Sverige

Spåren från attackerna leder till flera länder

Spåren från det misstänkta dataintrånget i landstingets journalsystem leder till USA, Kina, Ryssland, Tyskland och Danmark.
När säkerhetsluckan täpptes igen dokumenterades 4,5 miljoner försök att komma in i servern på nio timmar.

I går avslöjade DN att säkerhetsbrister i en server gjorde att miljontals patientjournaler i Stockholms län och på Gotland var oskyddade i åtta månader.

Enligt nya uppgifter till DN var det en brandvägg som installerats ”bak och fram”. Det fick till följd att den i stället släppte igenom all obehörig trafik rätt in till servern där journalerna förvaras. När felet rättades till den 26 juni upptäcktes mängder av obehörig trafik mot servern.

På drygt nio timmar stoppades och registrerades 4,5 miljoner försök att komma in i servern. Trafiken kom från hela världen, enligt mycket trovärdiga källor. När man såg detta slog Karolinska universitetssjukhuset larm direkt till Säpo.

– Så fort vi fick problemets natur klar för oss i början av sommaren så informerade vi Säpo eftersom vi var oroliga för stora säkerhetsbrister, säger Klas Östman, presschef vid Karolinska universitetssjukhuset.

Landstingsledningen slog i går tillbaka mot DN:s uppgifter om säkerhetsbrister och hävdade att det aldrig var någon säkerhetslucka och att en senare analys slagit fast att inga känsliga uppgifter kan ha stulits.

Det står i kontrast mot polisens uttalande. Till skillnad från landstinget säger Lars Byström, presstalesman på länskriminalpolisen, att det inte går att slå fast om någon information läckt ut – eller inte.

– Så som utredaren sa till mig så kan man i nuläget inte konstatera att det har skett något, att man har hämtat information. Det kan vi inte med säkerhet säga.

Men man kan heller inte med säkerhet säga att man inte har tagit någon information?

– Nej, det ligger ju i sakens natur, säger Lars Byström.

Landstingets biträdande förvaltningschef Anders Nyström kommenterade i går de nya uppgifterna.

– Det görs försök med jämna mellanrum att ta sig in i olika system. Det är säkert så att det här gjordes, det har jag ingen anledning att betvivla, men den analys vi har gjort av trafiken som varit inne i våra system visar att den inte har varit av skadlig natur eller orsakat någon skada, säger han.

En stund senare återkommer han med en ny kommentar.

– De analyser vi gjort visar att det inte har gjorts 4,5 miljoner försök på det sätt som ni beskriver och som vi kanske trodde från början att det kunde vara, säger han.

Förundersökningen om dataintrång leds av Mats Ljungqvist på internationella åklagarkammaren i Stockholm. Han kopplades in på fallet redan i somras men är mycket tystlåten om brottsutredningen.

– Det är locket på, säger han.

Landstingsledningens avfärdande av säkerhetsluckan förvånar DN:s uppgiftslämnare.

– Det är en ren lögn, det har hänt, säger en person med mycket god insyn i ärendet.

Enligt DN:s källor fanns det tydliga spår efter intrång. På servern med journalerna hittade teknikerna ett antal program som installerats av obehöriga. Programmen var av den typ som används för att begå dataintrång. Till exempel var verktyget Nessus installerat, vars funktion är identifiera sårbarheter i datanätverk. Teknikerna var helt säkra på att det inte var deras eget.

Utöver det hittades en ”sniffer” som används för att avlyssna datatrafik. Sniffern styrdes från en ip-adress i USA. Enligt en person med mycket god insyn i ärendet bedömdes dessa fynd vara tydliga rester från ett intrång. Säkerhetshålet var av sådan art att vem som helst med hjälp av enkla program från internet hade kunnat ta sig in.

– Vilken 12-årig ”scriptkiddie” som helst hade kunnat ta sig in i systemet där allting fanns: användarkataloger, patientdatabaser, allt var öppet, säger källan.

Även efter att den felande brandväggen reparerats observerades obehörig trafik till servern från ett antal platser i världen.

Att programmen finns där utan IT-teknikernas kännedom är ett tecken på att utomstående har varit inne på servern, enligt Anne-Marie Eklund-Löwinder, säkerhetschef på Stiftelsen för internetinfrastruktur.

– Det är vanligt att använda sig av dessa program för att lära sig mer om servern. Om de interna teknikerna inte känner till att dessa har installerats så är det rimligt att anta att de kommer utifrån av någon som vill avlyssna trafik och identifiera sårbarheter, säger hon.

DN:s källor uppger att trafiken spårades till USA, Ryssland, Kina, Tyskland och Danmark, men också till Sverige. Enligt samma uppgiftslämnare finns det inga bevis för att data har stulits men det finns en annan aspekt av intrången som gör de ansvariga mycket oroliga.

– Journalsystemet Take care saknar helt skydd för informationen på så sätt att vi aldrig kan veta om någon har ändrat i journalerna. Normala datasystem har denna funktion, men i detta fall kommer vi aldrig att med säkerhet kunna säga att ingen ändrat på informationen, säger personen.

Enligt källan loggas bara aktiviteter som sker när någon ur personalen använder själva programmet.

– Om du går in via servern, på systemnivå, och läser en journal eller ändrar i den finns det inga loggar, säger personen.

Konsulten Björn Bengtsson på Karolinska universitetssjukhusets risk- och säkerhetsavdelning upprättade efter händelsen i somras en åtgärdsplan.

Då var ”obligatoriskt byte av lösenord” den första punkten. Därefter betonades vikten av ”ändrade loggningsrutiner” och ”genomgång av trafikflöden till och från internet”.

Han ville i går inte kommentera utredningen.

Vet du mer om it-incidenten kring journalsystemet? Hör av dig till DN - du får vara anonym. Tipsa säkert på vår sajt: dngranskar.dn.se