Under måndagen kunde Computer Sweden avslöja ett allvarligt it-haveri inom det svenska vårdsystemet. 2,7 miljoner samtal till landstingens rådgivningsfunktion 1177 Vårdguiden har legat tillgängliga på nätet efter misstag från underleverantörer.
GDPR-klagomålen har inte låtit vänta på sig och idag stod det klart att läckan även omfattar hundratusentals samtal om sjuktransporter.
Den kortfattade bakgrunden är att bolaget Voice Integrate Nordic AB levererat en lösning, plus servrar, till 1177 Vårdguidens underleverantörer.
Tommy Ekström, vd på Voice Integrate Nordic AB, svarar i Dagens Nyheter på frågan alla ställer sig; hur kunde det här hända?
Enligt honom har en intern server, typ en oskyddad hårddisk, kopplats upp mot internet av misstag.
”Vi vet inte när det hände, men troligtvis har någon under en uppdatering helt enkelt stoppat in en internetsladd i hårddisken. Då fick den en ip-adress, och då var det fritt fram”, säger Tommy Ekström till DN.
Han säger vidare att det ”inte går att skydda sig till hundra procent mot sådant här”, men att bolaget ser över rutinerna, checklistorna. Det innefattar bland annat att i framtiden se över om den här typen av servrar är uppkopplade mot internet eller inte. Enligt Tommy Eriksson har alla andra system checklistor, dock inte den aktuella hårddisken.
”Det var väl någon som tyckte att den var för basal. Men det visar sig att även den simplaste hårddisk är nåbar om den ansluts till nätet. Det är ju bara att ta åt sig av detta och säga ”wow, fasiken också”.
55 filer ska ha laddats ned innan hårddisken släcktes. Voice Integrate Nordic AB planerar att polisanmäla det hela som en hackerattack.
Anne-Marie Eklund-Löwinder, säkerhetschef på Internetstiftelsen, är inte imponerad av förklaringen.
”Det är oklart varför någon ens skulle vilja sätta en NAS-disk direkt på internet. Det kan man ju inte bara få för sig. Om driftpersonal på eget bevåg kan koppla upp en sådan komponent på internet har man förmodligen problem med både processer och beslut”, säger Anne-Marie Eklund-Löwinder till DN.