Pasientdata forsvant rett i toalettet
Pasientdata fra et av landets større sykehus skal ha lekket til uvedkommende – på en måte som ikke har vært ansett for en sikkerhetsrisiko tidligere, nemlig gjennom hacking av toalettene.
Hvor store lekkasjer det har vært snakk om, har ikke NemiTek fått bekreftet, men saken er godt kjent hos IT-sikkerhetseksperter NemiTek har snakket med.
En av dem er direktør for sikkerhet hos HRP, Carl-Axel Hagen. Han har bred erfaring fra samfunns-sikkerhet, og opplever at både folk flest og samfunnet generelt tar alt for lett på datasikkerhet.
Hacking
- Hacking er en del av de daglige truslene man utsetter seg for når man har tilgang til internett. De som ønsker seg tilgang til elektronisk informasjon, har hele tiden software på «jobb» for å forsøke å nå fram til dem, sier Hagen.
Han sier han selv ikke kjenner detaljene i denne saken, men forteller at han er informert om den.
- Siden jeg ikke har konkret informasjon, kan jeg ikke kommentere dette spesielle tilfellet, og ofte er de vurderinger vi gjør som sikkerhetsfolk, hemmelig av gode grunner. Likevel kan jeg på generelt grunnlag si at vi opplever et stadig sterkere trykk fra kriminelle som vil bruke den økende digitaliseringen til å skaffe seg informasjon de kan tjene penger på. Det er mange anleggseiere som ikke innser hvor sårbar man kan være, og som derfor ikke treffer de nødvendige sikkerhetstiltakene for å hindre det, poengterer Hagen.
- Men hacking av toaletter er kanskje ikke så lett å forutse?
- Jeg har for så vidt forståelse for det. Men om vi skal se generelt på dette, er det vel slik at dersom en installasjon kommuniserer med nettet – eller for den saks skyld styres av en elektronisk chip – så kan det hackes. Det bør man tenke på, sier sikkerhetseksperten.
Ukjent for sykehuset
NemiTek har vært i kontakt med det aktuelle sykehuset. Kommunikasjonsavdelingen ved sykehuset melder tilbake at dette er en ukjent problemstilling for dem.
Advokat: Neppe rørleggerens ansvar
- Jeg opplever at hacking av toaletter eller andre installasjoner som rørleggere har ansvaret for å montere, er en ganske fremmed problemstilling. Og umiddelbart vil jeg også si at det ikke kan være rørleggernes ansvar. Det ansvaret bør ligge på byggherre og/eller leverandør.
Advokat Trond Martinussen i Rørentreprenørene Norge stiller seg litt uforstående til nyheten om at pasientdata kan ha vært lekket etter at noen har hacket et av landets største sykehus. Men han sier at dette kan være et varsko, og at man avgjort bør se nærmere på sårbarheten i fremtidige installasjoner.
- Så nå må rørleggerne bli eksperter på datasikkerhet også?
- Nei, det mener jeg avgjort ikke. Jeg kan rent umiddelbart ikke se at rørleggeren skulle kunne gjøres ansvarlig for datasikkerheten. Det må være et ansvar som ligger hos anleggseieren og/eller leverandøren. Datasikkerhet vil etter mitt syn være et ansvar som påligger den som eier bygget/anlegget, og således har ansvaret for den daglige driften av alle sider ved databruk i en bygning eller for den saks skyld i en etat.
Datakriminalitet
- Hva er din kommentar til at datakriminaliteten nå også synes å ha rammet deler av rørbransjen?
- Jeg vil som sagt ikke si at den har gjort det. Men når det er sagt, er det viktig at vi som samfunn er oppmerksomme på hvilke farer som lurer, og ikke minst hvilke konsekvenser det kan ha å ikke være oppdatert på hvilke utfordringer man kan komme til å stå overfor på dette feltet i fremtiden. Jeg har personlig aldri hørt om et slikt tilfelle, men det betyr jo ikke at det ikke kan ha skjedd flere ganger. Og når noen først begynner med sånt, er det viktig at vi som bransje er tydelige på hvor vi mener risiko og ansvar skal plasseres i slike tilfeller.
-Er det noe du mener rørleggerne bør foreta seg på bakgrunn av det som nå er skjedd?
-Jeg tror ikke det. Det gjelder – som ellers – at man må lese kontraktene godt før inngåelse, og her er det kanskje enda ett område man skal være obs på. Men dette handler jo i grunnen mer om datasikkerhet og sikkerhet i IKT-systemer enn det handler om rørfaget, så jeg tror den jevne rørlegger skal ta saken med stor ro.
