Vi har förtydligat hur vi behandlar personuppgifter och cookies.

Läs mer

En utskrift från Dagens Nyheter, 2019-03-22 05:41

Artikelns ursprungsadress: https://www.dn.se/debatt/it-katastrofen-hos-1177-ett-hot-mot-samhallets-digitalisering/

DN Debatt

DN Debatt. ”It-katastrofen hos 1177 ett hot mot samhällets digitalisering”

Säkerhet är en dålig besparingspunkt – det vi sett exempel på den gångna veckan var antagligen en billig affär för Medhelp och 1177 Vårdguiden, men definitivt inte en bra, skriver artikelförfattarna. Foto: Nicklas Thegerström

DN DEBATT 2/3. Visionen att Sverige ska bli bäst i världen på att använda digitaliseringens möjligheter hotas av kortsiktighet och brist på helhetssyn. Digitala katastrofer som när känsliga samtal till 1177 Vårdguiden låg oskyddade på nätet är bara ett i raden av misstag som skadar medborgarnas tillit. Det är dags att agera, så här kan vi inte fortsätta, skriver fyra it-säkerhetsexperter.

Rätta artikel

Måndagen den 18 februari hittade tidningen Computer Sweden 2,7 miljoner inspelade telefonsamtal till 1177 Vårdguiden på en öppen webbserver på internet, utan lösenordsskydd eller annan säkerhet. Samtalen hade ringts via företaget Voice Integrate Nordic AB, en underleverantör till Medicall med säte i Thailand. Medicall är en underleverantör till vårdentreprenören Medhelp som tar emot samtal via 1177.

Så ser digitaliseringen av vården ut i dag. Inför vården står vi alla nakna. Vi söker hjälp för nageltrång, influensa, depressioner, tarmcancer och alkoholberoende. Sköterskorna på 1177 får veta våra mörkaste hemligheter.

Det allvarliga i att samtalen inte skyddats från insyn kan inte nog understrykas. Händelsen mynnar även denna gång ut i skarp kritik från olika håll; politiker, jurister, säkerhetsexperter och andra. Men också i en polisanmälan mot Computer Sweden. Man väljer att skjuta på budbäraren. Vad hände? Någon satte i en sladd. Ett misstag. Som kan hända vem som helst. Ingen skada skedd. Eller? Wow. Fasiken också.

Om ansvarig vårdgivare Medhelp följt föreskrifterna och genomfört regelbundna uppföljningar av skyddet för samtalen hade situationen aldrig uppkommit. Detaljerade föreskrifter och riktlinjer från både Socialstyrelsen och Datainspektionen talar om hur arbetet med denna typ av system ska bedrivas. Verksamheten har huvudansvaret och måste därmed också ta ansvar för att granska underleverantörer, inte bara tro på att det de säger stämmer med verkligheten.

Outsourcing innebär inte ett överfört ansvar, bara ett överfört utförande. Låt oss hoppas att utkrävandet av det riktiga ansvaret hos politiker, tjänstemän och inköpare börjar på allvar när det värsta dammet har lagt sig den här gången.

Det farliga nu är om vi nöjer oss med att låta Medhelp bära hundhuvudet för det som hänt. Det är lätt att försöka hitta en skyldig, peka finger och gå vidare. Men outsourcing innebär inte ett överfört ansvar, bara ett överfört utförande. Låt oss hoppas att utkrävandet av det riktiga ansvaret hos politiker, tjänstemän och inköpare börjar på allvar när det värsta dammet har lagt sig den här gången.

Det finns krav på våra myndigheter att bedriva ett systematiskt informationssäkerhetsarbete och åtgärder som skyddar information och it-system från obehörig åtkomst, användning, röjande, avbrott, modifiering, granskning, avspelning eller förstöring. Väljer man att låta någon annan ta hand om den digitala miljön, måste samma krav ställas på leverantören. Och följas upp!

I det aktuella fallet konstaterar vi att om personal på eget bevåg kan koppla enheter med känslig information direkt till internet utan skyddsåtgärder, utan att någon vet hur, när, eller varför, då har verksamheten problem med både processer och beslut. Leverantören verkar sakna varje form av strukturerad förändringshantering, en basal del av it-säkerhetsarbetet.

Att utveckla samhällets informationssäkerhet handlar inte bara om att hantera incidenter utan framför allt om att lära sig av de incidenter som inträffat. Därför är det av största vikt att det görs en oberoende utredning av det som hänt, hur det kunde hända och hur man undviker att det händer igen. Låt oss säga detta snällt, det är direkt olämpligt att en, i det här fallet uppenbart tekniskt inkompetent, leverantör ska utreda sitt eget haveri. Det finns en överhängande risk att leverantören av oaktsamhet förstör viktiga forensiska bevis.

Gång efter annan drabbas samhället av informationsläckage, allvarliga störningar och avbrott i både offentlig förvaltnings och andra frekvent använda tjänster på grund av haverier hos leverantörer av it-drift, infrastruktur och applikationer. Vi har anledning att bli upprörda över att information kommer på avvägar, att system inte fungerar och att myndigheter inte förmår ställa och följa upp relevanta krav. Hade det rört sig om fysiska incidenter hade Statens haverikommission för länge sedan varit inkopplad.

Tillit är i dag en av de mest betydande komponenterna i vår digitala värld. När tekniken knyter samman alltmer av våra liv i en allt högre takt, är det hur leverantörer hanterar tilliten som styr framgången med digitala interaktioner.

Det mesta vi gör i dag ansluts till internet. Vi använder nätet för allting – hälso- och sjukvården är inget undantag. Du kan vara väldigt duktig på att svara i telefon, men om du ska spela in samtal med känslig information och spara dem digitalt måste du också vara duktig på hur modern teknik fungerar för att kunna skydda informationen. Om du inte vet, lyssna på de experter som finns och använd de standarder, råd och rekommendationer som tagits fram för att stödja dig i arbetet.

En uppskattning från 2017 visar att 85 procent av en verksamhets tillgångar är digitala , så det borde inte vara någon överraskning att användarnas inställning och välvilja är direkt länkad till hur informationssäkerheten hanteras i verksamheten. Om vi har känslig information som ska transporteras via internet måste vi veta hur den skyddas på bästa sätt. Tänker vi inte göra det själva måste vi ställa krav på att de leverantörer vi väljer har förmåga att använda de tekniska standarder och metoder som finns när det gäller tillgänglighet, informationsskydd och ett systematiskt informationssäkerhetsarbete. Och följa upp.

Det finns mycket att säga om det som hänt. Oavsett var det juridiska ansvaret ligger har våra politiker och myndigheter ansvaret för att ställa relevanta krav, välja leverantörer som har grundläggande kompetens och verifiera att kraven uppfylls, genom hela kedjan.

Sverige ska bli bäst i världen på att använda digitaliseringens möjligheter. Den svenska förvaltningen ska bli enklare, öppnare och effektivare genom en ökad digitalisering. Styrningen har dock varit kortsiktig och präglad av brist på helhetssyn. Då blir det inte bättre än så här.

Det digitaliserade samhället måste gå från incidentdrivet till proaktivt. Säkerhet är en dålig besparingspunkt – det vi sett exempel på den gångna veckan var antagligen en billig affär för Medhelp och 1177 Vårdguiden, men definitivt inte en bra. Den var inte heller billig för politikerna eftersom tilliten till samhällets digitalisering skadas, och den var absolut inte billig för slutanvändarna – som inte har något annat val än att lita på att det blir bra.

Vårdens lex Maria ger en skyldighet att rapportera, följa upp och systematiskt lära sig av brister. Den har följts av lex Sarah efter vårdskandalen på 90-talet. Nu gör vi samma misstag igen. Det är dags att agera, så här kan vi inte fortsätta. Inte om vi ska bli bäst i världen.