Sverige

”Journalsystemet låg öppet under åtta månader”

I juni upptäckte Stockholms läns landsting och Karolinska universitetssjukhuset spår av intrång och en mycket allvarlig säkerhetslucka i servern som förvarar miljoner svenskars sjukjournaler. Deras egen analys visade att brandvägg saknades och att det var stor risk att patientinformation hade stulits. Trots det gjordes ingen polisanmälan. När DN konfronterar landstingsledningen om den nedtystade incidenten hävdar man att en ny men sekretessbelagd rapport visar att ingenting har hänt.

I början av juni i år inträffade en rad haverier i IT-systemet Take care som hanterar miljoner svenskars sjukjournaler. Systemet gör journalerna tillgängliga för vårdpersonal på en rad sjukhus och vårdcentraler i Stockholms län och på Gotland.

Vid haverierna var vården stundtals helt utan tillgång till journaler och andra viktiga datasystem. Händelserna fick Inspektionen för vård och omsorg att begära en redogörelse och fallet anmäldes enligt Lex Maria.

Samtidigt som felsökningen pågick med en särskild analyskommission upptäcktes stora säkerhetsluckor i systemet. Enligt DN:s uppgiftslämnare såg IT-tekniker en eller flera öppna vägar att ta sig in i Stockholms läns landstings serv­rar via Karolinska institutet.

Säkerhetsanalysen visade att servern med patientjournalerna var uppkopplad mot internet på ett sätt som gjorde intrång möjligt. Utöver det visade det sig, enligt analysen, att hela den centrala servern var oskyddad eftersom den saknade brandväggar.

Det gjorde att det var möjligt för utomstående att ta sig in till hjärtat i systemet där cirka tre miljoner sjukjournaler för patienter i Stockholms län och på Gotland lagras.

Det upptäcktes också stora brister i hur datatrafiken loggas – uppgifterna sparades bara i tre månader.

Säkerhetsluckan täpptes igen den 26 juni i samband med att den upptäcktes och en intern granskning inleddes.

Allt eftersom säkerhetsutredning­en pågick stod det klart att det fanns spår av intrång i servern men också att luckan hade funnits i hela åtta månader – från 12 oktober 2012 till 26 juni 2013.

Enligt DN:s källor gjorde den långa tidsperioden som servern varit öppen att det var mycket svårt att överblicka hur mycket och vad som kunde ha stulits.

Säkerhetsutredarna konstaterade att det var troligt att angreppen skett fram till och med maj 2013 och att det därför skulle bli mycket svårt att analysera vad som hänt. Det poängterades särskilt att det var stor risk att eventuella angripare hade hunnit städa efter sig.

Efter tio dagars intensivt analysarbete gjordes en sammanfattning av situationen, då slogs det fast att risken att obehöriga hade tillgång till patientinformation var stor och att ”värsta tänkbara scenario kan ha inträffat”.

Trots detta valde landstingsledningen att inte göra någon polis­anmälan. I stället ville den utreda vad som hänt i egen regi och med hjälp av inhyrda konsulter.

Anders Nyström, biträdande förvaltningschef på Stockholms läns landsting och ansvarig för IT-­säkerhetsarbetet, bekräftar misstankarna man hade i juni. Han säger att landstinget aldrig kontaktade polisen.

– Det är ingenting som jag vet att vi har gjort.

Men om ni misstänker brott borde ni inte anmäla det då?

– Jo, men man borde först kontrollera vad det är.

Analysen som gjordes i juli är detaljrik, den beskriver säkerhetsluckans art, spåren efter inkräktare, obehörig trafik, bristande loggning och saknade brandväggar.

Trots detta säger Anders Nyström att en ny rapport bekräftar att inget av det som beskrevs första gången i själva verket har hänt.

Därför var det heller inte nöd­vändigt att kontakta polisen, säger han.

– Vi valde att se på frågan och konstaterade att det inte var så som vi befarade att det kunde vara.

Vi har uppgifter om att säkerhetsluckan var öppen mellan 12 oktober 2012 och 26 juni 2013. Stämmer inte det?

– Det kan jag inte omedelbart svara på. Det vet inte jag.

Det fanns inga loggfiler. I efterhand ska det ha varit omöjligt att veta om någon varit i systemet?

– Alla aktiviteter i våra system loggas noga.

Det har ju slagits fast att ni inte kan se vem som varit inne i systemet eftersom det har gått för lång tid?

– Jag kan inte kommentera det. Vi kommenterar inte vad vi hittar i våra säkerhetssystem. Vi arbetar hela tiden med att förbättra säkerheten.

Hur kan ni å ena sidan slå fast att det är omöjligt att ta reda på om någon varit inne i systemet och å andra säga att ingen har varit där. Hur blev det plötsligt möjligt att veta det?

– Jag kan inte kommentera det. Det finns inga indikationer på att någon obehörig har kommit åt någon som helst känslig information.

Men det är ju skillnad på indikationer och att slå fast att så inte har skett?

– Alla analyser som vi har gjort visar att ingen obehörig har kommit åt någon känslig information.

Enligt Anders Nyström arbetar tre konsultföretag med att utreda intrångsmisstankarna. Slutrapporten är ännu inte klar. Hittills har landstinget bara fått en teknisk delredovisning. Den slår enligt Nyström fast att inget intrång har skett.

Denna slutsats gör DN:s källa mycket förvånad. Att faran kring säkerhetsluckan skulle vara över har inte ens kommunicerats internt till journalsystemets användare. Flera stora användare av Take care inledde efter att misstankarna blev kända egna utredningar för att ta reda på om deras patienter hade drabbats. Landstingsledningen tvingade sedan dessa utredningar att lägga ner eftersom ”allt skulle hanteras av landstinget”. Likaså skulle all kommunikation hänvisas till landstinget.

– Har vi gått i ett par veckor ovetande om att det inte har varit någonting? All beredskap som vi har haft, säger källan.

Det är också oklart om det finns fler öppna dörrar som man ännu inte har hittat. Enligt de uppgifter DN har fått tillgång till sågs det som ett troligt scenario i de första analyserna.

Ledningen rekommenderades att omedelbart agera för att skydda den centrala servermiljön och stoppa all obetrodd trafik. Enligt DN:s källor har landstinget än i dag inte säkerställt att alla hål har täppts till.

Trots allvaret i misstankarna har såväl Karolinska universitetssjukhuset som Stockholms läns landsting valt att inte offentliggöra händelsen. Inspektionen för vård och omsorg (IVO), Myndigheten för samhällsskydd och beredskap (MSB) och Datainspektionen säger att de inte känner till några incidenter med misstänkta dataintrång kopplade till journalsystemet Take care.

Inte heller chefen för organisationen Centrum Samverkan Take Care, som förvaltar journalsystemet, känner till händelsen. Detsamma gäller Karolinska institutets IT-chef, liksom företaget Compugroup som tillverkar Take care.

DN har gått igenom styrelseprotokoll, minnesanteckningar från ledningsmöten och en stor mängd andra handlingar inom Stockholms läns landsting. I de offentliga registren finns inga spår av incidenten den 26 juni.

Chefsjurist Anne Rundquist har beslutat att hemlighålla delar av diarielistan ur landstingets ärende­hanteringssystem Service Desk Express där händelser om IT-incidenter ska diarieföras. Såväl diarienummer som antal sidor har sekretess­belagts med hänvisning till att informationen kan äventyra IT-säkerhet.

– Det är ett medvetet val. Man vill tysta ner händelsen. Det är helt uppåt väggarna att man väljer att hemlighålla det. Det är bättre att säga som det är. Sanningen kommer alltid fram till slut, säger en person med insyn i ärendet.

Vet du mer om it-incidenten kring journalsystemet? Hör av dig till DN - du får vara anonym. Tipsa säkert på vår sajt: dngranskar.dn.se