Datasäkerhet – ett akut, allvarligt och snabbt växande problem
I höst har ett flertal incidenter gällande databrott inom vården blivit kända. Düsseldorfs universitetssjukhus i Tyskland, en sjukhuskedja i USA med 250 sjukhus (UHS) och nu senast Vastaamo psychotherapy center i Finland, där tusentals psykiatriska journaler lades ut på ”Darknet” för att kliniken inte betalade till utpressarna.
Brotten och stoppen har lett till stora konsekvenser: dödsfall, lidande och personliga katastrofer när känsliga uppgifter, avlämnade i förtroende till en psykoterapeut, lades ut till allmän beskådan. Utöver de kända finns ett stort mörkertal där sjukhus bara betalat ut och sedan mörklagt hela händelsen.
När ett företag drabbas av utpressningsattacker (ransomware) så försöker man med alla medel undvika att betala. Alla inser ju att den organiserade databrottsligheten inte kommer att minska om det blir känt att man betalar.
Företag är villiga att ta större förluster än det kostar att bara betala. Men när ett sjukhus drabbas är det fråga om människoliv, eller som i Finland förödande konsekvenser för enskilda patienter. Så sjukhusen betalar ofta, vilket givetvis cybermaffian vet. Sjukvården är numera därför ett primärt mål för organiserade cyberkriminella organisationer.
Något som vi på vårt företag, Sectra, märker i och med att vi är både ett cybersäkerhetsföretag och ett medtechbolag. Efterfrågan på våra säkerhetsprodukter och säkerhetstjänster från vården har ökat kraftigt. Men tyvärr är förståelsen för riskerna generellt mycket låg bland personal som jobbar i vården.
För något år sedan hörde jag om en region som förbjudit alla CD- och DVD-läsare efter man fått in ett virus/trojan den vägen, men låtit USB-kontakter vara öppna… En USB-ingång är dramatiskt mycket farligare än en DVD-läsare.
Man skall vara på det klara med att något 100-procentigt skydd inte finns för dataintrång eller databrott. Det går helt enkelt inte att vara helt säker.
För ett antal år sedan drabbades Irans kärnvapenprogram av en förödande attack, Stuxnet, trots att ingen dator var kopplad till internet. Attacken gjordes via USB-minnen och den infekterade datorn kopierade helt enkelt Stuxnetprogrammet till alla andra USB-minnen som sattes in i maskinen. På det sättet hoppade Stuxnet via tiotusentals ”smittbärare” till det till slut nådde målet, styrdatorer för de centrifuger som renade uranet.
Stuxnet ändrade varvtalet på centrifuger så att anrikningen av uranet inte blev tillräckligt stor, men ingen märkte det. Alla andra datorer var bara ”smittspridare”. Ingen vet vem som tillverkade Stuxnet, men USA och/eller Israel misstänks. Attacken beräknas ha fördröjt Irans kärnvapenprogram ett eller flera år.
Detta illustrerar lite vilka hot som finns. Men de flesta lyckade attacker idag är inte sofistikerade på den här nivån. De flesta attacker, som till exempel Wannacry som drabbade England för några år sedan, kommer in via naiva användare som klickar på ett mail eller en länk som inte är okej, ofta via ett mailmeddelande som ser helt ofarligt ut. Alternativt genom att någon lämnar ingångar helt öppna, till exempel naivt konfigurerade VPN. Speciellt i dessa tider med mycket hemarbete är detta ett ökande problem.
Den senaste skandalen utanför vården var mot det svenska säkerhetsföretaget Gunnebo där man lämnat en port öppen mot hela internet med lösenordet ”Password01”. I ett säkerhetsföretag…
Konsekvenserna var förödande även där, väldigt många beskrivningar och ritningar över kassavalv, lås med mera ligger nu på Darknet. Vi måste också inse att många intrång sker genom tillfälligt inkopplade system och att vi som leverantörer innebär minst lika stor risk som vårdens egna anställda. Det är vårt ansvar att vi inte gör en redan svår situation i vården ännu värre genom dåliga system och rutiner hos oss själva.
Hur undviker man då detta? Svaret är som sagt att det inte går, men man kan kraftigt minska sannolikheten för att någon lyckas samt minimera konsekvenserna för om någon i alla fall tar sig in.
Den enklaste, och som man tycker fullständigt självklara, primära åtgärden för att minska sannolikheten att något händer är utbildning. Bred utbildning av all personal som sysslar med datorer, vilket idag innebär i stort sett alla. Man har som alltid situationen att man ofta når 80 procent av nyttan med 20 procent av kostnaden av vad det skulle kosta att komma till 100 procent. Sådana utbildningar kan göras helt som självstudier över nätet och en timme ger mycket som en början. Ändå, och det får mig att förundras, verkar detta inte genomföras särskilt ofta, i alla fall inte än.
Sedan kommer nästa steg, och där berörs vi i medtechbranschen mer, och det är att man måste inse att skurkarna kommer att ta sig in. Oavsett vad man gör. Man kan öka svårigheten, men inte förhindra det helt. Då kommer nästa steg, man måste bygga ett försvar i flera nivåer.
Vi själva hyrde in ett hackerföretag och satte dem innanför vår egen brandvägg, utan att berätta för någon att de satt där. Uppdraget var att de därifrån skulle komma åt uppgifter av känslig natur. Det lyckades inte i det fallet, men det beror på vårt ”lökförsvar”.
En bra säkerhetsstruktur byggs just som en lök, med lager på lager av skydd kombinerat med intrångsdetektion i varje lager. Tanken är att man skall upptäcka ett intrång innan skurkarna når de innersta nivåerna och därmed kunna stoppa dem.
Arkivering och lagring bör ske i flera, gärna helt olika miljöer. Så även om skurkarna lyckas kryptera och förstöra ett filsystem, kommer de inte åt det andra som är byggt på ett helt annat sätt. Det senare förhindrar inte datastöld, men det försvårar kraftigt ransomware.
Men extremt få av vårdens datorsystem eller sjukhus är byggda på det sättet. Det är dock dags att börja inse det faktiska läget. Vi och våra kunder inom vården är eftertraktade måltavlor (prime targets) i denna nya och obehagliga värld och vi måste alla agera proaktivt för att i görligaste mån minimera riskerna. Eller för att citera Benjamin Franklin; ”By failing to prepare, you are preparing to fail”.
Artikeln är en del av vårt tema om Opinion.