Sådan blev Norges største sundhedsorganisation hacket
I januar 2018 blev en af Norges fire regionale sundhedsmyndigheder udsat for et hackerangreb, hvor patientoplysninger om tre millioner nordmænd potentielt er kommet på afveje.
Nu viser en ny rapport, hvordan hackere let kunne komme ind i it-systemerne i Helse Sørøst, der er Norges decideret største sundhedsvirksomhed.
Rapporten er udarbejdet af FFI - Forsvarets forskningsinstitutt - og blev bestilt af landets justitsministerie for at undersøge, hvordan angrebene i 2018 blev håndteret.
Her fremgår det, at hackerne fik adgang gennem en sårbar applikation, der blev brugt af lokalt sundhedspersonale. Programmet havde forbindelse til internettet gennem en demilitariseret zone (DMZ).
Derfra kunne hackerne komme længere ind i hospitalets infrastruktur, konkluderer FFI-forskere Janita A. Bruvoll, Asmund Thuv og Geir Enemo.
Hackerne fik adgang til systemerne allerede i julen 2017, men angrebet blev først opdaget af 8. januar af HealthCERT, fremgår det.
»Meget af vores arbejde handlede om kortlægning af begivenheder og håndtering. Det gjorde vi gennem interviews og en gennemgang af skriftlige kilder,« skriver FFI-forsker Aasmund Thuv i en e-mail til digi.no.
Krisebemanding
Dagen efter, at angrebet blev opdaget, blev en krisebemanding sat ind i sundhedsvirksomheden, og HealthCERT blev underrettet.
Rapporten viser også, at den samme aktør udførte et lignende angreb mod infrastrukturen i en anden region - Helse Vest IKT.
Da hospitalerne undersøgte de kompromitterede servere den 9. januar, så det ud til, at hackerne var kommet dybere ind i it-infrastrukturen, end der oprindeligt var forventet.
Rapporten tegner et billede af nogle dramatiske dage for Sygehuspartner HF, der leverer it til alle sygehuse i regionen, hvor de til sidst valgte at anmode om hjælp fra både Norges sikkerhedsmyndigheder og center for cybersikkerhed NorCERT.
Der blev gennemført omfattende overvågningsforanstaltninger, og sikkerhedsselskabet Mnemonic blev derefter bragt ind for at støtte styringen med hændelsen.
Påvirket kommunikation med ambulancer
Administrator-adgangskoder blev ændret, AD-grupper med udvidede rettigheder blev slettet, og alternative kommunikationskanaler blev oprettet i frygt for, at kritiske systemer skulle gå ned.
Forbindelserne til forskningsnetværket og Oslo universitetshospital blev også skåret.
Konsekvenserne af foranstaltningerne har påvirket kommunikationssystemerne mellem hospitaler og ambulancer, hedder det i rapporten. Sygehuspartner mener, at lukningen var nødvendig, og at det kun havde begrænsede konsekvenser.
»Den store lektie ved denne begivenhed er, at forberedelse er meget vigtig. Forskellige typer dataangreb kan ramme alle, og der er ingen grund til at tro, at det ikke kan ske for dig,« skriver Aasmund Thuv.
»God grundlæggende sikkerhed for ikt-systemer og en oversigt over, hvad der sker, er et centralt fundament. Derudover er det vigtigt, at etablerede planer og processer implementeres, hvis der registreres et dataangreb. Ikke mindst er det vigtigt at have god indsigt i virksomhedens værdier og aktiviteter, så der kan foretages gode vurderinger af konsekvenserne af både angrebet og mulige foranstaltninger.«
Højeste beredskab
»Dette kræver viden og ekspertise om ikt-systemerne, om virksomheden selv og om virksomhedens rolle i sektoren og samfundet ellers,« skriver forsker Thuv i e-mailen til digi.no.
Først over en måned efter, at hackerne kom ind i it-systemer, var Sygehuspartner HF i stand til at sænke beredskabsniveauet fra rød til gul. Først den 2. marts blev nødberedskabet sænket til normal, men nogle tjenester i forskningsnetværket var endnu ikke blevet gendannet i juni.
Efter hændelsen konkluderede Sygehuspartner HF, at patientoplysninger ikke er kommet på afveje. Det baserer de på logfiler, der kunne gengive detaljer om angrebet.
Men ifølge Politiets Sikkerhedstjeneste (PST) i Norge kan man ikke udelukke, at hackerne havde adgang til netværket med patientinformation, forskningsdata eller beredskabsplaner.
Omfattende kortlægning
Politiets sikkerhedstjeneste baserer sin konklusion på tekniske undersøgelser af logfiler og kompromitterede servere, men netværkets størrelse gjorde det nødvendigt for dem at indskrænke efterforskningen, hedder det i rapporten.
Omvendt mener Sygehuspartner HF, at deres egne undersøgelser er mere omfattende, hvilket er baseret på det faktum, at de har gennemgået større dele af infrastrukturen, end PST var i stand til.
I rapporten opsummerer FFI, at de ikke har et klart nok billede til at konkludere om hackernes intentioner, hvilken slags information de kom væk med, eller hvem de er.
»Aktørerne har ikke været vores fokus. Vi finder ud af, at de er avancerede og professionelle, men spekulerer ikke på dem,« skriver forsker Aasmund Thuv i e-mailen til digi.no.
Denne artikel er oprindeligt udgivet på Digi.no.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
