Lägesrapport av säkerhetsbrist i Stockholms läns landsting IT-miljö 2013-10-31 Landstingsstyrelsens förvaltning Biträdande förvaltningschef Anders Nyström
2 (5) Innehållsförteckning Bakgrund... 3 Metod... 3 Redovisning per 131031... 3 Frågor och svar... 4
3 (5) Bakgrund I samband med ett nätverksarbete i oktober 2012 uppstod det en säkerhetsbrist. Bristen upptäcktes 26 juni 2013 då otillåten trafik uppmärksammades i SLL:s interna nät. Bristen åtgärdades natten till den 27 juni 2013. En första snabb utredning genomfördes av personal vid Karolinska Universitetssjukhuset och SLL IT för att försöka förstå konsekvenserna av bristen. Den rapport som då skapades utgick ifrån vad som skulle vara värsta möjliga utveckling på grund av säkerhetsbristen. I samband med detta valde man då att kontakta polis- och åklagarmyndighet. Ett beslut fattades därefter gemensamt av Landstingsstyrelsens förvaltning och Karolinska Universitetssjukhuset att tillsätta en särskild utredning för att fastställa om något dataintrång skett eller om någon skada tillförts landstingets IT-miljö till följd av den funna säkerhetsbristen. Extern hjälp från tre oberoende företag anlitades för att parallellt med egen personal analysera situationen. Denna rapport sammanfattar analysresultaten fram till dags dato. Metod Analysarbetet har varit omfattande och haft olika utgångspunkter: Genomgång av loggar och registrerade ärenden relaterade till händelsen. Syftet var att göra en bedömning om dataintrång begåtts. Analys av samtliga säkerhetsmekanismer i landstingets säkerhetssystem och av om deras skydd höll vid tiden för händelsen. Andra slags verifieringar har genomförts. Totalt har drygt 1000 timmar lagts ner för att säkra resultaten. Det exakta tekniska tillvägagångssättet kan inte redovisas av sekretesskäl. Redovisning per 131031 Det har inte kunnat konstateras att det skett 4,5 miljoner intrångsförsök mot Take Care på det sätt som befarats. Däremot registrerades det 4,5 miljoner anrop av säkerhetsutrustning. Att det registreras anrop innebär
4 (5) inte per automatik att det genomförs faktiska intrång. I det här fallet har några intrång ej skett. I nuläget visar analyserna att det inte varit tekniskt möjligt att ta sig in i Take Care på det sätt som befarades. De säkerhetsmekanismer som fanns på plats stoppade skadliga anrop. Analyserna hittills visar att någon skada inte skett på det sätt som förmedlats i media. I analyserna finns inga indikationer på att det skulle funnits någon möjlighet att installera så kallade sniffer -programvaror eller programvaror som Nessus. Skälet är att säkerhetsmekanismer som fanns på plats under den tid som säkerhetsbristen var aktuell stoppade eventuellt skadliga anrop mot Take Care från internet. Tekniskt sett var det därför inte möjligt att en installation av dessa programvaror skulle ha kunnat gjorts. Säkerhetsbristen var inte av den art att intrång mot Take Care kunde ske. Frågor och svar Med stöd av de analyser som genomförts avseende den säkerhetsbrist som uppdagades under sommaren 2013 besvaras några av de viktigaste frågorna nedan. Gjordes det 4,5 miljoner intrångsförsök i Take Care? Det har inte gjorts 4,5 miljoner intrångsförsök i Take Care. Den säkerhetsbrist som uppstod var inte av den art att intrångsförsök kunde ske. Var det möjligt att sig in i Take Care och sedan sopa igen spåren efter sig? Analyserna visar att det inte var tekniskt möjligt att ta sig in i Take Care till följd av den säkerhetsbrist som diskuterats i medierna de senaste dagarna. Därför har frågeställningen om det är möjligt att sopa igen spår efter sig inte varit aktuell. Låg Take Care öppet exponerat mot internet under åtta månader? Landstingets säkerhetssystem består av flera delar. Den säkerhetsbrist som fanns under cirka åtta månader har fångats upp av andra delar i systemet. Därför har Take Care inte legat öppet exponerat mot internet på det sätt som beskrivits.
5 (5) Går det att utesluta att någon var inne i Take Care? Inget system är så säkert att man helt kan utesluta att någon obehörig varit inne i det. Men vad det gäller den upptäckta säkerhetsbristen så kan vi utesluta att den lett till att obehöriga kommit in i Take Care. Fanns det programvaror som t ex Nessus på servern med patientjournaler som installerats av obehöriga? Nej. Det finns inga indikationer på att det skulle funnits någon möjlighet att installera programvaror som Nessus. Fanns det en sniffer som styrdes från en IP-adress i USA som användes, eller kunde användas, för att avlyssna datatrafik? Nej. Det finns inga indikationer på att det skulle funnits någon möjlighet att installera denna typ av programvaror. Kunde någon obehörig ha varit inne i Take Care och gjort ändringar i journaler som inte kan spåras? Nej. Den säkerhetsbrist som uppstod var inte av den art att intrång mot Take Care kunde ske. Analyserna är gjorda av tre konsultföretag som arbetat oberoende av varandra under Landstingsstyrelsens förvaltnings ledning. Simovits Consulting har haft ett huvudansvar i analysarbetet. Simovits Consulting är ett oberoende konsultföretag och är experter på informations- och IT-säkerhet. Företaget erbjuder olika slags tjänster, t.ex. granskningar, penetrationstester, sårbarhetskanning och ITforensiska undersökningar som kan användas för att samla bevis vid en brottsutredning. Simovits Consulting har personal som innehar certifieringen GCFE, (GIAC Certified Forensic Examiner). Bland kunderna finns bl.a. Swedbank, Sveriges Riksbank och Försvarsmakten.