Gå til innhold

Har lagt lokk på datainnbruddet hos Sykehuspartner

Gjest Marius B. Jørgenrud

Av Gjest Marius B. Jørgenrud
i Diskuter artikler (Digi.no)

Anbefalte innlegg

Videoannonse

Videoannonse
Annonse
Civilix

Civilix

Skrevet
Skrevet

Det er bra de har lagt lokk på saken.

 

Så får ikke hækkerne greie på om de har fått fatt i informasjonen de ville ha.

 

....og helse sør-østs pasientkrets kan sove heeeelt trygt om natten....

 

Problemet er at ingen får informasjonen, og det er andre der ute som potensielt har tilsvarende svakheter og ikke får sjekket om de er utsatt for lignende angrepet.

 

Husk at fastlegen din gjerne har mer helsedata om deg enn sykehuset, men siden legekontoret ikke har informasjon om angrepet er de avhengig av sitt generelle sikkerhetsarbeid som mest sannsynligvis ikke er i nærheten av så bra som det er på sykehuset. Så når angriperne i neste runde ser mot legekontorer vil de potensielt kunne bruke akkurat det samme angrepet.

 

Å gi informasjon vil ikke magisk gjøre andre mål mer beskyttet, men det gir vertfall mulighet til å sette inn noen målretta tiltak.

Lenke til kommentar
Bolson

Bolson

Skrevet
Skrevet

Problemet er at ingen får informasjonen, og det er andre der ute som potensielt har tilsvarende svakheter og ikke får sjekket om de er utsatt for lignende angrepet.

 

Husk at fastlegen din gjerne har mer helsedata om deg enn sykehuset, men siden legekontoret ikke har informasjon om angrepet er de avhengig av sitt generelle sikkerhetsarbeid som mest sannsynligvis ikke er i nærheten av så bra som det er på sykehuset. Så når angriperne i neste runde ser mot legekontorer vil de potensielt kunne bruke akkurat det samme angrepet.

 

Å gi informasjon vil ikke magisk gjøre andre mål mer beskyttet, men det gir vertfall mulighet til å sette inn noen målretta tiltak.

 

Nå tror jeg han prøvde å være ironisk!

 

Ellers er det helt feil at ingen får informasjonen. NSM/NorCert som er med i denne etterforskningen vil varsle "leverandører" av andre systemer innen helsesektoren dersom det er kjente angrepsvektorer som kan brukes også i mot andre deler av "helsevesenet". Det er mengder av angrep/tvilsom aktivitet i nettet NSM/NorCert varsler direkte om - og som aldri blir nevnt i media. NSM/NorCert bruker aldri media eller egne nettsider til å informere om svakheter i denne type systemer - her er det direkte leverandørkontakt. Det er kun svakheter relatert til det brede publikum de bruker de kanalene på.

 

Ellers er det i realiteten ingen fellestrekk mellom journalsystemet på legekontoret og systemene hos Helse Sør-Øst. Det er knapt nok tilgjengelig API-er mellom de. Legekontoret har kun koblinger mot systemer som driftes av Norsk Helsenett - det er også via her eventuelle API-er går.

 

Ellers drifter neppe legekontoret sine systemer selv.

Lenke til kommentar
Civilix

Civilix

Skrevet
Skrevet

Nå tror jeg han prøvde å være ironisk!

Ellers er det helt feil at ingen får informasjonen. NSM/NorCert som er med i denne etterforskningen vil varsle "leverandører" av andre systemer innen helsesektoren dersom det er kjente angrepsvektorer som kan brukes også i mot andre deler av "helsevesenet". Det er mengder av angrep/tvilsom aktivitet i nettet NSM/NorCert varsler direkte om - og som aldri blir nevnt i media. NSM/NorCert bruker aldri media eller egne nettsider til å informere om svakheter i denne type systemer - her er det direkte leverandørkontakt. Det er kun svakheter relatert til det brede publikum de bruker de kanalene på.

 

Ellers er det i realiteten ingen fellestrekk mellom journalsystemet på legekontoret og systemene hos Helse Sør-Øst. Det er knapt nok tilgjengelig API-er mellom de. Legekontoret har kun koblinger mot systemer som driftes av Norsk Helsenett - det er også via her eventuelle API-er går.

 

Ellers drifter neppe legekontoret sine systemer selv.

 

Ironi fungerer dårlig på internett, men uansett fikk jeg sagt meningen min så jeg er fornøyd.

 

Jeg forventet ikke informasjon i media, men det er mange dokumenter som er unntatt offentlighet men detaljnivået tilsier at lokket er der for de fleste.

 

Ikke relatert til denne saken(eller er det?), når du snakker om legekontor:

Mange(de fleste?) legekontor koblet til sykehus via elektronisk meldingsutveksling(ebXML/KITH), det skal ikke all verdens kreativitet til for å hente ut informasjon fra legekontorer hvis man har kontroll over sykehusets meldings utveksler(kanskje også sykehuset har samme passord som 90% av alle helseforetak på meldingsutveksling programvaren). Da disse meldingene er krypterte er det ingen måte NHN kan sette inn ekstra beskyttelse, forutsatt at angrepet holder seg innenfor standarden. Man trenger ikke APIer når man har mennesker som stoler på systemene og sykehusene.

 

De fleste legekontor rundt omkring i landet driftes av kommunene, selv om kommunene nok har kompetente folk i it-avdelingen er det nok få kommuner som har råd til sikkerhetseksperter. At leverandørene i helsesektoren bryr seg om sikkerheten er noe jeg aldri har opplevd, med mindre om når de snakker spesifikt om sikkerhet. 

Lenke til kommentar
Kikert

Kikert

Skrevet
Skrevet

Da var våre pasient filer allemanns eie ja. En idè og ikke ha slike servere direkte koblet mot internet?

 

Litt vanskelig og hacke Huawei feks siden serverene ikke er koblet mot internet. Stoppet ikke USA og hacke de da :p

 

Skal man ha systemet (ordentlig) lukket så kreves det et ekstra sett med kabler og skal du som pasient logge deg inn og sjekke noe i systemet så må det jagguimeg gå en ekstra kabel til deg også.

 

Jeg synes godt det kunne vært mange isolerte intranett for sikkerhetens skyld, men da måtte vi ha planlagt det fra første kabel og det er for sent. Uansett så er det muligheter ved å få fysisk tilgang noe som ikke nødvendigvis er voldsomt vanskelig.

Lenke til kommentar
Pop

Pop

Skrevet
Skrevet

Da var våre pasient filer allemanns eie ja. En idè og ikke ha slike servere direkte koblet mot internet?

 

 

Servere for journalsystem, pasientadministrasjon osv er selvsagt ikke koblet direkte mot internett. Om du mener "direkte" med pingbar osv. 

Det er forholdsvis grundig segregering, men profesjonelle aktører står selvsagt ikke og hamrer på hoveddøra. De jobber seg gjennom lagene, som regel via kompromitterte maskinen på innsiden. Som igjen skaper problemer for å finne ut hva som er skjedd og hentet ut siden logger ikke viser så mye annet enn trafikken som er forventet og intern.

Lenke til kommentar
DirekteDemokrati

DirekteDemokrati

Skrevet
Skrevet (endret)

 

Da var våre pasient filer allemanns eie ja. En idè og ikke ha slike servere direkte koblet mot internet?

 

Litt vanskelig og hacke Huawei feks siden serverene ikke er koblet mot internet. Stoppet ikke USA og hacke de da :p

 

Skal man ha systemet (ordentlig) lukket så kreves det et ekstra sett med kabler og skal du som pasient logge deg inn og sjekke noe i systemet så må det jagguimeg gå en ekstra kabel til deg også.

 

Jeg synes godt det kunne vært mange isolerte intranett for sikkerhetens skyld, men da måtte vi ha planlagt det fra første kabel og det er for sent. Uansett så er det muligheter ved å få fysisk tilgang noe som ikke nødvendigvis er voldsomt vanskelig.

 

Fysisk tilgang er så klart mulig, men blir litt vanskeligere og gjøre og mer risikabelt.

Vi kan legge kabler fortsatt og lage isolerte systemer. Eneste måte og beskytte seg mot hackerene til han feite Nord Koreanern.

Du har ikke behov for tilgang til pasient filer på internet, unødvendig sikkerhets risiko.

 

Systemene må være isolerte, det vil si at 1 maskin kan ikke ha tilgang til både intranet og internet i hele kjeden.

 

Er selvfølgelig ikke perfekt, men ingenting er :)

 

Fastlegen min bruker vel stort sett altinn, men er han krypert? Det vet jeg ikke

Endret av DirekteDemokrati
Lenke til kommentar
Bolson

Bolson

Skrevet
Skrevet

Ironi fungerer dårlig på internett, men uansett fikk jeg sagt meningen min så jeg er fornøyd.

 

Jeg forventet ikke informasjon i media, men det er mange dokumenter som er unntatt offentlighet men detaljnivået tilsier at lokket er der for de fleste.

 

Ikke relatert til denne saken(eller er det?), når du snakker om legekontor:

Mange(de fleste?) legekontor koblet til sykehus via elektronisk meldingsutveksling(ebXML/KITH), det skal ikke all verdens kreativitet til for å hente ut informasjon fra legekontorer hvis man har kontroll over sykehusets meldings utveksler(kanskje også sykehuset har samme passord som 90% av alle helseforetak på meldingsutveksling programvaren). Da disse meldingene er krypterte er det ingen måte NHN kan sette inn ekstra beskyttelse, forutsatt at angrepet holder seg innenfor standarden. Man trenger ikke APIer når man har mennesker som stoler på systemene og sykehusene.

 

De fleste legekontor rundt omkring i landet driftes av kommunene, selv om kommunene nok har kompetente folk i it-avdelingen er det nok få kommuner som har råd til sikkerhetseksperter. At leverandørene i helsesektoren bryr seg om sikkerheten er noe jeg aldri har opplevd, med mindre om når de snakker spesifikt om sikkerhet. 

 

At dokumenter er unntatt offentlighet er ikke det samme som at ikke informasjonen er f.eks tilgjengelig for leverandører etc.

 

Det er helt korrekt at mange legekontorer er kommunale, - men det er faktisk ikke de fleste. Tror nok det er flere "private" legekontorer totalt sett. Det er også sjelden kommunene selv som drifter IKT på legekontorene, de har i stor grad satt dette bort til leverandører eller det gjøres av interkommunale selskaper.

 

ebXML/KITH er ingen kobling mot sykehus. Det er et rammeverk for meldingsutveksling. Selve meldingen går over NHN sin infrastruktur - dvs legekontorert er koblet opp mot NHN - og det samme gjelder sykehuset. Ingen direkte så vidt jeg vet. Og klart, har man tilgang til rett server på et sykehus vil man kunne hente ut innkommende meldinger og sende feil meldinger ut. Men NHN kan så vidt jeg vet stenge meldingsutvekslingen på enhetsnivå om ønskelig.

  • Liker 1
Lenke til kommentar
1J7HHBGW

1J7HHBGW

Skrevet
Skrevet

Ironi ja - tyvene vet nok hva de har fått tak i.

 

Jeg tror nok det å legge lokk på informasjonen handler mer om beskytte seg selv enn publikum eller sikkerheten. Innbrudd som en konsekvens av outsourcing? Det spørs om de bolter fast stolene og limer seg selv til stolene.

 

Forøvrig har disse helseregistrene tatt oss vekk fra "doctor patient" privilegiene og det er etter mitt syn helligbrøde. Å beskytte kommunikasjonen mellom advokat/klient og lege/pasient er basale rettigheter.

 

Når så det offentlige som har tiltatt seg rettigheter til slik informasjon ikke greier å sikre den, da er det virkelig en skandale.

  • Liker 1
Lenke til kommentar
Bolson

Bolson

Skrevet
Skrevet

Systemene må være isolerte, det vil si at 1 maskin kan ikke ha tilgang til både intranet og internet i hele kjeden.

 

Er selvfølgelig ikke perfekt, men ingenting er :)

 

Fastlegen min bruker vel stort sett altinn, men er han krypert? Det vet jeg ikke

 

Nå bruker sikkert legen din AltInn - men ikke til særlig mye pasientretta aktiviteteter. Og alt som gjøres på AltInn er kryptert. Også fastlegen din har et journalsystem - det er han faktisk pålagt å ha. Og jeg kjenner ingen i dag som ikke bruker databaserte system.

 

Isolerte systemer slik du vil ha er en umulighet i dag.

 

@1J7HHBGW:

Det er ikke noen forskjell på pasient/lege konfidensialiteten i dag og for 50 år siden. Det er heller ikke store forskjellen på pasientjournaler - de inneholder stort sett samme informasjonen som de gjorde i gamle dager. Hovedforskjellen var at inn old time var de på papir og etterhvert bånd, og lagret normalt i sykehusets kjeller - i dag er de digitale. En annen forskjell var at det i papirjournalens dager knapt var kontroll på hvem som leste en journal - i helt nye systemer faktisk nitidig tilgangskontroll. Og du har faktisk rett til å få utskrift av hvem som har sett din journal. Til og med kan du be om å få den endret/slettet.

 

Det offentlige har ikke gitt seg tilgang til noe mer enn det de alltid har hatt.

Lenke til kommentar
DirekteDemokrati

DirekteDemokrati

Skrevet
Skrevet

 

Systemene må være isolerte, det vil si at 1 maskin kan ikke ha tilgang til både intranet og internet i hele kjeden.

 

Er selvfølgelig ikke perfekt, men ingenting er :)

 

Fastlegen min bruker vel stort sett altinn, men er han krypert? Det vet jeg ikke

Nå bruker sikkert legen din AltInn - men ikke til særlig mye pasientretta aktiviteteter. Og alt som gjøres på AltInn er kryptert. Også fastlegen din har et journalsystem - det er han faktisk pålagt å ha. Og jeg kjenner ingen i dag som ikke bruker databaserte system.

 

Isolerte systemer slik du vil ha er en umulighet i dag.

 

@1J7HHBGW:

Det er ikke noen forskjell på pasient/lege konfidensialiteten i dag og for 50 år siden. Det er heller ikke store forskjellen på pasientjournaler - de inneholder stort sett samme informasjonen som de gjorde i gamle dager. Hovedforskjellen var at inn old time var de på papir og etterhvert bånd, og lagret normalt i sykehusets kjeller - i dag er de digitale. En annen forskjell var at det i papirjournalens dager knapt var kontroll på hvem som leste en journal - i helt nye systemer faktisk nitidig tilgangskontroll. Og du har faktisk rett til å få utskrift av hvem som har sett din journal. Til og med kan du be om å få den endret/slettet.

 

Det offentlige har ikke gitt seg tilgang til noe mer enn det de alltid har hatt.

 

Så legen bruker en krypert linje når han kobler seg til alltinn? Slik folk gjør når de kobler seg opp på en VPN?

Regner med at altinn i seg selv er kryptert.

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste

  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...