Möller Insights - vecka 44

Möller Insights publiceras varje vecka och är ett sammandrag av intressanta och tänkvärda händelser i säkerhetsbranschen. Bakom dessa insights står Fredrik Möller som är vd på McAfee i Norden och Baltikum och dessa nyheter är ett axplock ur hans twitterflöde @MollerFredrik.

Veckans sammandrag handlar – kanske inte oväntat – om IT-säkerheten inom den offentliga sektorn.

Nu krävs tydliga regler för IT-säkerhet hos offentlig sektor
Jag vankar fram och tillbaka vid mitt skrivbord, det var länge sedan jag kände en sådan ilska över hur IT-säkerhet helt negligeras.

Låt mig samla mina tankar och ta det från början. Igår publicerade Dagens Nyheter en granskning av IT-säkerheten på Karolinska universitetssjukhuset. I artikeln framgår att journalsystemet som används har legat helt oskyddat från den 12 oktober 2012 fram till 26 juni 2013. Än mer oroande är att felet upptäcktes mer eller mindre av en slump. I början av juni i år uppstod en rad IT-haverier i journalsystemet Take Care, som används på Karolinska.

För att lösa problemet tillsattes en analyskommission som skulle se var problemet hade uppstått. Det visade sig att servern som hanterade Take Care var direkt exponerad mot internet via Karolinska institutet. Granskningen visade även att den centrala servermiljön saknade såväl brandväggar som loggfunktioner.

Karolinska universitetssjukhuset hanterar idag ungefär tre miljoner sjukjournaler som alltså i över åtta månader legat mer eller mindre helt oskyddade. Eftersom dugliga loggsystem inte fanns är det inte möjligt att ens få en uppfattning om hur mycket information som kan ha stulits från databaserna.

Den 17 december förra året upptäckte ett universitet i Kalifornien att deras datasystem blev attackerade och att källan kom från Västra Göralandsregionens (VGR) datorer. Samtidigt upplevde två sjukhus i VGR problem där hjärtutrustning och automatiska medicinsystem hade slagits ut. Även tillgång till internet och interna resurser stördes inom regionens IT-infrastruktur. Två dagar efter att problemen hade upptäckts började man undersöka vad de egentligen bestod i. Störningarna berodde på att datavirus infekterat stora delar av VGR och anledningen var – även här - bristande säkerhet. Exempelvis gamla versioner av antivirusprogram, ouppdaterade versioner av Windows, svaga lösenord som ”1234” och ”test”. Liksom i fallet med Karolinska så saknades även här brandväggar för en mängd kritiska system. VGR:s interna IT-konsulter hade i flera rapporter dömt ut IT-säkerheten men inget gjordes.

Båda incidenterna är upprörande - oacceptabla - men hur blir det så här?

Jag ser egentligen två problem som är huvudorsaken till bristfällig IT-säkerhet inom den offentliga sektorn.

För det första bygger offentliga upphandlingar på den inofficiella principen att den leverantör som lovar mest till minst prislapp vinner. Det finns en anledning varför vissa leverantörer har en avsevärt mycket högre prislapp och det är för att utmaningen att säkra upp större verksamheter faktiskt kostar pengar. Det andra är en lucka i tankesättet kring IT-säkerhet idag. MSB arbetar idag med att ta fram riktlinjer för IT-säkerhet – och det är bra - men väldigt lite görs för att säkerställa att dessa rekommendationer faktiskt efterlevs.

Om det var lika enkelt att säkra offentlig sektor som att publicera några dokument på internet så hade så klart problemet varit löst sedan länge...

Den offentliga sektorn ställer sig direkt i en försvarsställning och börjar prata om knappa resurser. Men samtidigt kan man lyfta fram landstingsregioner som Örebro, Halland och Dalarna som positiva exempel. Här arbetar man proaktivt för att höja medvetenheten hos anställda och samtidigt investerar man i säkrare lösningar.

Jag menar att verksamheter som handskas med patientjournaler – ja, vilken typ som helst av känslig individinformation - måste agera utifrån tydliga krav på IT-säkerhet. Följden av att dessa krav inte efterlevs ska vara att företaget i fråga inte längre får bedriva sin verksamhet. Det kan låta hårt, men det är den verklighet som de flesta privata aktörer idag lever efter. Ett sjukhus ansvarar både för människors fysiska och digitala säkerhet – och båda aspekterna är för viktiga för att de ska vara okej att kompromissa med. Förhoppningsvis bidrar de senaste dagarnas avslöjanden till att den här frågan stannar i ljuset. Det gör i alla fall mig tryggare.

Fredrik Möller är vd på McAfee i Norden och Baltikum. För mer nyheter följ Fredrik på twitter:@MollerFredrik