Fire sikkerhedsbrud har ramt Region Syddanmark

Illustration: Andrei_R/Bigstock
Region Syddanmark har i løbet af sommeren opdaget sikkerhedsbrud på fire forskellige netværksdrev. Der er risiko for, at uvedkommende brugere har tilgået oplysninger om patienter.

Fire netværksdrev er blevet lukket ned i Region Syddanmark, efter at regionen har fundet frem til, at der har været it-sikkerhedsbrud på drevene.

Det oplyser Region Syddanmark i en pressemeddelelse.

De fire netværksdrev er blandt andet blevet brugt til lagring af notater og oplysninger om kræftbehandlinger og kæbekirugi samt af høreklinikken og øjenafdelingen på Odense Universitetshospital.

Det første af de fire sikkerhedshuller har eksisteret siden januar 2017, og de blev allesammen lukket i løbet af juni måned i år.

»For patienter, der har været behandlet på ovenstående afdelinger mellem januar 2017 og juni 2020, har der altså været risiko for, at andre medarbejdere i Region Syddanmark end dem, der har behandlet patienten, har haft adgang og kendskab til deres oplysninger,« oplyser regionen.

It-direktør: Ingen tegn på adgang fra uvedkommende

Det har været muligt for uvedkommende at tilgå dokumenter fra samtlige af de fire systemer, og i to af systemerne har uvedkommende også haft mulighed for at ændre i dokumenterne.

Regionen understreger, at det i alle fire tilfælde »ikke uden videre har været muligt at få adgang« til drevene, og ifølge regionens it-direktør, Morten Lundgaard, er der ikke noget, der tyder på, at uvedkommende har fået adgang til oplysninger på systemerne.

»Og jeg ved, at det vil kræve ualmindelig indgående it-kendskab og umådelig held via gætterier for at finde frem til informationer på de fællesdrev, det handler om.« siger Morten Lundgaard i en pressemeddelelse.

Fem trin

For at uvedkommende brugere skulle have fået adgang til systemerne, har de ifølge regionen skulle igennem fem trin.

»Brugeren skulle først gætte sig til et virtual storage-navn, også kendt som servernavn, da visning af servere på netværksniveau er slået fra. Derefter skulle brugeren gætte et sharenavn, sammensætte den rigtige syntaks og taste det gættede navn i stifinder eller en kommando prompt – en sort DOS box. Først da ville en bruger kunne få adgang til datamapperne i systemet, hvor det både har været muligt at læse, og ændre i dokumenter,« oplyser regionen.

Der har dog ikke været nogen logning, der har kunnet vise, om personoplysningerne er blevet tilgået uberettiget, tilføjer regionen.

»Derfor har det ikke været muligt at kontrollere, om nogen ansatte har tilgået personoplysninger uberettiget,« oplyser regionen i pressemeddelelsen.

Ifølge regionen er alle brudene lukkede i dag, og sagen er meldt til Datatilsynet.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (0)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere