Sjukvård har under senare år ofta angripits av ransomware. Vilka effekter har detta fått för drabbade aktörer? Och finns det några återkommande förklaringsfaktorer – såsom bristande uppföljning, riskbeteende eller teknik? Med anledning av det nyligen införda NIS-direktivet, som berör samhällsviktiga informationssystem, har jag tittat närmare på dessa frågor.
Idag kan nästan alla drabbas av cyberattacker, så även samhällsviktiga operatörer. Sverige implementerade nyligen NIS-direktivet, med bl.a. nya säkerhetskrav för samhällsviktiga operatörer. Direktivet beskri
En av 2017 års mest omskrivna attacker, WannaCry, påverkade flera aktörer som idag inom EU täcks av NIS-direktivet. Ett känt exempel är National Health Service (NHS), Storbritanniens statliga vårdorganisation
WannaCry spreds i maj 2017 och beskrevs i efterhand som historiens största kampanj av ransomware (”utpressningsprogram”). WannaCry var en självspridande datormask som efter infektion meddelade att användarens filer var krypterade tills dess att 300 dollar i lösensumma betalades. WannaCry spreds enligt uppskattningar till över 300 000 datorer.
Händelserna hos NHS fick stor mediebevakning, där WannaCry orsakade störningar hos en tredjedel av alla engelska sjukhus under en veckas tid. Fem akutmottagningar fick även omdirigera akutpatienter under en tredagarsperiod. Inga dödsfall rapporterades, trots dessa svårigheter, men störningarna ledde till att NHS personal fick slita hårt för att parallellt säkra patientvården och åtgärda krisen. Även om ingen del av NHS ska ha betalat lösensumman orsakade WannaCry även organisationen mer än en miljard kronor i kostnader.
En anledning till att NHS drabbades var att medicinteknik hos vårdgivare ofta hade inbäddad Windows XP-mjukvara. Microsoft försåg 2017 inte längre XP med uppdateringar, som därför hade kvar en känd sårbarhet som WannaCry utnyttjade. Medicintekniska system kunde också ofta bara uppdateras av systemets leverantörer, inte av NHS personal.
Innan maj 2017 hade delar av NHS även uppvisat ett anmärkningsvärt riskbeteende. NHS nationella Computer Emergency Response Team hade nämligen redan inspekterat cybersäkerheten hos 88 vårdgivare i landet och gett samtliga betyget underkänt. NHS kunde däremot inte från centralt håll följa upp att lokala vårdgivare åtgärdade påträffade brister. Därför var det de mer cybermogna organisationerna som åtgärdade sina säkerhetsbrister. Resten såg, enligt senare WannaCry-utredningar, troligen inte bristande cybersäkerhet som en risk för patientvård – ett förhållningssätt de fick anledning att revidera då WannaCry ledde till att 139 brådskande läkarbesök för att utreda potentiell cancer fick skjutas upp.
WannaCry spreds också till Sverige där Timrå kommun drabbades den 12 maj. Senare framkom att kommunens IT-system varit sårbara på grund av att kommunens IT-leverantör skjutit upp planerade uppdateringar. Till följd av WannaCry fick kommunens hemtjänst under ett antal dagar övergå till manuella rutiner med papper och penna för att utföra patientbesök.
I juli 2017 meddelades att även Akademiska sjukhuset i Uppsala infekterats av WannaCry. Enligt Region Uppsala bedrev man dagarna efter att WannaCry upptäcktes en ”katt och råtta”-lek där masken spreds mellan datorer i sjukhusets nätverk. Till skillnad från hos NHS uppgav sjukhuset att patientvården inte påverkades, utan endast arbetsdatorer och fläktsystem.
Precis som hos NHS kunde regionens personal inte uppdatera flera medicintekniska system, vilket försvårade hanteringen. Enligt lag ska medicinteknik vara CE-märkt, vilket garanterar att den uppfyller ett antal säkerhetskrav. Utan särskilt medgivande får dock CE-märkt teknik endast hanteras av leverantörer, och Region Uppsala behövde därför kontakta leverantörer för godkännande att t.ex. säkerhetsuppdatera datorer där vissa komponenter var CE-märkta.
Redan 2015 råkade just Akademiska sjukhuset ut för ransomware. När trojanen CryptoLocker fick fäste i sjukhusets nätverk ledde det bland annat till att strålbehandlingsmaskiner inte längre kunde användas. Enligt Uppdrag Granskning kunde cancerpatienter därför inte behandlas under det dygn som driftstoppet varade.
Ett annat exempel på ransomware i sjukvården var Locky som 2016 drabbade kaliforniska Hollywood Presbyterian Medical Center. När viktiga system med patientjournaler och provresultat blev otillgängliga påverkades möjligheten att behandla patienter. Flera patienter fick föras till andra sjukhus och tidvis påverkades även akutsjukvården. Efter två veckor betalade sjukhusledningen angriparna 150 000 kronor för att återfå tillgång till systemen i vad som då var ett av de mest uppmärksammade fallen av lösenbetalning till hackers.
2018 betalade ytterligare ett amerikanskt sjukhus lösen för att återfå tillgången till sina system. Hancock Health i Indiana hade, trots tidig upptäckt, fått in SamSam ransomware i sina system. Angriparna använde stulna inloggningsuppgifter från en av sjukhusets hårdvaruleverantörer för att föra in SamSam via fjärranslutning. Efter att både mejlsystem och patientregister infekterats fick sjukhuset gå över till manuella rutiner med papper och penna.
Sedan sjukhuset betalat en lösensumma på cirka 500 000 kronor var verksamheten fyra dagar efter attacken i normal drift igen. Sjukhuschefen medgav att angriparnas affärsmodell var intressant och att priset för dekryptering inte gav sjukhuset något annat rimligt val än att betala för att snabbt kunna återupprätta verksamheten. Detta visade sig stämma då angriparna höll sin del av avtalet och återupprättade tillgången till sjukhusets system efter betalning. Till skillnad från mer opportunistiska ransomware med bred spridning, som WannaCry, är strategin hos gruppen bakom SamSam att genomföra riktade och väl förberedda attacker mot specifika mål. Efter ett framgångsrikt angrepp upprättar gruppen sedan en dialog med den attackerade organisationen och erbjuder att låsa upp samtliga infekterade datorer till ett fast pris.
Experter varnar som regel användare för att betala lösensummor till hackers, bl.a. för att betalningen kan vara verkningslös. CyberEdge uppskattade exempelvis 2018 i en rapport att endast 19 procent av ransomware-offer som betalade lösen fick sina filer tillbaka. Ännu värre är att betalningar understödjer framtida ransomware-kampanjer genom att visa potentiella antagonister att det finns pengar att tjäna på ransomware.
För att sammanfatta fanns i dessa fall flera orsaker som möjliggjorde ransomware-attacker mot vårdgivare. Bl.a. fanns, i gränslandet mellan teknik och lagstiftning, utmaningar kring att säkerhetsuppdatera vissa system. I andra fall var orsaken riskbeteende och oförmåga att följa upp att system uppdaterades och att brister åtgärdades. Förutom dessa generiska brister syntes också exempel där sjukhus var föremål för mer avancerade, riktade attacker.
Ser vi på konsekvenserna varierade dessa från påverkan i vissa system och att manuella rutiner fick införas, till att akutpatienter fick omdirigeras eller att viktiga läkarbesök fick ombokas. Oavsett konsekvenserna i de specifika fallen var händelsen oftast kostsam – oberoende av om lösensumman betalats eller inte. Ransomware i sjukvården belyser med andra ord de kostnader som NIS-direktivet varnar för om inte samhällsviktiga system säkras.
Jonas har nyligen börjat arbeta med säkerhet på Knowit Insight och har ett stort intresse för gränslandet mellan samhällssäkerhet, cybersäkerhet och säkerhetspolitik. Han kommer närmast från Totalförsvarets Forskningsinstitut (FOI) och kommer bland annat att arbeta med säkerhetsskyddslagen och informationssäkerhet.