest muligt ned. Dvs maskinerne vil så ikke kunne nås fra andet af netværket end et management segment, og vil selv kunne nå ret få ressourcer.

De skal selvfølgelig ikke kunne nå Internet, mail etc, udover gennem noget remope desktop (Citrix, RDP etc). Dog skal de typisk kunne uploade data til filservere, som man skal have styr på.

Hvis man fjerner infektionsvektorerne og spredningsvektorerne med stærk styring af netværksadgange, så er det vel begrænset hvor stor en risiko de udgør.

Men lockdown kan godt være et dyrere projekt end en opgradering, og det kræver et andet skillset, som der ikke er et stort overskud af.

Mange steder i det offentlige, lever maskinen vel med det fødte OS indtil sin dødsdag.

Man skal også huske at Windows 10 op til 1703 er ude af support, 1709 og 1803 udløber begge i år. Og selv den nyeste Windows 10 udløber om knapt 2 år. Så man er tvunget til at løbende opgradering hvis man vil have support.

Nu skal man også huske, at en del af det kritiske kontroludstyr i medico branchen kun er certificeret / godkendt med helt specifikke releases af OS. Hvis man opgraderer OS, så forsvinder godkendelsen.

  • 12
  • 0
#14 Bjarke I. Pedersen

Det er kun ved consumer udgaven af Windows 10 det er et problem.

I enterprise sammenhænge styrer alt der hedder opdateringer fra centralt sted med enten Windows Server Update Services (ikke så sandsynligt) eller med System Center Configuration Manager (langt mere sandsynligt).

Så der vil du ikke opleve, at opdateringer bare bliver installeret på kritiske systemer - med mindre de folk der sidder med det selvfølgelig ikke tester dem først i et test miljø - men der er det en brugerfejl, ikke en fejl i systemet.

  • 6
  • 1
#15 Martin Dahl

Det er først i dette århundrende at vi mærker de globale omkostninger ved at binde missionskritiske systemer til proprietære operativsystemer.

Det totale TCO på verdensplan forøges væsentligt når diverse systemer tvinges til at følge med opgraderinger til nyere og ikke-bagudkompatible versioner af operativsystemer.

Disse opgraderingsomkostninger indeholder intet af velfærdsskabende værdi, og som sådan er det et globalt velfærdstab som tages fra andre områder der kunne bringe liv, sundhed, undervisning, pleje osv.

Også nuværende opensource OSer har en end of life, men sagen er at omkostningerne ved at sikkerheds-vedligeholde en kompatibel version af et OS nødvendigvis må være størrelsesordner mindre end de globale omkostninger, ved at blive tvunget til opgraderinger af utallige afhængige systemer.

Hvis alle hospitaler alene tilsidesatte 1% af deres totale Windows opgraderingsomkostninger for disse systemer, så ville man kunne betale for en LTS af samtlige linux mm. versioner frem til år 2999.

Eller sagt på en anden måde. Det er håbløst at en CT scanner i millionklassen skal skrottes eller opgraderes forbi at den nye version af det funklende operativsystem kommer med et ny 3d version af minestryger.

Der er behov for et OS uden udløb, eller som minimum med et udløb der kan financiers direkte af interessenterne.

  • 6
  • 2
#16 Per Gøtterup

Præcis!

Det er min erfaring (og jeg har arbejdet med alle regionerne) at de fleste overhovedet ikke har en segmentering mellem almindelige PC'ere og diagnostiske maskiner, samt mellem PC'erne og databasesystemer, f.eks. med patientdata eller DICOM-data, eller også er segmenteringen hullet som en si.

Det var voldsomt fatalt for engelske NHS da de fik ransomware ind på nettet, og en hacker kan let gøre hvad ransomwaren kunne på nettet - og meget mere til.

Der skal bare en enkelt phishing-mail til...

  • 3
  • 0
#17 Claus Futtrup

Hej - Windows 7 er på vej i graven, men egentlig så synes den ikke at være så gammel i mit univers. Jeg kan godt forstå hvis det halter med opgraderinger på nogle kritiske anvendelser, som f.eks. i hospitalsvæsentet. Forhåbentlig så lærer "de" efterhånden lektien og vælger en helt anden model. Med Windows 10 blev vi vel egentlig lovet en anden model, men lige nu ser det ud til at dette kører af sporet.

Spørgsmål - er det muligt at pakke en Windows 7 OS ind i en form for virtuel maskine, som beskytter? ... bare så man ikke endnu en gang skal til at se på interfaces til diverse udstyr som f.eks. MR-scannere osv.

Venlig hilsen, Claus

  • 1
  • 0
#18 Tonni Pedersen

Hvor er jeg enig med Finn Hansen, det er en usandsynlig dårlig artikel, og tag lige og skyd nogle af de der sikkerhedskonsulenter. Vi har hørt den samme sang, hver gang der kommer en ny Windows version. Jeg kan ikke huske endnu at have hørt noget om, hvor forfærdeligt det gik for de stakler der ikke så lyset i tide, og fik sendt en masse penge til Microsoft. Sikkerheden i diverse IT installationer afhænger næsten i højere grad af den omkringliggende struktur, end af hvilken Windows Version der er på computeren.

  • 6
  • 0
#20 Axel Nielsen

Man burde forbyde Windows som OS i kritisk infrastruktur.

Nej, men man burde stærkt overveje hvordan man forbinder kritisk infrastruktur indbyrdes og med "omverdenen".

At tro en "havelåge med pigtråd" aka firewall, netværkssegregering og diverse (semi)automatisk overvågning til evig tid vil forhindre læk, hacking, angreb og forstyrrelse/ødelæggelse er det samme som at tro man kan pisse i bukserne uden at blive våd.

Systemer skal adskilles fysisk og systemer der ikke behøver internet skal ikke kommunikere via internet bare fordi det er det nemmeste/billigste. De skal slet ikke være i nærheden af internet rent elektrisk.

Kæden er aldrig stærkere end det svageste led og pt. er der alt for mange svage led.

  • 5
  • 0
#21 Søren Grønning

Mange steder i det offentlige, lever maskinen vel med det fødte OS indtil sin dødsdag.

Dette er slet ikke utænkeligt, men skyldes i mange situationer leverandørerne af det specialiserede udstyr (scannere, måleapparater og sekventieringsudstyr m.v.), som oftest leverer én version af programmet, certificeret til én version af Windows, som man så efterfølgende levering ikke må pille ved uden at man mister supporten på det ofte milliondyre apparat - også hvis der er tale om hardening af OS...

Dette gør sig gældende på sygehusene og hospitalerne, universiteterne og alt hvad der jf. Helge Sanders 'fra forskning til faktura'-doktrin ligger ind midt imellem af public-private partnerships.

I øvrigt er alle de førnævnte forbehold noget, som også praktiseres i praksis og har været det inden Windows 7 reelt gik EOL, bl.a. for at kunne imødekomme dén dag, hvor sikkerheden reelt ellers ville kunne gøre selve det milliondyre apparat EOL, og ikke kun Windows 7...

Jeg er helt enig med Martin Dahl, der i tilgift undrer sig over den manglende priducentfokus på åbne platforme og dermed i særdeleshed Linux - særligt, når man ser på, hvor relativt ofte der er tale om embeddede løsninger med en slags 2-in-1 hardwareløsning, der på det nærmeste er noget, hvor Linux vil kunne udvise sine største forcer i form af portabilitet og adaptabilitet.

Jeg har eks. oplevet embedded Windows CE på et gensekventienringsapparat til et par millioner eller tre, hvor jeg ikke kunne andet end undre mig helt enormt over hvilket gamle dén slags synes at være med ens kunders investeringer i en sektor, der burde være alt andet end en simpel cash cow!

  • 3
  • 0
#22 Henrik Sørensen

Nu er det altså også sådan, at en del hospitalsudstyr ikke bliver understøttet på nyere versioner af Windows.

Fx. besluttede en unavngiven HW leverandør at skifte OS fra Linux til Windows (ved skift af direktør - jo, den slags beslutninger tages) og udviklede drivere til Windows XP. Desværre virkede disse drivere ikke med Windows 7 (aner ikke lige hvorfor), og virksomheden ville heller ikke levere Windows 7 drivere... De "kunne jo bare opdatere deres HW"...

Så hospitalet besluttede sig for at køre videre med Windows XP på scanneren... Så, dér har man en unsupported Windows XP på sit netværk... For output fra scanningen skal jo kunne tilgås andre steder...

  • 3
  • 0
#23 Axel Nielsen

For output fra scanningen skal jo kunne tilgås andre steder...

Dét kunne nok klares med en envejs optokobler til en mere tiddsvarende maskine - Så er den ikke længere på netværket...

Der er mange måder at undgå at den kommer på netværket på.

Jeg har for ikke ret lang tid siden lavet service på en 486DX2-66/DOS 6.22 maskine til noget måleudstyr - Set i dét perspektiv, så er Windows XP jo nærmest fremtiden...

  • 2
  • 0
Log ind eller Opret konto for at kommentere