“Vi vet inte när det hände, men troligtvis har någon under en uppdatering helt enkelt stoppat in en internetsladd i hårddisken. Då fick den en ip-adress, och då var det fritt fram. Vanliga personer klarade inte av det, men de som kan sådant här kunde göra något slags speciell kommanderörelse och slinka in bakvägen. […] wow, fasiken också” – VD:n Voice Integrate Nordic till DN.
Ingen lär väl vid det här laget missat att en underleverantör till 1177 Vårdguiden lagt ut miljontals inspelade känsliga telefonsamtal med patientuppgifter publikt nåbart på Internet. Med tanke på uppgifternas natur, dvs patientdata med sårbara och sjuka människors telefonsamtal, så är det sannolikt den värsta integritetsläckan i Sverige någonsin. Bolaget bakom den tekniska lösningen, Voice Integrate Nordic (VIN), antar en intressant krishanteringsfilosofi, hävdar att MSB minsann säkerhetsgranskat dem, samt tänker polisanmäla Computer Swedens avslöjande journalist för dataintrång. MSB:s CERT säger att de inte alls säkerhetsgranskat IT-miljön.
 |
| Internetsladdar inkopplade i hårddiskens modermodem? Wow, fasiken också? |
Tydligen stoppade alltså någon in en Internetsladd i hårddisken, vilket väl klår det gamla modermodemet i citat.
Voice Integrate Nordic skriver att man “dragit ur sladden”, komplett med citattecken runt och menar att de utsatts för “ris” (komplett med citattecken runt) de senaste dagarna. “Ris” kallas det alltså att få kritik för att offentligt publicerat 2.7 miljoner fall av mycket känslig persondata, patientuppgifter och personuppgifter.
Bolaget ska också hävdat att MSB säkerhetsgranskat deras miljö. MSB:s CERT hävdar att så inte alls är fallet och skriver följande i ett pressmeddelande:
“Det har kommit till vår kännedom att VIN på sin webbsida [1] nyligen signalerat att MSB verifierat säkerheten i deras it-miljö. Detta stämmer inte och i våra fortsatta kontakter under morgonen (20 feb) har vi påpekat saken för VIN. Vi har uppmärksammat dem på brister men inte säkerhetsgranskat deras it-miljö.”
Läckandet av patientuppgifterna ter sig som ett självklart GDPR-brott, vilket kan ge 4% av den globala omsättningen eller 20 miljoner EUR (ca 200 miljoner kronor) i böter.
Dock är det så att det inte är VIN som är ansvarig här, utan antagligen 1177 Vårdguidens anslutna landsting, dvs skattebetalarna och specifikt svensk sjukvård, som får hosta upp 200 miljoner kronor i böter. Dessa kan dock sannolikt stämma underleverantören MediCall för att få tillbaka sina 200 miljoner.
VIN hade en omsättning på under 7 MSEK, en vinst på några hundra tusen och tillgångar på drygt 2 MSEK år 2017. VIN verkar vara ett tämligen normalt privat småföretag inom IT-branschen, och uppgav tre anställda för 2017. Kan förklara varför man inte lagt några tusenlappar på en kriskommunikatör i det här läget, för att undvika citat som “wow, fasiken också” och “stoppat in en internetsladd i hårddisken” eller “speciell kommandorörelse” och “slinka in bakvägen” (OBS, inga sexuella referenser). Att förminska och vifta bort är förstås en strategi, men formuleringarna gör inte att uppfattningen av kompetens direkt höjs. Bolagets VD uppger att man ska polisanmäla journalistens nedladdning. Det är åtminstone en bekräftelse på var den tekniska säkerhetsbristen uppstod. Generellt ska man dock stå still när man trampar i klaveret, annars låter det bara ännu mer.
1177 Vårdguiden har i de berörda fallen drivits av det Thailandsbaserade callcenterföretaget MediCall, vilka nog är de som bör stämmas av landstingen för att få ut GDPR-pengarna, och i sin tur får stämma VIN. Huruvida export av patientdata till Thailand varit inom reglerna är en annan fråga. MediCall menar att inga uppgifter lagrats utanför Sverige, som om det vore någon tröst.
“Servern som intrånget skedde på, innehåller ljudinspelningar av rådgivningssamtal.Inga patientjournaler har varit tillgängliga för obehöriga. Servern är placerad i Sverigeoch inga patientuppgifter eller personuppgifter lagras utanför Sveriges gränser.Voice Integrate Nordic AB vidtog omedelbart åtgärder och har nu säkerställt att ingaljudfiler är åtkomliga för obehöriga.”
Frågan här blir då huruvida personuppgifterna använts av personal i Thailand, även om de lagrats någon annanstans, och om det är tillåtet?
I slutändan har en hel del kompetensbrister exponerats, både inom IT och inom krishantering, men det finns faktiskt inget som visar på att patientdata och personuppgifter kommit på mer vift än till Computer Sweden. Bloggen har kontaktat säkerhetsfirmor för att reda ut eventuella indikationer på att uppgifterna finns spridda på nätet och återkommer om något av intresse framkommer.
Antalet personer som haft koll på säkerhetsbristen, och kunnat tipsa Computer Sweden, kan antas vara högst begränsade, om det nu inte handlade om en extern hacker, som upptäckt bristen och tagit på sig den vita hatten. Privata företag får efterforska källor.
Tyvärr är det svårt att i potentiellt livshotande situationer som telefonsamtal till 1177 lägga på luren när man får höra “samtalet spelas in för X”. Vid kontroll verkar inget sådant sägas just nu.
88 kommentarer
Jag tycker själva originaliteten i ursäkten känns både uppfriskande och ärligt menad, så snarare plus än minus där IMHO.
Däremot kan man ju fundera över hur rimligt det är att miljontals ljudfiler alla ligger på slash ryms på en och samma "vanlig hårddisk".
Sådan "vanlig hårddisk" skulle jag också vilja ha om dessa verkligen finns?
1TB räcker för 1 miljon ljudfiler a 1MB.
Hur stor tror du att en ljudfil är egentligen?
Enl computersweden ska det ha varit 170 000 timmar, med inte allt för hög bitrate ca 8TB, och alltså fyller en större disk, men det bör ju troligen vara någon sorts nas, inte minst kan man ju anta det pga att den har nät och ip.
Och där står de med långa NASa…
Känns ändå inte troligt att de verkligen har lagt alla sin ägg i en och samma korg, eller hur?
Termen "hårddisk" ska nog i detta fall utläsas som "dator". För inte allt för länge sedan var det brukligt att okunniga kallade själva datorn i ett stationärt datorpaket, samt i förekommande fall ett serverskåp, för "hårddisken". Dessa människor finns ännu kvar, de har bara synbart minskat då bärbara datorer, surfplattor och annat tagit över vilka inte benämns som hårddisk av dessa.
Peter, du underskattar gravt den fruktansvärda inkompetensen om IT och särskilt IT-säkerhet hos framför allt myndigheter men även underleverantörer. Detta är nog såpass dumt som det verkar.
Tycker inte ursäkten ger något plus alls, då den tyder på datorkunskaper i nivå med min demente och sedan tidigare lätt förståndshandikappade far. Han borde inte syssla med IT.
Dan: tar det 8TB så har du IMHO allt för hög bitrate. Mig veterligen är telefontrafik lägre bitrate än så. Gamla fasta nätet körde ju med 64kbit och jag har för mig att mobiltelefoni kör med lägre bitrate än så (läste just något om 9.6kbit). Varför någon skulle vilja ha högre bitrate än man använt för samtalet kan man fråga sig.
Med 9.6kbit hamnar man på 730Gb vilket inte alls är speciellt märkligt stor hårddisk.
Ja du har så klart rätt, baserat på skärmdumpen på CS så verkar de bara runt 100K styck, i så fall är man nere på under 300G, enl uppgift ska dock dumpen vara på 1,7TB
The Internetsladd. På riktigt har de anställt min döda mormor på itavdelningen eller ?
Dessvärre inte. Hade det varit din döda mormor hade inte detta hänt…
Tydligen behövdes inte modermodemet, själva hjärtat i hårddisken kopplas in den här gången!
"Du, jag testade http://ip:433 och det funkade", "Toppen! Då kan vi gå hem".
Fattar inte riktigt. Om de inte brytt sig om konfigurationen i övrigt så lär de väl inte förvänta sig något svar på standardporten för Usenet.
nntp är väl 119 och 563?
Om man hamnar med endpoint http://ip:443 föreställer jag mig att det snarare innefattat väldigt *mycket* trial, error, öl och konfiguration. Och att killen som tillät trafik över 443 hade slutat.
433 är NNSP.
Alltså, sedan när behöver man spara samtalen och i så fall hur länge? Hur gjorde man t.ex. för 20 år sedan och tidigare? Sparade allt på band eller raderades det efter en viss tid eller kanske inte alls sparades? Just samtal till 1177 görs väl för en aktuell fråga och sedan går man vidare till andra instansen i vårdapparaten. Är det NPM som är orsak till allt lagrande?
Förutom integritetsskyddet finns en hel del andra frågor som väcks.
Så kallad journalhandling. Allt sparas för all framtid. Det senare av framtida forskningsskäl. Integriteten är formell, gäller gentemot andra medborgare, inte gentemot staten. Det handlar om statens universitets nutida och framtida möjliga behov av "mineable data" eller vad det kallas den här veckan.
Man gör det för att man kan.
Uppenbarligen några pommes kort av ett Happy Meal.
Inte alla bitar i byten.
Ljuset är på men hissen går inte ända upp.
Har inte alla åror i vattnet
Inte bara döda virus i fullspektrumantibiotikan.
Hmm, den funkar inte Peter… 🙂
Du vet ju att antibiotika inte biter på virus.
Wifit är på men fortnite laddar inte.
Det finns luft men inga chips i påsen.
Även om informationen hade lagrats utanför det publika internet, så hade det väl varit snyggt om ljudfilerna krypterats med en unik nyckel per fil. Att man sedan verkar ha använt det inringade telefonnumret som del i filnamnen gör det ju bara ännu värre.
Är med och driver ett hobbyforum på nätet och vi har bättre säkerhet på våra grejer (vilket till största delen är nördiga-memes). Man kan ju tycka att vårduppgifter borde handhas med något större stringens.
Det beror på vad som specades i kravspecifikationen.
Var glad att allt är spårbart – den dag Ebola eller liknande bryter ut i Sverige kommer det att rädda många liv att man snabbt kan identifiera de som ringt till 1177 och beskrivit liknande symtombild. Som jag skrivit ovan, integriteten gäller gentemot andra medborgare, inte gentemot staten – det vill säga statens övergripande större intressen av forskning samt säkerhet och akuta folkhälsoåtgärder i nödlägen.
Staten har rätt att tillträda din bostad i en nödsituation, beslagta din bil å försvarets vägnar i en krigssituation, samt tillgång till samtlig digital journaldata som någonsin dokumenterats på något sätt överhuvudtaget allra senast i en hotande pandemisitution. Självklarheter egentligen om du tänker efter.
…samt se smaskiga detaljer om politiska meningsmotståndare etc.
Alla samtal handlar inte om influensa.
Även för icke-statliga aktörer är det skrämmande lätt att få ut journalhandlingar om andra så länge man hävdar släktskap.
Nu har jag inga barn, men tänk män med någon typ av förlossningsdepression. Kul för barnen (och staten) att läsa om hur oönskade de var – typ så.
Sjukhusspioneri mot politiska motståndare sysslade sossarna med redan på sextio- och sjuttiotalet. Enda sättet att undvika att stater (obs, plural) får insyn i dina hälsoproblem är att hålla dig frisk. Tro inget annat.
Eller präster, ifall man nu har lite lättare psykiska hälsoproblem.
Nånting säger mig att de läkare som Wallenbergarna går till t.ex. är lite bättre på att hålla tyst, men vad vet jag.
Några intressanta case från de nämnda årtiondena du vill dela med dig av?
Nackdelen med att vara pensionär är att man kommer ihåg sånt man tycker att ni ungdomar borde ha fått i er allmänbildning:
https://sv.wikipedia.org/wiki/Sjukhusspionaff%C3%A4ren
Hillary Clintons sviktande hälsa var ju för övrigt en stor fråga under den föregående valrörelsen, särskilt efter hennes offentliga kollaps vid minnesstunden 11/9, men hennes journaler fanns lämpligt nog hos någon liten privatläkare på vichan som inte var skyldig att lämna ut dem.
Sjukhusspionen har man ju läst och hört om, men det var väl inte patientspioneri?
Inte enbart, men tillgång till pappersjournalsarkiv fanns ju där parallellt, och med behörighet till huset inga problem att traska in i sådana på den tiden. Jag jobbade en gång för 25 år sedan med en grupp kvinnliga sjukhusanställda som anonymt fick chansen att svara på om de hade läst sina barns journal (olagligt redan då). Av över tjugo erkände alla utom en att det hade de givetvis gjort. På fråga om varför och om de visste att det var olagligt svarade över hälften någon variant av "det bryr jag mig inte om, det är mitt barn, jag har rätt att veta".
Huruvida någon tankat uppgifterna torde väl vara skitsamma vad gäller GDPR.
Under GDPR borde den som ringer dessutom behöva tacka ja till att samtalet spelas in. Så till vida det inte strikt anses som kritiskt för att kunna leverera tjänsten. I och med att tjänsten de facto levereras i och med det innevarande samtalet så vetikatten om det går att hävda.
Alla som ringt 1177 bör omedelbart utöva sin rätt att ta del av sparade uppgifter och att bli bortglömd. Exempelvis, https://www.datarequests.org/blog/sample-letter-gdpr-erasure-request.
Efter Transportstyrelsen så har jag slutat vara förvånad. Vuxendagiset Sverige snubblar vidare.
"Tror ni inkompetensen är över? Nej. Man har inte dragit ut sladden. Kör wireshark och skicka skräppacket så ser ni att det enda som filtreras är syn-ack från servern.Slumpade seq-nr i respons bara någon timme och upprättade till slut en anslutning. Vad tror ni jag ser? Färska samtal från bara några sekunder sen i mappen /2019/"
https://www.facebook.com/photo.php?fbid=10156426173594332&set=a.93980594331&type=3&theater
När upphandlingen går till lowest bidder så blir det så här…
"Pay peanuts and you get monkies" som det heter.
Det vore rätt festligt om det dessutom visade sig att servern rent fysiskt hanterats av några papperslösa uzbeker som köpts in genom nån tredjehandsoutsorcing a la Arlanda.
Varför hatar du uzbeker?
Least: Ben D hatar alla! Inklusive dig och mig! 😛
ps. puss Ben D! 😛
Precis, det är viktigt med värdegrund. Alla människors lika värdelöshet.
Då delar vi samma värdevgrund! Jag är inte rasist, jag hatar alla.
Hahaha…BenD & Least, då blir det typ rasist=javisst! ??? 😛 😛 😛
Ja, logiken säger ju det… 🙂
Det kan ni tänka på när ni får Viagrareklam, viktminskningspiller-reklam och penisförstoringsmail och sånt, det beror så klart på att era desperata telefonsamtal om er mikropenis/impotens/fetma till 1177 har läckt ut.
Är det därför Tom Jones ringer mig hela tiden?
Han ringer kanske för att berätta att I'm coming home? Eller så är han röksugen och vill köpa lite green green grass of home? Eller så vill han köpa jackan du lagt ut på Blocket, eftersom Baby it's Cold outside? Eller så vill han fråga om den där thailändskan du raggade upp, she's verkligen a lady?
Han rinde mig också förresten, men det var bara för att berätta att jag var en Sex Bomb med Thunderballs.
Han frågade inte om du kunde gömma kniven?
hahahaha varför kom inte detta på fredag när jag tar ett par glas rött!
Nu undrar alla varför jag gapflabbar vid datorn 🙂 🙂 🙂
LIVE: lyckades hitta filmklipp på den speciella kommandorörelsen som genomfördes av en icke-vanlig person.
https://i.imgur.com/iVHfwLc.jpg
Ahh en rejäl firesale där minsann!
Det man missar är att det måste finnas ett annat system som sparar ljudfilerna på NASet. Det måste vara mappat mot den publika adressen och använt okrypterad http. Det fanns nya filer på NASet så detta måste vara en känd konfig.
Givetvis skulle det vara tekniskt möjligt att de har haft dubbla nät men inget i deras kommentarer tyder på tekniks höjd.
Särskilt känsliga personuppgifter kräver ett uttryckligt godkännande för utlämning vid varje tillfälle det sker. Det är ingen organisation eller företag som äger dina uppgifter och kan använda dessa som de vill. Så det finns flera fel i denna historia.
Precis. Det finns flera frågor i allt det här.
Akutsköterskor och akutläkare har tillgång till allt och kan bryta sekretess varje gång en patient kommer in medvetslös. De är till och med skyldiga att göra det. De måste fylla i en ruta där de skriver varför de bryter sekretessen förstås, men informationen finns alltid bara en knapptryckning bort. En knapptryckning bort.
Du tror väl inte att staten/landstingen lagt ned hundratals miljarder på journalsystem och dokumentation för att sedan inte använda det som journalförs och dokumenterats för att hålla valboskapen och dess uppskattningen av den svenska sjukvårdens leveranskapacitet vid liv?
.. eller sälja ut datat billigt till multisar inom läkemdel ..
Givetvis så bryter inte sjukvårdspersonalen sekretessen eftersom som du mycket riktigt säger har rätt till den för att kunna göra en korrekt behandling som det det anges i PDL.
Staten och landstingen bryr sig väldigt lite om sitt data. Det finns väldigt mycket de kan gräva fram i form av hur systemen utnyttjas optimalt, medicinsk forskning. Men det är faktiskt lagstiftningen som gör detta riktigt svårt när det är i allas intresse.
Däremot finns det väldigt många entreprenörer och småskuttar inom vårdsektorn som tror att de faktiskt kan använda patientuppgifter för sina egna projekt och tror att GDPR och PDL är en kryssruta som inte är så viktig.
Det lär bli fler sådana här skandaler.
Ja, det tror väl alla som förstår hur systemet fungerar. Som sagt, å ena sidan måste informationen vara bara en knapptryckning bort för att kunna rädda liv, å andra sidan måste man låta valboskapen tro att individuellt integritet finns för annars kanske de slutar att berättat allt för sköterskan i andra änden av luren.
Även om det tekniskt "bara är en knapp" så är ju det hela reglerat vilket du ju också framför. Alla slagningar registreras också, och omotiverade sådana är straffbara.
Ja, det är vi överens om. Poängen är teknisk, inte juridisk. Om det tekniskt måste vara bara en knapptryckning bort för de som skall kunna komma åt det lagligt, så gäller detsamma för sladdfumlare och hackers.
Peter: men den där knapptryckningen gäller ju bara de som öht har tillgång till systemet. Det gör att det inte är en knapptryckning bort för kreti och pleti. Annars hade nog fler varit inne och snokat på folks journaler av ren nyfikenhet.
Det här visar ju på en smått orimlig konsekvens av straff-systemet. Här skall alltså i praktiken staten betala en bot till sig själv.
De drabbade får väl på sin höjd ett brev om att samtalet om din pinsamma sjukdom har läkt ut på nätet. Liksom förlåt bara…
Hade varit vettigare att man faktiskt kompenserar de drabbade. Fast som skattebetalare så är det ju praktiskt att ens skattepengar trots detta hamnar i statskassan.
Här hade det varit lämpligt att kunna utkräva personligt straffansvar, men ansvariga slipper säkert undan billigt…
Jämför med konstitutionsutskottet, där regeringen sitter med majoritet ifall den behöver utreda anmälningar mot sig själv.
Nja. Nu tillsätts väl enligt proportionalitetsprincipen precis som alla andra utskott. Det får till följden att de som släppt fram regeringen blir majoritet mer eller mindre per automatik.
Kan iofs tyckas olämplig sammansättning om uppdraget är att granska regering. Kanske hade det varit bättre att i första hand sätta samman KU proportionellt utifrån de som röstat mot regeringen.
Men å andra sidan är ju granskningen rätt mycket en formalitet. KU kan ju inte besluta om någon slags straffpåfölj eller annat om inte regeringen sköter sig.
Det är problemet med systemet. I detta fall är det underentreprenör som klantat sig. Givetvis ligger ansvaret hos uppdragsgivaren men någonstans måste också "straffet" hamna hos den som faktiskt gör felet. Nu kan väl samma personer låta bolaget gå i konkurs, starta en ny verksamhet på samma område och vinna nästa upphandling.
Men har de har säkert en sjuhelvetes miljöpolicy! Tar nog upp flera hyllmeter pärmar innehållandes dödade träd.
Det brukar ju alltid vara mycket viktigare än vad man faktiskt levererar när man säljer till offentliga verksamheter. Toppar man sedan med en riktigt voluminös rättvise och mångfaldspolicy så är man osårbar.
Tja, om det visar sig att kaffet i kaffeautomaten i fikarummet inte är Fair Trade så kan det nog faktiskt bli annulerat kontrakt när det nuvarande går ut.
Greger !
.. mångkulturell mångfaldspolicy och att man skänker pengar till nått projekt om att rädda någon udda fladdermus i borneos jungler
På pappret alltså..
Vågar jag säga att jag handlar på Lidl ?
Hela Landskrona handlar på Lidl!
Fan, har det gått så illa med Landskrona nu? De fick ju DSV, Oresund Heavy Industries och Uniti detta årtionde. Ben, det är ju för att du säljer badsalt alldeles intill. Dög inte Rosengård? Din källarverksam var ju en bra hedge.
I landskrona köpte jag min första bil!
Och satte den på färjan till Tuborg och körde i Köpenhamn
en dansk krona var då mindre värd än en svensk och tjocka tanter rökte cigariller på färjan..
Sanktionsavgifter för myndigheter är i Sverige begränsat till högst 10 miljoner kronor.
Dock har personuppgiftsbiträden numera ett eget ansvar enligt GDPR, vilket man inte hade under PUL. Detta räddade visst IBM från sanktioner under Transportstyrelseskandalen, vilket uppdagades under PUL-tiden.
Jag skrattar seriöst så jag gråter. Det går bra för IT-branschen att ställa skyhöga krav för att få komma in, men cheferna kan vara hur inkompetenta de vill. Det är kanske för att täcka upp för chefernas inkompetens som de är tvugna att ha de bästa av de bästa juniorerna.
Du agerar i någon lokal, död marknad. Kraven för att komma in i gbg/sthlm är *fånigt* låga. Markup kallas teknisk erfarenhet. Kombinera med ett simpelt skriptspråk så är du ingenjör. Förstår du skillnaden mellan klient och server gäller det att tona ned språket vid intervjun.
Sist jag sökte jobb i Göteborg så gjorde det enda företaget klart att du skulle vara helt färdig civilingenjör. Inte en enda återsrtående kurs accepterades. Det andra företaget hade 35 kvalificerade sökande till en tjänst.
Om detta var för 4+ år sedan så beror det på att det var för 4+ år sedan, alternativt att du sökte till Torslandas snålaste bolag.
Det var i höstas, och ett av dem var ett av Sveriges absolut största teknikföretag.
Enligt ny artikel på DN så har servern med katalogen legat öppen på nätet sedan 2016 men kanske redan 2012. Finns en manuellt reggad DNS.
Förmodligen har Medicall kunnat hämta filer för kvalitetskontroll/uppföljning av tveksamma ärende och då har dessa naivt tyckt att detta var ett bra sätt.
Det här blir intressant GDPR-mässigt.
Som personuppgiftsansvarig så måste man se till att biträden (dvs underleverantörer) har tillräcklig it-säkerhet. Tveksamt om landstingen gjort det.
Kopplad samtalen till Thailand kan det handla om en olaglig tredjelandsöverföring.
Frågan är om det uppstått en skada? Har information läckt? Isåfall är det den som läckt som kan bli stämd (se artikel 82).
https://www.datainspektionen.se/lagar–regler/dataskyddsforordningen/dataskyddsforordningen—fulltext/#82
Nu tycker jag att vi alla tar varandra i hand och sjunger We Shall Overcome, förlåt, Internetsladd!
https://www.youtube.com/watch?v=W0OW8CjZBYA&feature=youtu.be
Bra idé till en låt och musikvideo, men behöver mer substans och slipning.
Hos Sweclockers kommentarstråd kan man läsa adresserna som använts samt de sorgliga webbsidorna för de ansvariga företagen. Finns en del här i detta inlägg med kommentarer också.
Webbsidorna ser ut som bedrägerier alternativt övervintrade 90-talsprojekt.
Sweclockers har även gjort en t-tröja med det redan klassiska uttrycket.
Det är intressant och skrämmande att MSB snabbt har börjat att användas som deflektor och måltavla för falska nyheter.
Bananmonarkin Sverige når nya bottnar.
Det positiva i kråksången är att tack vare GDPR nu så kan det faktiskt bli några konsekvenser av det.