Säkerhetshål i vården ledde till Viagrareklam

– När jag var inne på vårdgivarens hemsida såg jag att det var några konstiga annonser längst ned så jag blev misstänksam och tittade närmare på sidan. Då hittade jag flera säkerhetshål. 

Under ett privat besök i vården hittade Andreas Tägtström, säkerhetsexpert på Atea, en sårbarhet i det webbaserade kvalitetssäkringsverktyget. Den bristande säkerheten hade lett till att ett troligtvis automatiserat hack infekterat wordpress-mallen för att sedan visa annonser för bland annat Viagra längs ner. Det fanns även andra säkerhetsluckor på sajten som bland annat gjorde det möjligt för en motiverad hacker att göra sökningar i databasen.

– I och med att man lagrade patientdata hade det kunnat bli mycket värre, inte minst om det varit någon känsligare vårdinstans som till exempel en gynekologmottagning. I det här fallet går det inte att utesluta att data läckt även om det troligtvis inte gjort det den här gången. Med tanke på GDPR är det viktigt att man har ett bra tänk eller köper någon tjänst för att säkra sina egna webbtjänster, i synnerhet om det finns personuppgifter som till exempel inom vården. Statliga myndigheter har ett ansvar att rapportera intrång till MSB men med GDPR finns det också en rapporteringsskyldighet till Datainspektionen, säger Andreas Tägtström.

Nu varnar han för att många organisationer brister i sitt säkerhetstänk när det gäller webbaserade tjänster.

– Ofta beror det på en okunskap i kravställandet vid beställningen. Man vet inte riktigt vad som krävs. De som sätter upp tjänsterna, till exempel externa leverantörer, är ofta duktiga på vad de gör, men ibland kanske de tar för givet att säkerhetsaspekten kommer att hanteras av it-avdelningen. Om då it-avdelningen blivit rundad av verksamheten och inte vet vad som händer faller säkerheten mellan stolarna.

Digitala måltavlor

Det är inte bara webbtjänster som är utsatta. Som exempel tar Andreas Tägtström digitala informationstavlor som till exempel kommuner placerar ut för att informera förbipasserande.

– Jag åkte förbi en skylt där IP-numret var fullt synligt vilket betyder att den skulle kunna utsättas för en attack. I det här fallet ringde jag kommunen som var ansvarig för skylten och informerade dem. De var inte alls medvetna om att det syntes och det är den typen av ovetskap som bidrar till att system inte är säkra.

Han efterfrågar bland annat ett större deltagande av it-avdelningen, men det bygger på att de får vara med under processen.

– Med it är det ofta så att det är någon som är duktig på verksamheten som börjar ta lite ansvar och sedan får mer och mer uppgifter inom området för att till slut sitta som ansvarig. Då är det svårt att känna till alla faktorer om just it-säkerhet. Därför är det viktigt att it-avdelningen får vara med redan från början.