PERSONVERN

Norsk skyselskap behandler sensitive opplysninger for tusenvis av pasienter, men strøk i sikkerhetstest

Fikset problemet med en gang digi.no tok kontakt.

Pasientsky.no hadde ikke oppdatert seg mot AES-angrep fredag morgen. Nettstedet tok tak i problemet med en gang digi.no varslet dem om sikkerhetsbruddet. Bildet som benyttes er bare et illustrasjonsfoto, St. Olavs Hospital benytter seg ikke av tjenestene til pasientsky.no.
Pasientsky.no hadde ikke oppdatert seg mot AES-angrep fredag morgen. Nettstedet tok tak i problemet med en gang digi.no varslet dem om sikkerhetsbruddet. Bildet som benyttes er bare et illustrasjonsfoto, St. Olavs Hospital benytter seg ikke av tjenestene til pasientsky.no. Bilde: Kallestad, Gorm
13. mars 2017 - 09:28

Det kommersielle nettstedet pasientsky.no behandler personsensitive helseopplysninger for tusenvis av norske borgere. Men det privateide nettstedet strøk i sikkerhetstest. 

Pasientsky.no oppnådde nemlig en «F»-rangering på sin krypterte forbindelse hos SSL Labs fredag morgen. Nettstedet lagrer personsensitive opplysninger om både resepter og pasientdialog med fastlegen for norske pasienter.

Kunne lese informasjon i klartekst

I dette tilfellet har den dårlige sertifikatrangeringen vært forårsaket av en utdatert versjon av OpenSSL.  

Angripere har derfor hatt mulighet til å lese informasjon som går i klartekst over den krypterte forbindelsen til pasientsky.no. 

Det får avdelingsdirektør Helge Veum i Datatilsynet til å reagere.

– Denne type tjenester må holde seg oppdaterte. Det er et krav at de jobber kontinuerlig med informasjonssikkerheten og vedlikeholder de tekniske løsningene. Enhver tjeneste som får «F»-rangering må få korrigert det, sier avdelingsdirektøren til digi.no.

Feilretting ikke installert

Veum har blant annet ansvaret for Datatilsynets arbeid med helsesektoren. Han har også det overordnede ansvaret for personvernmyndighetens tilsynsarbeid.

Ifølge pasientsky.no har nettstedet fått «F»-rangering som følge av at en feilretting ikke har blitt installert i tide. 

Administrerende direktør John Creed i privateide Pasientsky opplyser at selskapet har som mål å oppnå «A+»-rangering på sin SSL-forbindelse til enhver tid. 

Automatisk sjekk

John Creed er administrerende direktør i pasientsky.no. - Vi tar sikkerheten til brukerne våre på alvor, konstaterer han til digi.no. <i>Foto: pasientsky.no</i>
John Creed er administrerende direktør i pasientsky.no. - Vi tar sikkerheten til brukerne våre på alvor, konstaterer han til digi.no. Foto: pasientsky.no

Etter at digi.no tok kontakt med selskapet fredag har pasientsky.no valgt å innføre en automatisk sjekk av programvaren til sin krypterte forbindelse.

Det skal forhindre at selskapet som behandler pasientinformasjon ikke ligger bakpå når det kommer til feilretting igjen.

– Vi sjekker sertifiseringene våre jevnlig, og er tilbake på «A+» igjen. Dette har ikke ført til tap av kritisk data. Vi tar denne type hendelser svært alvorlig, forsikrer Creed til digi.no. 

Den administrerende direktøren opplyser videre at det i visse tilfeller skjer en liten forsinkelse av feilrettingen av utdatert programvare fordi programvaren har blitt sjekket manuelt. 

– Med innføringen av en automatisert løsning håper vi at dette ikke skal skje igjen, konstaterer den administrerende direktøren. 

– Kryptering er svært kompleks

Henrik Kramshøj er ansvarlig for de tekniske løsningene til privateide pasientsky.no.

Han sier at sikkerhetsbristen er en følgefeil av en annen feilretting selskapet har utført på systemene sine.

Slik ser pasientsky.nos app ut. Den skal gjøre hverdagen enklere for tusenvis av norske pasienter og brukere. <i>Foto: pasientsky.no</i>
Slik ser pasientsky.nos app ut. Den skal gjøre hverdagen enklere for tusenvis av norske pasienter og brukere. Foto: pasientsky.no

– Krypteringsnøkler er veldig komplekse. Vi mener det ikke har vært mulig å hente ut sensitive data hos oss som følge av denne feilen. Angrepet må isåfall ha blitt utført mens en tilkobling er åpen, sier han og forklarer at det ikke skal være mulig:

– Våre tilkoblinger er åpne i veldig korte tidsrom. Derfor mener vi det ikke er sannsynlig at noen har klart å hente ut data. Hvis noen har klart å utføre et angrep, har de bare fått med seg noen få byte, konstaterer han. 

Datatilsynet åpner ikke tilsyn med pasientsky.no

Avdelingsdirektør Veum i Datatilsynet forteller til digi.no at de ikke kommer til å åpne tilsyn med pasientsky.no med bakgrunn i dette sikkerhetsbruddet.

Videre forteller avdelingsdirektøren at Datatilsynet har hatt en lang prosess med det private selskapet. I nesten ett år har de har gått igjennom de tekniske løsningene sammen med pasientsky.no. 

– Vår vurdering er at informasjonen pasientsky.no behandler skjer i samsvar med det gjeldene regelverket, konstaterer Veum til digi.no. 

Må etterstrebe alminnelig vedlikehold

Tilsynsdirektøren mener det er uheldig at nettstedet ikke var godt nok sikret fredag morgen.

Ifølge ham skal denne type nettsteder etterstrebe at krypteringsalgoritmene de benytter seg av er gode nok til enhver tid.

– Det er svært viktig at denne type tjenester forholder seg til alminnelig vedlikehold av alt knyttet til tjenestene, sammenfatter han.

Helge Veum er avdelingsdirektør i Datatilsynet. <i>Foto: Marius Jørgenrud</i>
Helge Veum er avdelingsdirektør i Datatilsynet. Foto: Marius Jørgenrud
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.