I Sverige har både offentlig och privat verksamhet drabbats av så kallade ransomware-angrepp det senaste året. Ett sådant angrepp just nu skulle slå hårt mot den svenska sjukvården, som är pressad med anledning av coronaspridningen, skriver Myndigheten för samhällsskydd och beredskap (MSB) i en rapport från i somras.
Ransomware-angrepp innebär att hackare gör intrång och kapar hela eller delar av en verksamhets it-system. Informationen i systemet krypteras, omöjlig att komma åt för medarbetarna. Därefter hotar gärningspersonerna med att publicera den känsliga informationen om inte en lösesumma betalas ut.
Utpressningsprogram skulle troligtvis slå hårdare mot vården än andra sektorer, säger Peter Jonegård, enhetschef vid Cert-se, som stöttar samhället i att hantera och förebygga it-incidenter.
Vården har tidigare visat att den klarar av att hantera när journalsystem slutar fungera genom att aktivera så kallade kontinuitetsplaner. Då måste hanteringen ske mer via papper och telefon, och det blir också väldigt omständligt för personalen. Om en attack skulle ske nu under coronapandemin drabbas en redan hårt ansträngd verksamhet.
– Allting blir lite krångligare när man inte har det vanliga it-stödet. Och personal har de ju inte hur mycket som helst av, säger Peter Jonegård.
Nya attacker i USA
Nyligen har amerikanska myndigheter, bland andra FBI, varnat sjukvårdssektorn i USA för ökat hot från ransomware-aktörer. Därför inledde CERT-SE, som är en funktion inom MSB, en informationskampanj i juni, riktad mot vårdgivare, tekniker, och beslutsfattare i landets regioner. Det handlar enligt Peter Jonegård om att vidta försiktighetsåtgärder för att skydda regionernas nätverk.
– Det vi gör nu är att vi skickar ut mer riktad information till sjukhusen och regionerna som är anpassad för det här hotet. Vi analyserar ransomware-kampanjernas verktyg och informerar om hur man kan skydda sig och även upptäcka eventuella intrång, säger Jonegård.
Sedan ett år tillbaka har utpressningsförsöken ändrat karaktär. Tidigare tog gärningspersonerna över en dator när exempelvis en anställd klickade på en länk i ett mejl. Datorns filer krypterades sedan, vilket ofta var synligt för användaren.
På senare tid försöker brottslingarna hitta ett sätt att göra intrång – det kan vara via en sårbarhet i en server eller som tidigare via mejl – för att öppna en bakdörr på datorn så att de kan ta sig tillbaka in i it-miljön. Man krypterar inte filerna på en gång utan ser till att göra sig till administratör över systemet för att till exempel kunna radera säkerhetskopior först. Sedan försöker man via lokala nätverk sprida krypteringen.
– Man etablerar sig i nätverket innan man slår till, säger Peter Jonegård.
FRA och Säpo
Det är detta som sjukvården enligt MSB måste förbereda sig på, till exempel genom att vidta tekniska åtgärder. Tillsammans med polis, säkerhetspolis och Försvarets radioanstalt har MSB tidigare tagit fram rekommendationer för hur motståndskraften mot attacker kan öka inom hälso- och sjukvården.
It-säkerheten inom vårdsektorn är varken sämre eller bättre än inom någon annan sektor, enligt Peter Jonegård. Eftersom det finns så många olika vårdgivare med underleverantörer är den högst varierande.
– Det finns de som har stora team som jobbar med det här, som är en jättebra kontaktyta för oss. Sedan finns det dem som inte har resurser för det här, kanske mindre organisationer. Som i de flesta andra verksamheter är det funktionalitet eller tillgänglighet som går först, och det är svårt att räkna hem it-säkerhet förrän det har hänt någonting.