W styczniu pojawiła się informacja o zhakowaniu dużej instytucji zarządzającej norweską służbą zdrowia. Ale atak wydaje się tylko zwieńczeniem działań, które każą zastanawiać się, jak długo można iść w zaparte i wprowadzać w błąd społeczeństwo i rząd.
Wiadomość pojawiła się w światowych serwisach fachowych, w tym polskich, nie budziło bowiem wątpliwości, że zdarzenie to nie było przypadkową usterką, małym „ojej”, czy ludzkim błędem. Dla fachowców prawdziwa ciekawostka – kto, jak, po co to zrobił. Trudno jednak nie pokusić się o sprawdzenie, czy Helse Sør-Øst, największa w Norwegii państwowa instytucja zajmująca się służbą zdrowia, nie była już wcześniej obiektem ataków lub czy nie notowała innych problemów związanych z systemem informatycznym. No bo skąd taki atak? Nagle? Dlaczego? Kto miałby w tym interes?
Przeflagowanie
Szefowa Helse Sør-Øst, Cathrine M. Lofthus tłumaczy się coraz bardziej nerwowo z całej sytuacji. Uważna lektura norweskich mediów sprawia, że czytelnik wygodniej rozsiada się w fotelu, bierze kawę i zaczyna brnąć w temat nagle jawiący się całkiem na nowo. To już nie jest „ojej, zaatakowali nas hackerzy”. Okazuje się, że o informatyzacji Helse Sør-Øst już od półtora roku trąbią szczegółowo mainstreamowe media, temat wyszedł poza wąski krąg fachowców zainteresowanych bezpieczeństwem.
Norsk Rikskringkasting – NRK – czyli narodowy, publiczny nadawca radiowo-telewizyjny zainteresował się bardzo wnikliwie informatyzacją Helse Sør-Øst we wrześniu 2016. Wtedy to HSØ z radością oświadczyło, że dla lepszej organizacji pracy oraz komfortu pacjentów wdrożone zostaną prace nad zintegrowaniem istniejących systemów informatycznych i nastąpi – jak to nazwano – przeflagowanie systemu informatycznego na amerykański. Osoby powiązane z Norwegią wiedzą, jak bardzo fascynuje Norwegów Ameryka i wszystko co amerykańskie: zatem przeflagowanie miało zapewne oznaczać podążanie za najnowszymi trendami i ultranowoczesność. Miało budzić zachwyt obywateli i zapewnić życzliwość dla planowanych zmian.
Jednak NRK zaraz po tym komunikacie dostało sygnały od środowisk pracowniczych powiązanych z Helse Sør-Øst, że cały projekt przygotowywany jest na chybcika, jest drogi i niesie zagrożenie utraty danych.
Teraz krótkie wtrącenie dotyczące Helse Sør-Øst. HSØ to instytucja zarządzająca usługami szpitalnymi (również specjalistycznymi), odwykowymi, ambulatoryjnymi, pogotowiami, transportem medycznym, aptekami szpitalnymi, usługami radiologicznymi oraz laboratoriami na terenie południowo-wschodniej Norwegii. W praktyce oznacza to najgęściej zaludniony region tego kraju czyli mówimy o połowie mieszkańców Norwegii. Jako ciekawostkę dodać warto, że jest to region, w którym mieszka i pracuje największa w w tym kraju mniejszość narodowa. Czyli Polacy. Dokładnie blisko 100 tysięcy legalnie i oficjalnie przebywających w Norwegii Polaków – i również ich danymi zarządza HSØ.
W bazie pacjentów znajdują się podstawowe dane osobowe, adresy, numery personalne i drobiazgowa historia: urodzenia, choroby, również psychiczne, informacje o nałogach, aborcjach, zapisywanych lekach, uszczerbkach na zdrowiu, zwolnieniach lekarskich, zabiegach, rehabilitacji etc. A także numery telefonów i maile pacjentów. Naprawdę całkiem spory pakiet danych.
Kto i za ile?
Tak więc mamy wrzesień 2016 i dyrektorka administracyjna Helse Sør-Øst, Cathrine M. Lofthus oświadcza, że od teraz będzie lepiej, amerykańsko, bo poszukiwana jest godna zaufania firma outsourcingowa, która połączy systemy informatyczne. Pracownicy robią dym, co w Norwegii może być dość poważnym działaniem, bo w takiej spółce jak HSØ trzech przedstawicieli załogi wchodzi w skład zarządu firmy i ich głos nie jest wołaniem na puszczy. Dym oznacza, że zadają pytania, dlaczego to zadanie nie jest powierzane zatrudnionym w Helse Sør-Øst specjalistom, robią szczegółowe analizy, żądają twardych danych, a nie dostając satysfakcjonującej odpowiedzi – powiadamiają o sprawie media.
NRK zajmuje się sprawą bardzo uważnie, nie ograniczając się do wysłuchania wypowiedzi dyrektorki i przedstawiciela pracowników, dowiaduje się m.in., że „amerykańskie przeflagowanie” to kontrakt o wartości 6-7 miliardów koron. Dla niezainteresowanych na co dzień kursami walut wyjaśnienie, że chodzi o ponad 3 miliardy złotych lub ponad 900 milionów dolarów lub ponad 700 milionów euro. Mniej więcej oczywiście. Pracownicy twierdzą, że zarząd w ogóle nie brał pod uwagę wykonania planowanych zmian w systemie własnymi siłami, zatem mowy nie może być o oszczędnościach, bo nie było w ogóle rozważania takiej alternatywy. Lofthus unika odpowiedzi o koszty i zapewnia, że będzie tanio, szybko, sprawnie, a dane pacjentów będą całkowicie bezpieczne, bo nikt z zewnątrz nigdy nie będzie mieć do nich dostępu.
8 września zapada decyzja o outsourcingu, tydzień później podana zostaje informacja, że kontrakt dostał Hewlett-Packard. W lutym narodowy urząd odpowiedzialny za kontrolę bezpieczeństwa cyfrowego aplikuje do HSØ o raport dotyczący bezpieczeństwa danych pacjentów. Z HSØ wychodzi zapewnienie, że dane są bezpieczne i nie będą udostępniane firmie zewnętrznej. W kwietniu – co zostaje ujawnione dzięki NRK – do Norwegii przylatuje 122 Bułgarów, Malezyjczyków i Hindusów czyli wysoko wykwalifikowanych pracowników IT na szkolenie w HSØ. Wkrótce dyrektor techniczny Helse Sør-Øst Thomas Bagley zapewnia w wywiadzie dla NRK, że zagraniczni specjaliści nigdy nie mieli i nigdy nie będą mieli dostępu do danych wrażliwych („De utenlandske IT-konsulentene skal ikke ha tilgang til pasientsensitive opplysninger eller gis tilgang til det. De skal ikke ha tilgang til denne type systemer.”). Dziennikarka przeprowadzająca wywiad z nim wie już jednak, że 110 z tych specjalistów miało i ma dostęp do baz na serwerach norweskich i zadaje dyrektorowi kłopotliwe pytania. Wiele z tych osób miało rozszerzone uprawnienia, większe niż pracownicy etatowi Helse Sør-Øst. Dziennikarka ma dokumenty z których wiadomo m.in. to, że jeden z Bułgarów logował się 56 razy, inny 35 razy. Wtedy Norwegowi całkiem nie po norwesku puszczają nerwy. Bagley próbuje zerwać wywiad, a potem HSØ stara się nie dopuści do emisji wywiadu. HSØ zmienia zdanie i twierdzi, że owszem, kilkunastu pracowników z Bułgarii miało dostęp do danych, jednakże z pełnym zabezpieczeniem. Potem pojawia się informacja, że 12 z nich miało dostęp do informacji bezpośrednio na serwerze. Źródło informujące dziennikarki NRK mówi, że dostęp do serwerów wkrótce będą mieć programiści pracujący w Malezji i Bułgarii i że nawet nie będzie można prześledzić komu jeszcze otwierają drzwi informatycznego Sezamu.
Dziennikarze docierają do ministra zdrowia, Benta Høie, który twardo zajmuje stanowisko, że zagraniczni specjaliści nigdy nie mieli i nie będą mieć dostępu do danych norweskich pacjentów. Jednakże w czerwcu 2017 okazuje się, że ministerstwo faktycznie nie dostawało kompletnych informacji. Lofthus podkreśla, że nie było to wprowadzanie w błąd, a zwyczajny brak kompletu dokumentów. I ten „komplet” uzupełniano potem… trzykrotnie.
Już wtedy wiadomo, że prace nad tworzeniem nowego systemu prowadzone są równolegle w Chinach, Malezji, Indiach, Bułgarii, Słowacji, Niemczech i Francji. W październiku jednak okazuje się jeszcze, że nad oprogramowaniem dotyczącym radiologii pracowała firma Carestream z Izraela. Jeden podmiot więcej – tyle, że ten podmiot przewinął się już w przeszłości w historii HSØ: w 2012 Carestream był stroną kontraktu na kwotę pół miliona koron.
Na podsumowanie – wyciek
Dalszą historię znają już osoby interesujące się tym tematem – w na początku stycznia zaobserwowano nienaturalnie dużą aktywność na serwerach z danymi pacjentów. Oficjalne stanowisko prezentowane przez coraz mniej wiarygodną Cathrine M. Lofthus mówi, że działania te świadczą o tym, że atak wykonali profesjonaliści oraz że pacjenci nie powinni czuć się zagrożeni, bo ich dane na pewno są bezpieczne. Wygląda jednak na to, że sprawa tym razem nie będzie przypominać nieco histerycznych rozgrywek podwórkowej piłki nożnej między dziennikarzami a Helse Sør-Øst, bo na to boisko wkroczyli dodatkowi zawodnicy. I jest to policja, służba bezpieczeństwa oraz wywiad.
Komentarze
Lektura obowiązkowa dla wszystkich, co trzymają dane w „chmurze” (tak naprawdę nie istnieje żadna „chmura”; są po prostu cudze komputery).
Norwegia posiada bardzo zaawansowane rozwiązania IT w sektorze państwowym (fascynacja Skandynawów amerykańskością zawsze mnie dziwiła, bo sami mają często o wiele lepsze rozwiązania w IT). A nawet tam doszło do gigantycznego wycieku.
Ktoś jeszcze popiera „cyfryzację”, „digitalizację” i „informatyzację” polskiej służby zdrowia? Bo nie łudzę się, że skończy się tak jak w Norwegii.
Skończy się o wiele gorzej.
No tak, lepiej tkwić w średniowieczu :) jestem ciekaw kiedy ludziom przejdzie ta histeria z bezpieczeństwem swoich danych i zaczną normalnie żyć. Niedługo posiwiejecie z zamartwiania się, czy czasem ktoś nie podgląda was jak się samozadowalacie w domowym zaciszu ;)
W średniowieczu urzędnicy króla nie zmuszali Kościoła do prowadzenia i raportowania mu szczegółowych kartotek zdrowia pacjentów w prowadzonych przez niego szpitalach, więc pod tym względem w średniowieczu było nawet lepiej.
A tak na serio: jeśli chcesz Twoje dane medyczne udostępniać innym – czy nawet całemu światu – Twój wybór. Ale z łaski swojej, zostaw w spokoju innych, którzy mają za sobą choroby weneryczne, próby samobójcze, są zakażeni HIV czy walczą z rakiem i mają prawo oczekiwać od lekarzy – zgodnie z przysięgą – że co im mówią, pozostanie między nimi a lekarzem. Nie między nimi, lekarzem, rządem, urzędnikiem NFZ-u, służbami specjalnymi, włamywaczami do serwerów i ciekawską biurwą w rejestracji. I że dane o ich zdrowiu nie trafią do darknetu na sprzedaż.
Prywatność to jeden z warunków „normalnego życia”.
Tak sobie mysle czy nie wartoby wykorzystac dla danych poufnych np medycznych systemow bazodanowych typu ZeroDB albo CryptoDB, ktore sa zbudowane z mysla „privacy by design”. Ktos slyszal moze o jakichs wdrozeniach tych systemow w praktyce?
Przy tym krzywym przetargu w grę wchodziły merkantylne interesy szefowej i kto wie kogo jeszcze. Czyli że nie lobbowała tak z dobrego serca, tylko czeka już na nią jakaś ciepła posadka, ukryte napchane $ konto na Kajmanach lub inne profity. Bo ludzie nie lobbują dla idei, tylko dla pieniędzy.
.
Powinno być to zaskakujące że w tak rozwiniętym kraju jak Norwegia ma miejsce opisany bałagan. Ale nie jest. Świadczy to że sfera cyberbezpieczeństwa bywa wszędzie spartolona, bez względu na kontynent, państwo, kulturę i język.
Przykro mi. Już jest gorzej. A będzie jeszcze tragiczniej… Firma CGM poszła w ślady Prokomu… KAŻDEGO najlepszego nawet programistę można zastąpić skończoną liczbą zwykłych, tańszych „studentów”… Będzie się działo… :(
Chętnie poznam szczegóły, może da się coś z tego napisać? :) Jeśli masz chęć i informacje to zapraszam do kontaktu https://zaufanatrzeciastrona.pl/kontakt/ , pogadajmy.
„że chodzi o ponad 3 miliardy złotych ” – naprawdę? Kogoś w Norwegii może obchodzić kurs PLN? Standardem w tego typu sytuacjach jest DOLAR AMERYKAŃSKI, a nie PLN. O 3 mld PLN piszemy tylko wtedy, gdy dotyczyłoby to POLSKIEJ firmy, która miałaby realizować projekt.
az tak ciezko zrozumiec, ze przeliczenie na inne waluty jest dla czytelnika z3s, ktory jest raczej polakiem? gdy przeczytalem 6-7 miliardow koron, od razu pomyslalem „ciekawe ile to na pln”. bardzo dobrze ze taka informacja znalazla sie w artykule + pozostale waluty.
A ja z kolei nie rozumiem przeliczania innych walut na USD. Albo podajemy w oryginale albo w złotówkach. Co mnie obchodzi przeliczenie na jakieś amerykańskie dolary?
Skoro chcieli wprowadzić „Amerykańskie” rozwiązanie to czemu przyjechali Bułgarzy? HP przekazała zadania na wschód i pobrała za to wynagrodzenie za pośrednictwo. Norwedzy mogli w umowach wymagać żeby program był przygotowany w USA.
Jak dla mnie wina urzędników. I jeszcze się złoszczą na media że zauważyli ich niekompetencje.
Wiem ze to „stara” histora ale czy ktos trafil na jakis artykul zwiazany z tym tematem w jezyku angielskim?
Nie mam pojęcia, korzystałam tylko ze źródeł norweskich.
O, sorry, tu coś jest: https://www.certsi.es/en/early-warning/cybersecurity-highlights/helsecert-warns-about-theft-health-data-more-3-million