Det har tilsyneladende været ganske nemt at logge ind som bruger på en afskærmet del af Region Hovedstadens dokumentstyringssystem VIP og derved få adgang til endnu flere dokumenter, end der ellers er adgang til i den åbne del af systemet.
Dermed er der altså yderligere problemer med it-sikkerheden i VIP, som ellers i den åbne del har flydt med kodeord til betjening af medicinsk udstyr, login til en sædbanks hjemmeside og andre systemer relateret til sundhedssektoren i regionen, sådan som Version2 har kunnet fortælle i denne uge.
Den åbne del kan tilgås anonymt med ét klik med musen.
Et af de kodeord, der har ligget i den åbne del af VIP, er paradoksalt nok til systemet selv. Det drejer sig om den ikke synderligt avancerede kode ‘vip123’.
Ifølge vores oplysninger er vip123 et standardkodeord, som sammen med et brugernavn gør det muligt at logge ind på VIP som en rigtig bruger - og altså ikke bare anonymt.
Forskellen mellem en anonym bruger og en rigtig bruger skulle blandt andet være, at det er muligt at tilgå dokumenter, som ikke er synlige for en anonym bruger.
Vi har af etiske årsager ikke forsøgt at logge ind som andet end en anonym bruger.
Brugernavnet
Af det materiale, der har ligget tilgængeligt på vip.regionh.dk, fremgår det desuden, at brugernavnet er et såkaldt BAM ID.
Ifølge Version2's oplysninger er BAM ID i flere tilfælde sammenfaldende med det, der står foran snabel-a’et i diverse mail-adresser i regionen. Altså xxxx@regionh.dk, hvor xxxx så er lig BAM ID’et.
Så med et ikke særligt hemmeligt brugernavn og et - i udgangspunktet - svagt kodeord har det altså været muligt at tilgå systemet som en rigtig bruger.
Det skal her understreges - hvad Region Hovedstaden også har gjort over for Version2 flere gange under vores research - at VIP-systemet i udgangspunktet er tænkt til vejledninger og instrukser, som det er meningen skal kunne tilgås bredt i regionen.
Det er altså ikke et system, der indeholder eksempelvis patientdata. Og man kan derfor heller ikke udlede, at et login på vip.regionh.dk nødvendigvis ville have givet adgang til yderligere fortrolige oplysninger - det har vi som nævnt ikke testet.
Under alle omstændigheder er det ikke meningen, at der skal lægges eksempelvis kodeord op i den åbne del af systemet, som alle kan tilgås som anonym bruger fra internettet.
Skift ikke kodeord
Tilbage til vip123. Ikke alene har standardkodeordet været ganske simpelt. I mindst en af de vejledninger, der har ligget i den åbne del af systemet, og som indeholder kodeordet, bliver brugere i regionen direkte anbefalet ikke at skifte kodeordet.
Den præcise ordlyd i den pågældende vejledning er som følger:
»Log ind: BAM kode samt egen valgte kode benyttes. 1. gang anvendes koden: vip123 . Det er en fordel af bibeholde denne kode, da adgangskoden i vip ikke automatisk ændres i takt med, at du ændrer adgangskoden i de øvrige systemer.«
Vi har spurgt, om man hos Region H mener, den alt andet lige noget uortodokse anbefaling om ikke at skifte standardkodeordet - tilmed til en åben web-tjeneste - er en fornuftig it-sikkerheds-praksis.
Direktør i Region Hovedstaden Center for Sundhed, Anne Skriver Andersen, oplyser i et skriftligt svar:
»Nogle afdelinger har bedt deres personale holde fast i standardkoden, fordi de så kunne hjælpe hinanden med at huske den. Det har været en beslutning, der er truffet lokalt. Jeg er enig i, at det ikke er en hensigtsmæssigt – og det er ikke god it-praksis. Derfor har vi nu lukket muligheden for at logge ind med standardkoden.«
Det er også forklaringen på, hvorfor vi nævner det konkrete kodeord i denne artikel. Kodeordet skulle nemlig ikke virke længere.
Et par dage efter, at Version2 gjorde Region Hovedstaden opmærksom på, at vip123 lå frit fremme på vip.regionh.dk, blev der sendt en mail bredt rundt i regionen.
»Af sikkerhedsmæssige årsager, vil alle brugere af VIP, der har standardkoden vip123, fra den 5. oktober 2017, kl. 12.00 ikke kunne logge på VIP,« står der blandt andet i mailen, som Version2 er i besiddelse af.
