Fler sjukhus runt om i världen har det senaste året utsatts för så kallade ransomware-attacker – ett digitalt utpressningsprogram som bland annat tar viktiga filer som gisslan via kryptering. En cyberattack mot Irlands sjukvårdssystem i maj paralyserade delar av landets vård i flera dagar, enligt New York Times. Attacken gjorde att sjukvården i landet förlorade åtkomsten till patientjournaler, försenade covid-tester och tvingade fram avbokningar av patientmöten.
I Düsseldorf miste en kvinna livet i september då hon inte fick vård tillräckligt snabbt, eftersom universitetssjukhuset i staden just då utsattes för en cyberattack.
Just under pandemin har attackerna mot den pressade sjukvården ökat kraftigt. Enligt en rapport från IT-säkerhetsföretaget Check Point ökade cyberattacker mot sjukvården med 45 procent globalt mellan november och januari. I Sverige är siffran 32 procent. Förra veckan anmälde Folkhälsomyndigheten ett försök till dataintrång mot Sminet, en databas som används för att lagra anmälningar om smittsamma sjukdomar. FHM har informerat att databasen åter är igång och att de gjort justeringar för att öka säkerheten.
Skickade varning
Myndigheten för samhällsskydd och beredskap, MSB, varnade redan förra året för cyberattacker mot svensk sjukvård efter larm från bland annat FBI om ökade aktiviteter utomlands. MSB skickade tillsammans med andra myndigheter ut rekommendationer till hälso- och sjukvården om hur de kunde öka motståndskraften mot ransomware. Peter Jonegård på MSB:s enhet för operativ cybersäkerhet skriver till Dagens ETC att de startade sitt särskilda stöd till vården av främst två anledningar:
”1. Sjukvården, liksom alla it-stödda organisationer, riskerar att drabbas av en ransomware-attack. 2. Även fast sjukvården tidigare har hanterat bortfall av it-stöd (de har fungerande kontinuitetshantering) så är det personalintensivt och skulle ytterligare förvärra bemanningsläget.”
Angripare utpressar inte längre bara med sabotage genom krypterade filer, utan även med hot om att publicera information som angriparen kopierat ut, enligt Peter Jonegård.
Utvecklar reservrutiner
Mot sjukvården i Region Skåne sker det angrepp mot systemen mer eller mindre hela tiden, men det hanterar det tekniska skyddet, enligt informationssäkerhetschefen Mats Persson. Ett exempel är att det skickas många skadliga mail som systemet sorterar och rensar ut.
Mats Persson menar att regionen är väl förberedd.
– Det är jättesvårt att säga vad som blir effekten av ett cyberangrepp eftersom de kan se så olika ut. Vid olika störningar måste vi förbereda oss för olika lösningar. På så sätt finns rutiner så att vi ska kunna fortsätta bedriva verksamheten. Inget system är hundra procent säkert och därför måste vi vara beredda på att något kan hända
Mats Persson vill inte gå in på detaljer kring vilka lösningar regionen har för olika typer av störningar, men MSB har tidigare uppgett att den svenska vården visat att den bland annat klarar att journalsystem slutar fungera. Då har hanteringen skett via papper och telefon, men det har gjort personalens arbete mer omständligt.
Sverige ligger efter
Centrum för cyberförsvar och informationssäkerhet (CDIS), ett samarbete mellan KTH och Försvarsmakten, inleddes efter att regering och riksdag beslutat att cyberförsvaret ska stärkas. Pontus Johnson, som är KTH:s ansvarige för CDIS, menar att svensk sjukvård är dåligt rustad för cyberangrepp.
– De flesta organisationer är dåligt rustade mot cyberangrepp. Det finns några som tidigt varit tvungna att engagera sig och är därför bättre rustade, som banksektorn. Sjukvården har tidigare varit mindre intressant för angripare. Därför har man inte lagt lika mycket krut på det. De tar hand om människors liv varje dag, så det är lätt att säga att man främst ska fokusera på att bygga nya operationssalar istället för it-system, säger han.
Sverige har legat efter när det kommer till cybersäkerhet, enligt Pontus Johnson. National Cyber Security Index visar att Sverige just nu ligger på plats 43 i världen.
– Sverige har varit väldigt snabba på digitalisering. Men vi har inte tagit cybersäkerhet på lika stort allvar som andra länder. Nu tror jag att det börjar vända, säger Pontus Johnson.
Vad är det som behöver göras?
– Kortsiktigt brukar man prata om cyberhygien. Det handlar om att man inte ska ha dåliga lösenord, att uppdatera sina it-system. Saker som är lätta att göra, men som många ändå inte gör. De svåra och långsiktiga är att utveckla bättre verktyg att stödja tillverkningen av säkrare it-system, säger han.
Stora cyberattacker
Irländska sjukvården
Ett cyberangrepp störde stora delar av den irländska sjukvårdssytemet i mer än en vecka. Hackergruppen Conti krävde en lösensumma på 20 miljoner dollar, som den irländska regeringen vägrade att betala. Angriparna valde efter en vecka att lämna ut en mjukvara för att återställa systemen gratis, men fortsatte att hota med att sälja information och data som de kommit över. Förra veckan läckte 520 patienters medicinska information ut.
Colonial Pipeline Company
En stor amerikansk oljepipeline hölls gisslan i utbyte mot lösensumma i maj. En ransomeware-attack från vad som tros vara en kriminell hackergrupp i östra Europa stoppade användandet av pipelinen. Colonial Pipline betalade angriparna 75 bitcoins (42 miljoner kronor) i lösensumma. Cyberattacken beskrivs som den största någonsin mot ett amerikanskt energisystem.
Nya Zeeland
I flera veckor har distriktshälsokommittén i Waikato på Nya Zeeland haft störningar och problem efter ett angrepp som beskrivits som den ”troligtvis största cyberattacken” i landets historia. Förra veckan kontaktade gruppen som påstår sig vara bakom attacken flera nya zeeländska medier. Via mejl skickade de information om patienter och sjukvårdpersonal.
Finska Vastaamo
Den privata psykoterapipraktiken Vastaamo hade brister i sitt it-system som utnyttjades 2018 av hackare. Angriparna fick bland annat tillgång till anteckningar från sessioner och använde dem för att utpressa patienter. I februari i år rapporterades att Vastaamo gått i konkurs.
Düsseldorfs universitetssjukhus
I september 2020 utsattes sjukhuset för en cyberattack. Det tvingade sjukhuset att avregistrera sig från att ta emot akutvård och inkommande patienter skickades vidare till andra sjukhus. En kvinna som var i behov av akutvård skickades iväg till ett annat sjukhus tre mil bort. Det innebar att vården blev fördröjd och kvinnan dog. Fallet blev den första gången som åklagare velat pröva om cyberangriparna juridiskt sett är skyldiga till dråp.
