Genom att surfa vidare godkänner du att vi använder cookies. Jag förstår

En smartare it-nyhetssajt

Säkerhetshål i vården ledde till Viagrareklam

Oönskade annonser för potensmedel på en vårdinstans hemsida avslöjade flera säkerhetshål med potentiellt allvarliga konsekvenser.

Text Miguel Guerrero Foto Adobe Stock 19 maj 2017 säkerhet

HakirOperation_960x640.jpg

– När jag var inne på vårdgivarens hemsida såg jag att det var några konstiga annonser längst ned så jag blev misstänksam och tittade närmare på sidan. Då hittade jag flera säkerhetshål. 

Under ett privat besök i vården hittade Andreas Tägtström, säkerhetsexpert på Atea, en sårbarhet i det webbaserade kvalitetssäkringsverktyget. Den bristande säkerheten hade lett till att ett troligtvis automatiserat hack infekterat wordpress-mallen för att sedan visa annonser för bland annat Viagra längs ner. Det fanns även andra säkerhetsluckor på sajten som bland annat gjorde det möjligt för en motiverad hacker att göra sökningar i databasen.

– I och med att man lagrade patientdata hade det kunnat bli mycket värre, inte minst om det varit någon känsligare vårdinstans som till exempel en gynekologmottagning. I det här fallet går det inte att utesluta att data läckt även om det troligtvis inte gjort det den här gången. Med tanke på GDPR är det viktigt att man har ett bra tänk eller köper någon tjänst för att säkra sina egna webbtjänster, i synnerhet om det finns personuppgifter som till exempel inom vården. Statliga myndigheter har ett ansvar att rapportera intrång till MSB men med GDPR finns det också en rapporteringsskyldighet till Datainspektionen, säger Andreas Tägtström.

Nu varnar han för att många organisationer brister i sitt säkerhetstänk när det gäller webbaserade tjänster.

– Ofta beror det på en okunskap i kravställandet vid beställningen. Man vet inte riktigt vad som krävs. De som sätter upp tjänsterna, till exempel externa leverantörer, är ofta duktiga på vad de gör, men ibland kanske de tar för givet att säkerhetsaspekten kommer att hanteras av it-avdelningen. Om då it-avdelningen blivit rundad av verksamheten och inte vet vad som händer faller säkerheten mellan stolarna.

Digitala måltavlor

Det är inte bara webbtjänster som är utsatta. Som exempel tar Andreas Tägtström digitala informationstavlor som till exempel kommuner placerar ut för att informera förbipasserande.

Hakir_960x640.jpg

En exponerad ip-adress kan leda till att hackare kan skicka ut egna budskap.

– Jag åkte förbi en skylt där IP-numret var fullt synligt vilket betyder att den skulle kunna utsättas för en attack. I det här fallet ringde jag kommunen som var ansvarig för skylten och informerade dem. De var inte alls medvetna om att det syntes och det är den typen av ovetskap som bidrar till att system inte är säkra.

Han efterfrågar bland annat ett större deltagande av it-avdelningen, men det bygger på att de får vara med under processen.

– Med it är det ofta så att det är någon som är duktig på verksamheten som börjar ta lite ansvar och sedan får mer och mer uppgifter inom området för att till slut sitta som ansvarig. Då är det svårt att känna till alla faktorer om just it-säkerhet. Därför är det viktigt att it-avdelningen får vara med redan från början.

Rekommenderad läsning

IoT_960x640.jpg

Så gör du din IoT-satsning säker

2 aug 2016 säkerhet

IoT-trenderna innebär att allt mer av vår verklighet kopplas upp mot nätet, men säkerheten hänger inte alltid med, till exempel inom medicinsk utrustning. Så här undviker du fallgroparna i din IoT-satsning.

KempMikkoLisa_960x640.jpg podcast

HPE:s David Kemp tipsar om GDPR

6 dec 2016 säkerhet

Många ser problem och utmaningar när de tänker på GDPR, men David Kemp på HPE vill lyfta fram de affärsmässiga fördelarna som också kommer med införandet. 

folk går på gatan.jpg

Branschens viktigaste frågor 2018

19 jan 2018 ledarskap

Under Atea Partnermöte på torsdagen samlades 250 av de viktigaste it-leverantörerna i Sverige för en gemensam dragning om de största frågorna 2018. Självklart är hållbarhet prio men det finns fler områden.

kaos-trafik-960640.jpg

25 maj - aj aj eller raj raj?

1 mar 2018 säkerhet

Missnöjda kunder som ställer krav och företag som kanske inte är klara i sin GDPR-struktur. Det är vad som antagligen kommer att hända den 25 maj då GDPR träder i kraft. Samtidigt är organisationen på Datainspektionen långt ifrån redo att möta anstormningen.

elon-musk-talar-pa-teslastamma.jpg

Nigeriatweets från Musk

9 feb 2018 säkerhet

En ny form av ett klassiskt svindleri, likt Nigeriamejl, sprider sig på Twitter. Bluffen är inte svår att upptäcka men med fakade tweets från bland annat Elon Musk har svindlarna redan tjänat många tusen dollar i ethereum och bitcoin på mindre än en vecka.

stort-antal-personer-passerar-torg-som-liknar-schackspel.jpg

Utpressning ökar med GDPR

22 feb 2018 säkerhet

Lösensumma för att inte sprida stulna personuppgifter kan bli cyberkriminellas nya utpressningshot. Nu blir företag som följer GDPR brottslingarnas nya offer. Det visar en ny rapport om it-säkerhet under 2017 och 2018.

två män i blåa kläder studerar ett stort kugghjul.jpg

Så lyfter GDPR affären

6 feb 2018 säkerhet

Caroline Olstedt Carlström är en av Sveriges främsta dataskyddsexperter som under tiden på Klarna snabbt insåg möjligheterna med en god datahantering. För Caroline är GDPR ytterligare en möjlighet att skapa ordning på allt.

amelia-andersdotter-internetaktivist.jpg

Gratis kurs i GDPR

17 apr 2018 säkerhet

Karlstads universitet har tagit fram ett utbildningsmaterial om de tekniska aspekterna av personlig integritet på nätet. Materialet kan användas av företag och organisationer som förbereder sig för GDPR.