Brugernavne og kodeord flød rundt i åbent dokumentsystem hos Region Hovedstaden

Adskillige dokumenter med brugernavn og kodeord til diverse systemer i sundhedssektoren har ligget frit tilgængelige i et dokumentstyringssystem hos Region Hovedstaden.

Brugernavne og kodeord til blandt andet en hospitalsscanner og andet medicinsk udstyr på hospitaler og flere online-tjenester relateret til sundhedssektoren i Region Hovedstaden har ligget frit tilgængelige på nettet.

Det afslører søgninger, som Version2 har gennemført på domænet vip.regionh.dk. Adressen giver adgang til et dokumentstyringssystem kaldet VIP, som indeholder tusindvis af vejledninger, instrukser og politikker.

Enhver kan i udgangspunktet logge på systemet som anonym bruger. Det kræver blot et klik med musen.

Men dokumenterne må ikke indeholde brugernavne og kodeord, lyder det fra Region H:

»Jeg vil gerne slå fast, at det ikke er meningen, at kodeord og brugernavne skal være offentligt tilgængeligt på VIP. Det er en fejl, og vi har nu gennemgået alle de dokumenter med adgangskoder og brugernavne, vi kunne finde, og lukket dem for offentlig adgang,« oplyser direktør i Region Hovedstadens Center for Sundhed, Anne Skriver Andersen, i et skriftligt svar til Version2.

Ifølge Region Hovedstaden er det tilsigtet, at der er åben adgang til dele af VIP med anonymt login. Det skyldes, at ansatte i blandt andet hjemmeplejen og på hospitalerne i regionen her skal kunne finde råd og vejledning, for eksempel vejledninger og kliniske retningslinjer til personalet men også til fagpersoner i andre sektorer og regioner.

»Vi vil gerne være åbne og dele vores vejledninger med samarbejdspartnere og andre fagfolk udenfor regionen. Dette er dels vigtigt i relation til samarbejdet med Region Sjælland, hvor det fælles elektroniske journalsystem, Sundhedsplatformen forudsætter fælles guidelines. Men det er også vigtigt for os af hensyn til videndeling og samarbejde med sundhedspersoner i praksissektoren og kommunerne,« oplyser Anne Skriver Andersen.

Direktionen erkender over for Version2 sit ansvar for den ringe sikkerhed i forhold til bl.a. passwords:

»Vi har et ansvar for, at retningslinjerne for, hvad der skal ligge offentligt tilgængelig i VIP, bliver fulgt. Version2s research har vist, at det desværre ikke altid er tilfældet. Det skal jeg være den første til at beklage,« fortæller Anne Skriver Andersen.

Strammer op på IT-sikkerhed

Region Hovedstaden har nu indskærpet retningslinjerne overfor de mere end 1.000 redaktører, der har adgang til at lægge oplysninger op i systemet i forhold til, hvad der skal være, og hvad der ikke skal være offentlig tilgængeligt.

Når det er sagt, så understreger Anne Skriver Andersen også, at der ikke ligger helbredsoplysninger i VIP.

»Jeg vil dog gerne understrege, at VIP ikke er et sundheds-it-system, der indeholder personfølsomme oplysninger som fx blodprøvesvar eller medicinordinationer. Derfor er VIP underlagt andre regler end fx Sundhedsplatformen.«

Med andre ord har der ifølge direktøren altså ikke ligget eksempelvis patientjournaler eller lignende i systemet.

Password og kodeord

Version2 har gennemført flere søgninger på blandt andet ‘kodeord’ og ‘password’ i VIP.

Da Version2 søgte på ‘kodeord’ i VIP, dukkede der 35 dokumenter op. Regionen undersøgte dem nærmere og har i den forbindelse oplyst, at man fandt kodeord til lokale systemer eller apparater i 30 af de 35 dokumenter. De blev efterfølgende fjernet fra den offentlige del af VIP.

I en anden søgning på ordet 'password' blev 129 dokumenter returneret. Her har regionen oplyst, at 28 dokumenter indeholdt password til lukkede systemer og programmer. Disse dokumenter blev også fjernet.

I forhold til det eksakte antal dokumenter, der bliver returneret ved søgninger på for eksempel ‘kodeord’, så er VIP tilsyneladende et særdeles dynamisk system. I hvert fald har antallet af returnerede resultater ændret sig flere gange siden vores oprindelige søgning.

Lukkede og åbne systemer

Version2 har løbende forelagt resultaterne af vores research til Region Hovedstaden.

Til at starte med påpegede Region Hovedstaden, at de kodeord og brugernavne, vi havde fundet, var til såkaldt lukkede systemer.

I et skriftligt svar definerer Anne Skriver Andersen lukkede systemer som følger:

»Lukkede systemer er systemer, som ikke er umiddelbart offentligt tilgængelige. Fx software på en lokal PC, apparatur ude på en afdeling eller hardware ude på en afdeling. Lokale pc’ere er jo desuden beskyttet af personalets egne passwords.«

Altså ikke systemer, hvor der er umiddelbar adgang fra internettet.

Sidenhen fandt Version2 dog flere brugernavne og kodeord til, hvad der i sammenhængen kan kaldes åbne systemer.

Vi fandt for eksempel et læge-login til en sædbanks hjemmeside og et login til en onlinetjeneste til bestilling af tolke. Da vi gjorde Region Hovedstaden opmærksom på dette, stoppede svarene fra regionen med at henvise til lukkede systemer i forhold til eksponerede oplysninger.

Hvad de lukkede systemer angår, så vil nogen nok mene, at hospitaler er ganske åbne institutioner, hvor folk kommer og går nogenlunde frit. Og derfor uvedkommendes adgang til eksempelvis en scanner måske ikke begrænset af, hvorvidt enheden er tilgængelig fra internettet eller ej.

»Det er rigtigt, at hospitalerne er åbne – og netop derfor var det, som sagt, en fejl, at kodeord lå på den åbne del af VIP,« oplyser Anne Skriver Andersen i et mailsvar.«

»Vi er ikke orienteret om, at der har været et misbrug«

Det er svært at sige, i hvor høj grad, at oplysningerne, der har ligget frit tilgængelige på vip.regionh.dk, har kunnet misbruges af uvedkommende.

Ikke mindst fordi, vi på Version2 af etiske årsager kun i et særdeles begrænset omfang har testet, hvad de eksponerede oplysninger reelt har kunnet bruges til.

Når det er skrevet, så er vi under researchen udelukkende stødt på materiale i VIP, der har karakter af instrukser og vejledninger - og altså ikke eksempelvis patientdata.

I forhold til, hvorvidt oplysningerne på vip.regionh.dk har kunnet misbruges til i sidste ende at tilgå følsomme oplysninger, siger Anne Skriver Andersen:

»Fordi vi ikke har været gennem alle vejledninger og dokumenter, ikke har en kontrol på det og ikke tjekker op på det, så kan jeg jo aldrig sidde og afvise noget, men jeg vil bare sige, jeg har tillid til, de (folk med adgang til at publicere oplysninger i systemet, red.) ikke deler oplysninger, som kan give adgang til personfølsomme oplysninger. Det er jo et generelt ansvar, som sundhedspersoner, der lægger disse oplysninger op, har.«

I forlængelse af dette påpeger hun:

»Vi er også nødt til at holde fast i, vi ikke har oplevet, der har været et misbrug i de seks år, vi har kørt det på denne her måde.«

Hvordan ved I, der ikke har været et misbrug?
»Vi er ikke orienteret om, at der har været et misbrug. Og har ikke oplevet et misbrug.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (9)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Anne-Marie Krogsbøll

Flot arbejde....

"...jeg har tillid til, de (folk med adgang til at publicere oplysninger i systemet, red.) ikke deler oplysninger, som kan give adgang til personfølsomme oplysninger. Det er jo et generelt ansvar, som sundhedspersoner, der lægger disse oplysninger op, har.«"

"....overfor de mere end 1.000 redaktører.."

"1000 redaktører"? Det gør mig godt nok utryg. Jeg forstår ikke, at man ikke i sådanne følsomme systemer, hvor man har ansvaret for borgernes personfølsomme oplysninger, har en central instans, der har ansvaret for at tjekke de dokumenter, der lægges ud på nettet. Hvorfor skal det være åbent for så mange "redaktører" - hvoraf mange garanteret ikke har ret megen uddannelse i/indsigt i data-sikkerhed?

Det virker rent ud sagt "gak-gak" og meget lidt gennemtænkt. Er det mon de samme, der har ansvaret for datasikkerheden i Sundhedsplatformen? Eller er det de samme principper, man der arbejder efter på det punkt?

Leif Neland

Det er ikke meningen at der skal stå personfølsomme oplysninger i dette system.

Det er et Wikipedia-agtigt system med vejledninger og lignende.

"Når der sker dette, så gør dette".
"Maskinen, der siger ping, skal startes med dette håndsving, og derefter skal knapperne trykkes på i denne rækkefølge"

Det giver derfor mening at det er specialisterne, der skriver disse vejledninger, og at de bliver skrevet af de, der har videnen og kompetencen.
Artiklerne skal ikke igennem en redaktør/journalist, der måske ikke har viden om præcist det speciale.

(Dette er kun baseret på hvad der står i artiklen, jeg har ikke insiderviden)

Anne-Marie Krogsbøll

Leif Nelang:

Jeg mener heller ikke, at de skal "redigere" materialet, men blot tjekke, at det ikke indeholder personfølsomt og andet følsomt materiale. Og der tyder noget jo - ud fra artiklen - på, at det ikke går godt, når 1000 redaktører har adgang til at lægge materiale direkte ud på nettet. Jeg kan ikke se, hvad der skulle være galt i, at det skulle igennem et "filter", inden det lægges ud.

Bjarne Nielsen

Interessant er der følge, hvordan man starter med være i benægtelse (bl.a. med henvisningen til "lukkede systemer"). Det viser klart, at det er ikke er noget, som man har tænkt igennem.

Som jeg vist har sagt et par gange (i lignende sammenhænge): jeg er forarget, men desværre ikke overrasket.

Sune Buhl

Nu er der jo ret mange hospitaler, afdelinger og ansatte i region hovedstaden. Instrukser / vejledninger skrives lokalt, så derfor er der behov for et stort antal redaktører.

Men derimod ikke sagt, at en praksis med en eller flere centrale godkendere eller et automatisk system der kontrollere instrukser / ændringer for loginoplysninger ikke ville have været en god ide.

I min afdeling har vi dog altid været obs på at systemet er åbent og derfor undgået følsomt indhold af enhver karakter. Men som sagt, så er region hovedstaden en stor maskine.

Anne-Marie Krogsbøll

Netop, Sune Buhl. Jeg kan sagtens forstå argumentet med, at dem som har forstand på et givent område, skriver vejledningerne m.m. Men at man i det offentlige - med de enorme mængder følsomme data - giver så mange adgang til uden videre at lægge ting ud, det forstår jeg ikke. Der bør der være en "karantæne" på vejen, hvor en central instans lige sikrer sig, at "nogen" ikke har overset "noget" - måske fordi de slet ikke forestiller sig, at vip er åbent for offentligheden?

Og med 1000 redaktører med direkte adgang til at lægge ting ud (hvor bogstaveligt skal vi tage det tal - er der i virkeligheden flere - eller færre?), så er det for mig at se ønsketænkning at tro, at der ikke vil slippe ting ud, som ikke burde slippe ud.

Jer, der tydeligvis ikke mener det - anser I slet ikke det i artiklen beskrevne som et sikkerhedsproblem? Eller har I bare en bedre løsning?

Sune Buhl

@Anne-Marie Krogsbøll

Jeg synes egentlig jeg i mit tidligere svar medgav at en kontrol før udgivelse var en god ide, så jeg vil ikke kommentere mere på den del. Og jeg synes så absolut at denne sag har udgjort / udgør en sikkerhedsrisiko.

De 1000 redaktører er nok ganske retvisende (men jeg har ikke præcis viden herom). Husk på at vi i Region H. er mere end 40.000 ansatte. På Herlev og Gentofte hospital alene 7.000 eller deromkring. Der er typisk redaktører helt ned i afsnitsniveau (under-afdeling) og typisk flere. Der er mange instrukser og arbejdsgange. Udover nye, så er det jo også opdateringer af eksisterende, så der er meget arbejde forbundet hermed.

Og så tror jeg at jeg stopper med indlæg nu - vil ikke ud i en længere diskussion :-)

Jesper Hansen

Hvis der skal sidde folk og godkende indhold, så går der nok ikke længe inden vi hører brok over langsomme arbejdsgange, og spild af tid, der kunne bruges på patienterne.

Nej, lad dem nu bare bruge systemet som det er tiltænkt, i stedet for at drukne det i bureaukrati. Men sørg samtidig for at folk ikke kan være i tvivl om, at login informationer ikke hører til deri.

Log ind eller Opret konto for at kommentere