Dataorm lammet Aker sykehus

- Har systemer som ikke kan patches, og ikke tillater antivirus.

I forrige uke kunne VG melde at Oslo universitetssykehus Aker ble lammet av et virus-angrep. Strengt tatt dreide det seg om utbrudd av en hissig Windows-basert dataorm.

Da spredningen ble oppdaget valgte sykehuset å isolere IT-systemene sine fra omverden. Ikke før fire dager senere ble nettverket friskmeldt.

- Vi hadde utbrudd av en dataorm. Litt før klokken 11 mandag (forrige uke) besluttet vi å stenge all datakommunikasjon til og fra Aker sykehus for å beskytte resten av sykehuset og sikre stabil drift, sier Torkel Thune fra sykehusets IT-avdeling til digi.no.

Verken liv eller helse skal noen gang ha blitt satt i fare som følge av nedetiden. Derimot måtte sykehuset avvise en rekke pasienter.

- Særlig de som skulle inn for polikliniske røntgentimer ble berørt. Men det har ikke vært fare for liv og helse. I utgangspunktet kan vi håndtere sykehusdriften uten IKT-løsninger, fortsetter Thune.

Det har nå gått over to år siden den hissige Conficker-ormen herjet PC-er verden over og medførte nedetid og opprydninger som kostet enorme summer. I Norge var både politiet og Helse Vest blant noen av de som ble verst rammet.

Hvorvidt det er Conficker som slo ut Aker i forrige uke er uklart. Thune sier de er kjent med skadevaren som rammet dem denne gangen, men han nekter å si navnet på ormen.

- Vi vet hvilken orm det er, men ønsker ikke å avsløre navnet. Årsaken er at det vil si noe om hvilket nivå og hvilket patchenivå vi har på våre klienter. Vi har systemer som er sårbare for ondsinnet kode.

Ifølge Thune har Aker universitetssykehus 3.600 klienter. Og av disse ble rundt 120 arbeidsstasjoner, både tykk- og tynnklilenter, samt 15 servere smittet.

- Vi er i det store og hele en Micrososft-bedrift med Windows-basert nettverk. I tillegg har vi noe Unix og enkelte Linux-varianter, forteller han.

For å rense de smittede maskinene fikk Aker hjelp av både egen driftsleverandør Sykehuspartner og innleid spesialkompetanse.

Det er fortsatt uklart hvordan dataormen snek seg inn på nettverket, men Thune tror det kan ha skjedd gjennom bruk av infiserte minnepinner.

- Vi vet ennå ikke hvordan vi ble smittet, men har tatt vare på alle logger. Gjennomgang av disse blir del av etterarbeidet, men vi opererer ut fra en hypotese om at smitten kom fra en minnepinne, sier han til digi.no.

Uten feilfiks og antivirus
- Har dere sikret dere mot nytt utbrudd av samme dataorm?

- Ja det har vi, i den grad vi kan gjøre det. Vi har systemer som vi ikke kan patche eller kjøre antivirus på. Det er blant annet leverandører som ikke tillater antivirus kjørt på sine systemer eller at løsningene patches. Et hvert system som ikke patches er i utgangspunktet sårbarbart.

- Har dere gjort tiltak som sikrer mot nye utbrudd fra minnepinner?

- Det kan sperres både mot bruk av USB-porter og autokjøringsfunksjonen. Der hvor det er mulig er slike tiltak gjennomført, sier Thune.

På spørsmål om hvordan han vil beskrive IT-sikkerheten ved sykehuset øst i hovedstaden, både med henblikk på systemer og rutiner, svarer han slik:

- Etter alle hendelser lærer vi av det som skjedde og vurderer om vi må endre rutiner og prosedyrer. Både hendelsen, vår egen håndtering og våre prosedyrer vil bli vurdert.

Til toppen