Det största digitala hotet kommer från så kallad utpressningskod (ransomware) som, när angreppet lyckas, låser hela nätverk med allt vad det innebär för patientsäkerhet och övrig verksamhet. Den angripna organisationen uppmanas därefter att köpa lösenord till de egna systemen och betala bedragarna en ansenlig lösensumma med kryptovaluta. Användandet av utpressningskod handlar mycket sällan om rent sabotage utan metoden är fokuserad på snabba pengar.
– För två år sedan var lösensummorna på 50 000 kronor i snitt och målen var huvudsakligen små- och medelstora företag. Idag krävs man på från två miljoner kronor och uppåt. Förövarna koncentrerar sig på myndigheter, multinationella koncerner och vårdinstitut, som sjukhus. Hotet som dessa attacker utgör kan inte underskattas. De är en nationell säkerhetsrisk såväl som en fara för människors hälsa och trygghet, menar Brett Callow, cyberhotsanalytiker på det kanadensiska företaget Emsisoft.
Bedrägerierna ökar
Tidigare har överbelastningsangrepp mot webbplatser och IT-system varit vardagsaktualiteter, med det är numera mer tyst om dem i media. Det betyder inte att de upphört.
– Nej det skulle jag nog inte säga, det är mer att rapporteringen ändrats om dessa attacker samt hur vi hanterar dem. Vi har blivit bättre på att bygga bort ”single point of failure” och det gör överbelastningsattacker svårare för de som utför dem. Vissa attacker där angripare ser att det finns pengar att tjäna fortsätter och ökar i omfattning, såsom digitala bedrägerier och ransomware, säger Jonas Lejon, säkerhetsspecialist på företaget Triop som även driver bloggen Kryptera.se.
Blomstrande marknad
Sveriges bruttonationalprodukt, BNP, uppgick till 5 021 miljarder kronor 2019. Ungefär elva procent av BNP går till vårdsektorn, vilket ger cirka 552 miljarder kronor. Det finns med andra ord en potentiellt lukrativ marknad för att angripa Sveriges vårdsektor. Vid en utpressningsattack är målet att injicera skadlig kod i ett nätverk. Vanligen sker detta via länkar i vanlig e-post, så kallad phishing. Ofta skickas den skadliga e-posten ut slumpmässigt. Men det förekommer att individer profileras i förväg och mejl skräddarsys så att mottagaren ska lockas att starta processen som resulterar i att utpressningskod aktiveras och sjukhusets it-system slutar att fungera. Metoden, som har släktskap med gammalt ohederligt spioneri, kallas spearphishing inom it-säkerhetsbranschen.
– När det gäller det skydd som nyckelpersoner har på sina digitala arbetsverktyg, till exempel mot spearphishing, så är det genomgående för svagt, säger Patrik Fältström teknikoch säkerhetschef på företaget Netnod som driver och utvecklar Internetknutpunkter i Sverige och Danmark. Han är en av landets mest erfarna internetexperter som bland annat var med då Estlands it-infrastruktur angreps av främmande makt år 2007. Fältström följer utvecklingen på området noga.
– Allt har blivit mer avancerat. Själva metoderna är ganska likartade från tidigare, men de kombineras på nya sätt, och olika typer och delar av angrepp finns idag att köpa som tjänster som tillhandahålls i molntjänster, förklarar Patrik Fältström på Netnod.
Kontinuitetsplanering viktig
Samtidigt som komplexiteten hos cyberhoten tilltar så måste samhällsviktiga funktioner som vården bedrivas med de medel som finns tillgängliga. Att gå tillbaka till penna och papper är inget alternativ, även om det i skrivande stund sannolikt skulle vara säkrare ur IT-säkerhetshänseende.
– Att vi har omfattande datorisering inom vården är ju för att det faktiskt fungerar. Men då måste man också göra en avvägning vad de nya beroendena innebär och planera för situationer när systemen fallerar, säger David Lindahl, Forskningsingenjör, avdelningen för ledningssystem vid Totalförsvarets forskningsinstitut, FOI.
Förberedande stresstest
Lindahl är även medförfattare till en studie, ”Cyberattacks in the healthcare sector during the first three months of the Covid 19 pandemic”, som visar att den pågående pandemin skapat sårbarheter som kan utnyttjas av både kriminella och statsunderstödda aktörer. Enligt FOI har Säpo markerat att främmande makt tycks dra nytta av krisen och det är rimligt att anta att säkerhetstjänster passar på att med cyberattacker testa hur staters vårdsektorer reagerar i en stressad situation, för att hitta luckor att använda i ett skarpare läge. Jonas Lejon på Triop delar Säpos och FOI:s analys.
– Vi kan förutsätta att främmande makt försöker nästla sig in i våra system och erhålla fotfäste över tiden. Och då vid en given tidpunkt kan stänga av eller försämra våra system när andra typer av attacker ska genomföras. Kartläggning av våra it-infrastrukturer får vi förmoda att olika stater sysslar med löpande, säger han.
Förebyggande åtgärder inom vårdsektorn och dess IT-avdelningar är därför väldigt viktiga.
– Det kan innebära sådana saker som att bygga nätverken defensivt, förberedda för att delas upp för att minska ’smittspridning’ och användning av olika typer av programvara som övervakar trafik och försöker detektera misstänkt aktivitet. Men även att kombinera detta med tydliga riktlinjer och policies för både hur systemen ska hanteras för att minimera angrepp och för vad man ska göra om de slutar fungera, säger David Lindahl på FOI.
Utvecklad styrning
Emma Wahlin, tillförordnad IT-direktör i Region Stockholm, framhåller betydelsen av kontinuerligt arbete med olika stärkande åtgärder.
– För närvarande pågår exempelvis arbete med att vidareutveckla styrningen av it och informationssäkerhet, stärka inköpsprocesser, tekniska förbättringsåtgärder i it-miljön och stärka analysförmågan kopplat till IT-säkerhetsrisker, säger hon.
I sin månatliga rapport Digital Defense Report skriver Microsofts säkerhetsexperter att över 70 procent av de digitala utpressningsförsöken som aktiveras manuellt sker via företagets välanvända teknik för fjärrstyrning av datorer och nätverk, Remote Desktop Protocol (RDP).
Så det är ofta hyggligt vanliga IT-verktyg som används vid angrepp utifrån och in i ett samhällsviktigt nätverk.
– En regiongemensam informationssäkerhetsutbildning är tillgänglig för samtliga medarbetare inom Region Stockholm. Specifik information ges till medarbetare i perioder, till exempel avseende bluffmejl, säger Emma Wahlin, på Region Stockholm.
Kvinna avled
David Lindahl på FOI håller förstås med om att utpressningsattacker är allvarliga, men betonar samtidigt att det finns flera andra sorters skadlig kod man bör vara vaksam mot.
– Informationsstöld och angrepp som försöker använda inköps- eller betalningssystem för att kunna överföra pengar eller köpa in varor är sådana exempel, säger han.
Det saknas inte spektakulära exempel på digitala gisslandramer inom vården utomlands. I september avled en kvinna efter att universitetssjukhuset i Düsseldorf i Tyskland lamslagits av en cyberattack med utpressningshot. Alla akutpatienter omdirigerades till ett annat sjukhus en timmes bilfärd bort. Kvinnan överlevde inte transporten. Samma månad drabbades vårdkoncernen Universal Health Services (UHS) av ett angrepp med utpressningskod som resulterade i att nätverken på 400 sjukhus i USA och Storbritannien var oåtkomliga. UHS har 40 000 anställda och behandlar 3,5 miljoner patienter årligen.
– De största incidenterna känner vi inte ens till. Det är mörkertalet som är det farligaste, inte attackerna vi upptäcker. Jag tror vi kommer att fortsatt se det vi ser i dagsläget men i större omfattning med ökade digitala bedrägerier, säger Jonas Lejon på Triop.
– Det allvarligaste problemet är det stora antalet attacker som lyckas helt eller delvis. Inte någon enstaka attack. Och att förmågan att överleva attackerna inte växer i samma takt som attackerna blir mer sofistikerade, säger Patrik Fältström på Netnod.
Brist på rapporter
Hur IT-säkerhetsläget är för den svenska vårdapparaten är i dagsläget inte offentligt känt på detaljnivå och även det är ett utfall av Covid 19:s härjningar.
– Vi har funderingar på att göra en studie av händelser i svensk vård specifikt men beslutade att göra det efter pandemin har lugnat sig eftersom de har annat att göra just nu än att svara på frågor från oss. Och att det är svårt att göra intervjuer om potentiellt känsliga ämnen utan att besöka dem och det ska ju undvikas just nu, förklarar David Lindahl på FOI.
– Region Stockholms IT-miljö utsätts liksom övriga myndigheter och företag kontinuerligt för olika typer av IT- och cybersäkerhetsrelaterade hot. Region Stockholm har inte haft störningar till följd av ransomeware-attacker under Corona-perioden, säger Emma Wahlin, tillförordnad IT-direktör i Region Stockholm.
Kritik mot MSB-rapportering
Det finns ett tvingande regelverk i Sverige som föreskriver rapportering av kritiska IT-säkerhetshändelser.
– Beroende på vilken incident och skada som inträffar rapporterar vi till Myndigheten för samhällsskydd och beredskap (MSB), Datainspektionen och Inspektionen för vård och omsorg, förklarar Region Stockholms Emma Wahlin.
Men utfallet av rapporteringen drar på sig kritik från IT-säkerhetsbranschens representanter.
– De som skulle kunna författa fler rapporter som ger förslag om förbättringar och förstärkningsåtgärder får inte de resurser de behöver för att göra detta. Inga resurser har lagts på vilka rapporter som ska skapas baserad på inrapporteringen, säger Patrik Fältström på Netnod.
– Den obligatoriska IT-incidentrapporteringen fångar till viss del upp allvarliga händelser men jag anser att den årliga rapporteringen från MSB kan göras bättre. Mer och snabbare slutsatser bör publiceras, menar Jonas Lejon på Triop.
Vill höja straffskalor
För att slutligen återgå till utpressningsattacker så skriver amerikanska FBI:s i rapporten Uniform Crime (UCR) att chansen att åka fast för den typen av IT-kriminalitet mindre än en procent. Det är jämföra med 46 procent för våldsbrott. Från bland annat Storbritannien har röster höjts för att markant öka straffskalorna för IT-brott riktade mot samhällsbärande funktioner som exempelvis vården. Vissa bedömare vill gå ännu längre.
– Vi är många som anser att det borde förbjudas i lag att betala ut lösensummor när man drabbas av utpressningskod. Attackmetoden existerar bara av en anledning: det kan vara lönsamt. Om pengarna slutar att betalas ut kommer angreppen att upphöra, säger Callow på Emsisoft avslutningsvis.