1177 och säkerheten som inte togs på allvar

Ett stort gäng läckta telefonsamtal, polisanmälan och märkliga uttalanden. 

Hela härvan började med en nyhet som publicerades av Computer Sweden. De hade, enligt artikeln, kommit över inspelade samtal från 1177.  Enligt deras efterforskning (efter ett tips) låg 2.7 miljoner samtal från Sjukvårdsrådgivningen 1177 tillgängliga på internet, helt utan inloggning. 

De här samtalen kan innehålla information om personers sjukdomar och hälsotillstånd och även om personer knappar in telefonnumret innan samtalet kopplas fram, kan personnummer nämnas under samtalet.

Risknivån kan jag tycka är olika. Hittas samtal från t.ex. politiker skulle informationen kanske kunna användas i en påverkanskampanj. Antingen genom att läcka innehållet i samtalet eller i utpressningssyfte direkt mot personen. Som vanlig medborgare kan risken bland annat ligga i att någon får reda mot extremt personlig information som inte var tänkt att komma på avvägar. 

Många jag talat med tycker det är otäckt, andra bryr sig inte. Jag själv är av uppfattningen att det inte spelar någon roll vad jag tycker för dessa samtal har fortfarande läckt och det finns inte så mycket vi kan göra åt det i dagsläget. Men en katastrof är det. 

Att personnumret inte finns i namnet på filen spelar inte allt för stor roll om det istället sägs under samtalet.  

Mjukvara finns idag för att göra om ljud till text, det finns tjänster som spelar inte online-möten och sedan gör dem sökbara för att andra ska kunna skrolla igenom mötet snabbt utan att spendera 1 timme för 5 minuters information. Så i denna större läcka med 2.7 miljoner samtal så är datorkraft egentligen det som avgör hur lång tid det tar. 

En läcka med helt annan problembild

I tidigare stora läckor har det oftast handlat om lösenord där databaser med inloggnings-information till olika tjänster har läckt. Skillnaden med de läckorna är att åtgärden är tämligen enkel, byt lösenord. Situationen hos 1177 har en helt annat problembild. 

Informationen är för alltid ute
Problemet med den här läckan, rent informationsmässigt, är att den inte går att byta ut. Det går inte ringa till sin vårdgivare och säga ”Hej, jag vill byta diagnos för min tidigare är känd av allmänheten”. Oavsett om fler har hämtat samtalen eller inte så kommer man få finna sig i att informationen för alltid är ute. 

Bedragare kan nyttja informationen
Nu när läckan är het i media finns det risk att det utnyttjas av bedragare med samtal till privatpersoner. De skulle kunna låta ungefär i still med ”Hej, jag ringer från 1177” eller ”Hej, jag ringer från polisen” och fortsätta med ”Du har säkert läst om att samtalen till 1177 har varit tillgängliga på internet och samtalet du gjorde gällande (nämner personens personnummer, då denna information är publik) har publicerats på en hemsida. Genom ditt godkännande kan vi få bort det men du måste verifiera dig med BankID”. Många skulle säkert börja skratta och lägga på luren, men många skulle förmodligen, i rädsla för vad som hänt, snällt ge bedragarna en inloggad session till banken. 

Märkliga uttalanden

Utöver den konstaterade läckan är det bland annat uttalanden från inblandade aktörer som jag tycker är mest märkligt. Voice Integrate Nordic har påtalat att MSB verifierat säkerheten i deras IT-miljö, något som CERT SE svarar på sin webbplats. 

Sveriges Nationella CSIRT (CERT SE) skriver följande:  
”CERT-SE har haft kontakt med flera intressenter, bland andra Voice Integrate Nordic (VIN) som tillhandahåller en telefonilösning som används av en underleverantör till vårdgivaren Medhelp som stått för en del av tjänsten 1177 Vårdguiden i tre regioner/landsting. 

Det har kommit till vår kännedom att VIN på sin webbsida [1] nyligen signalerat att MSB verifierat säkerheten i deras it-miljö. Detta stämmer inte och i våra fortsatta kontakter under morgonen (20 feb) har vi påpekat saken för VIN. Vi har uppmärksammat dem på brister men inte säkerhetsgranskat deras it-miljö.” 

Medicall skriver att ett intrång har skett
Den 18 februari upptäcktes ett intrång hos MediCalls och MedHelps IT-Leverantör Voice Integrate Nordic AB. Intrånget skedde på en av Voice Integrates servrar för ljudfiler där  samtal lagras. Sedan fortsätter nyheten med ”en journalist kunde skaffa sig tillgång genom ett säkerhetshål”. 

Frågan man ställer sig är vad de menar med säkerhetshål? Är det att informationen varit publik som är säkerhetshålet eller är det att de nyttjat en sårbarhet? Det är stora skillnader på att utnyttja en sårbarhet för att få tillgång till information mot att ”surfa” till en adress och bli presenterad med informationen. En utredning pågår som kommer visa om de utnyttjade en sårbarhet eller inte. 

Samtidigt så har Voice Integrate Nordic talat om att någon ”gjort en speciell kommandorörelse” eller stoppat in en sladd i hårddisken, utöver förvirringen som uppstår av dessa uttalanden, så talar det för att Computer Sweden inte har utnyttjat en sårbarhet utan helt enkelt ”surfat” in till informationen utan någon form av autentisering. 

Vidare i denna härva har nu Medhelp anmält Computer Sweden för dataintrång. Rent juridiskt kanske det krävs en anmälan men jag kan tycka att vi har större problem med denna härvan än de som gjorde den känd för allmänheten, till exempel att informationen har varit tillgänglig på internet över huvud taget. Sen kan det så klart vara lite problematiskt att de lyssnat på några av samtalen, men med tanke på mervärdet i och med publiceringen och nedstängningen av tjänsten tror jag de kan ha räddat en värre situation med dessa samtal. 

Vart i den här härvan gick det fel?

Någon i denna leverantörskedja borde ha frågat sig vilken informationsklassificering den har, vilka skyddsmekanismer behöver den ha, vart och hur lagras informationen, vem har tillgång till den och vart ifrån kan den nås, hur kan vi upptäcka om någon otillbörligen får eller försöker få åtkomst till den.  Detta ska göras för all information ett företag hanterar, annars är det svårt att veta vilken information man hanterar och vilka risker det innebär. 

Utöver att informationen nu fann tillgänglig på internet... Om den inte hade gjort det, vem hade tillgång till informationen på Voice Integrate Nordic med flera? Dessa frågor och framförallt svar på dessa frågor hade kanske kunnat undvika en ”kommandorörelse” som av ”misstag” får ”sladdar” att ”hoppa in i hårddiskar”. 

En pågående utredning kommer förmodligen visa vad som egentligen hänt och hur länge informationen varit tillgänglig, om utredningen blir tillgänglig för allmänheten återstår att se. Dock borde en eventuell rättegång om dataintrång rimligtvis resultera i att allt blir offentligt. 

Hur ser det ut hos andra?

Det här lyften frågan kring hur det ser ut på andra ställen? Kommer vi har flera sådana här läckor? Det finns fortfarande många utdaterade system som saknar säkerhetsuppdateringar sen lång tid tillbaka som mer eller mindre är vidöppna mot internet.  

Som en sammanfattning tycker jag att det var bra att detta lyftes upp till ytan. Vi hade väl alla hoppats på att denna typ av integritetsinformation var bättre skyddad och där de haft möjlighet att upptäcka åtkomsten som gjordes direkt innan samtalet från Computer Sweden kom. 

Att inte ha kontroll på säkerheten är en enorm riskfaktor. Så har du minsta tveksamhet kring era egna system eller hantering av data så är det verkligen dags att ta det på allvar.