Norske sikkerhetsmyndigheter mener at det var Kina som sto bak det store datainnbruddet i Helse Sør-Øst / Sykehuspartner, som ble oppdaget 8. januar i år. Mistanken om at hackerne jobbet for den kinesiske staten har ikke blitt svekket de siste ukene, ifølge Filter Nyheters kilder.

Helse Sør-Øst har ansvar for helsetjenester til 2,9 millioner nordmenn i Oslo, Akershus, Østfold, Hedmark, Oppland, Buskerud, Vestfold, Telemark, Aust-Agder og Vest-Agder – i tillegg til sensitiv forskning, laboratorier og apoteker.

Hackingangrepet regnes som så stort og profesjonelt at norske myndigheter trolig aldri vil finne ut akkurat hvilke opplysninger de utenlandske inntrengerne har hentet ut, eller hva de etterlot seg av såkalte bakdører i systemene.

Det kan utløse enorme statlige økonomiske kostnader, i tillegg til årevis med usikkerhet rundt hva de antatte kineserne kan bruke sykehus-hemmelighetene til.

Alle data kan være stjålet

– Er du først på innsiden og har fulle administrasjonsrettigheter, kan du gjemme deg i systemet, sier sjefen for Etterretningstjenesten, generalløytnant Morten Haga Lunde, til Filter Nyheter.

– Hvor lenge kan inntrengningen ha pågått?

– Ingen anelse. Ikke vet vi hvor lenge de har vært der og ikke vet vi hva de har stjålet eller planlagt å gjøre.

Mens Helse Sør-Øst, helseminister Bent Høie og justisminister Sylvi Listhaug de siste to månedene har valgt å vektlegge at «vi har ingen indikasjon på at pasientinformasjon har kommet på avveie», slår sjefen for Etterretningstjenesten fast at myndighetene må jobbe ut fra at alle pasientjournaler og andre sensitive personopplysninger kan ha blitt kopiert av utenlandske spioner:

– Helse Sør-Øst har nær tre millioner av befolkningen i sine systemer. Veldig mange av samfunnsaktørene i Norge bor innenfor Helse Sør-Øst. Jeg kan ikke påstå at alle de opplysningene er stjålet, men det er mulighet for at det er tatt ut, sier Haga Lunde til Filter Nyheter.

Han mener det er flere aktører som har interesse av å kartlegge norske enkeltpersoners pasientjournaler, og antyder hva et slikt datatyveri kan brukes til:

– Kanskje det viktigste vi har knyttet til personvern her i landet, er helsemappa di fra du er født til  du dør. Det ligger mye i de mappene som ingen av oss ønsker at skal komme andre i hende enn de som skal ha dem, sier Haga Lunde

Intervjuet ble gjort etter at E-sjefen mandag hadde presentert tjenestens ugraderte vurdering av sikkerhetsutfordringer for 2018. Da hevdet han at hele Helse Sør-Øst-angrepet kunne vært avverget hvis tjenesten hadde hatt såkalt Digitalt grenseforsvar, det kontroversielle forslaget om masselagring av internett-trafikk som ennå er til politisk behandling.

Haga Lunde vil ikke kommentere opplysningene om hvilken fremmed statsmakt som er pekt ut av tjenesten.

– Det er gjenkjennbare trekk ved aktører, det er så mye jeg kan si uten å gå inn på metode og kapasitet. Attribusjon (bevis på hvem som står bak, red. anm.) er vanskelig fordi disse aktørene går via mange andre land på vei til Norge. Men det er kjennetegn ved dem som gjør at vi kan være litt mer bestemte, sier etterretningssjefen til Filter Nyheter.

Jakter på «alt» fra helsesektoren

Det er langt fra sikkert at pasientjournaler var et primært mål for de antatt kinesiske hackerne. Men kineserne er kjent for veldig brede operasjoner der de tar med seg det meste av det de får tilgang til, alt fra upublisert forskning og forretningshemmeligheter til nettopp pasientinfo.

Sikkerhetsselskapet FireEye er eksperter på statsstøttet kinesisk hacking. I et epost-intervju med Filter Nyheter beskriver trusselanalytiker Jens Monrad hvordan tidligere angrep mot helsesektoren har artet seg.

– Vi så at Kina-baserte spionasjegrupper stjal en rekke typer informasjon fra organisasjoner innen helsevesenet. Dette inkluderte sentrale hemmeligheter som info om diagnoseprodukter, cellekulturer brukt i forskning og utvikling, laboratorierapporter, forretningsplaner, oppkjøp av selskaper, bio-medisin, veterinærmedisiner, vaksiner, genmodifiserte medisiner, antistoffer og blodkomponenter.

– Vi observerte også tyverier av ting som presentasjoner fra konferanser og interne arrangementer, finansielle dokumenter, organisasjonskart, rapporter fra arbeidsgrupper, møtereferater, ansattelister, strategier, HR-dokumenter, juridiske dokumenter, pasientinformasjon og dokumenter om IT-nettverkenes infrastruktur.

Kinesiske hackingangrep handler vel så ofte om industrispionasje og andre tyveri av opplysninger som kan tjene Kina økonomisk, som klassisk militær etterretning.

– Angrep knyttet til kinesiske grupper har primært fokusert på tyveri av intellektuell eiendom og potensielt sensitiv forretningsinformasjon, mens andre nasjoner gjerne bruker cyberangrep i geopolitiske konflikter og tradisjonell spionasje til støtte for nasjonale sikkerhetsinteresser, sier eksperten til Filter Nyheter.

– Kan ikke utelukke

– Dette er et komplekst og omfattende angrep. Våre tekniske analyser viser at det ikke er hentet pasientdata ut av systemene, men det er umulig å utelukke, skriver kommunikasjonsdirektør Mona Strøm Arnøy i Nasjonal sikkerhetsmyndighet til Filter Nyheter.

Helse Sør-Øst vil ikke kommentere Filter Nyheters opplysninger om at hackerne antas å ha vært inne i lang tid med praktisk talt full tilgang til foretakets mest sensitive data.

– Det har vært gjennomført en rekke tiltak for å fjerne trusselen og ytterligere tiltak kan være aktuelle. Detaljer om angrepet kan si noe om både sårbarhet og hvordan vi arbeider med tiltak. Vi kan derfor ikke si mer om dette nå, skriver kommunikasjonsdirektør Gunn Kristin Sande  i en epost.

– Hvilken informasjon har Helse SørØst planlagt å gi til publikum om det potensielle omfanget av datatyveriet?

– Helse SørØst RHF har hele tiden vært åpen på at dette er en svært alvorlig situasjon. Vi avventer nå etterforskningen og vil informere befolkningen i tråd med fakta som framkommer fra denne, skriver kommunikasjonsdirektøren.

Datasystemene til helseforetaket er ennå ikke i normal drift etter det dramatiske angrepet.

– Det er så langt  ikke noe som tyder på at innbruddet har hatt direkte konsekvenser for pasientbehandling eller pasientsikkerhet. Men tiltak som er satt i verk kan medføre at ansatte opplever at noen tjenester ikke er tilgjengelige for en periode, eller at det er treghet i noen av dataløsningene de bruker, uttaler Sande.

Opprydning kan koste enorme beløp

NSM sammenligner opprydningen i Helse Sør-Øst med de internasjonale milliardkostnadene etter utpressingsviruset i 2017 som blant annet rammet helsesektoren i Storbritannia. WannaCry var akutt farlig fordi det sperret datamaskiner brukt i pasientbehandling, men var også langt mindre sofistikert og mer oversiktlig enn innbruddet hos Helse Sør-Øst.

– Å rydde opp etter et angrep kan være svært omfattende. Fjorårets angrep som er kalt WannaCry traff store virksomheter hardt og deres kostnader kan leses ut av deres årsrapporter, skriver Arnøy.

Filter Nyheter har spurt helseministeren om hvilken størrelsesorden av kostnader helseforetaket har skissert så langt, men Bent Høie vil ikke svare på dette.

«Helse Sør-Øst RHF har hatt tett dialog med Helse- og omsorgsdepartementet om innbruddet og håndtering av dette i perioden etter at det ble oppdaget. Detaljene i denne dialogen ønsker vi ikke å gå inn på», skriver statsråden i en epost til Filter Nyheter, via kommunikasjonsdirektør Arve Paulsen.

På spørsmål om hvem som må ta beslutningen om økonomi sett opp mot risikoen for gjenværende «bakdører», svarer Høie slik:

«Alle virksomheter har et selvstendig ansvar for å risikovurdere sine valg knyttet til IKT».

Politiets sikkerhetstjeneste, som har det formelle ansvaret for etterforskningen av nettverksoperasjonen, vil ikke kommentere status utover opplysningene som ble gitt på en pressekonferanse 16. januar. Da offentliggjorde politiadvokat Line Nyvoll Nygaard at PST jobbet ut fra at utenlandsk spionasje lå bak hackingen.

– Vi har rimelig grunn for til å undersøke om noen til fordel for fremmed stat samler inn opplysninger, som hvis de blir avslørt, kan skade grunnleggende nasjonale interesser, sa Nygaard på pressekonferansen.

  • Filter Nyheter sendte torsdag en e-post til den kinesiske ambassaden i Oslo med spørsmål om hackerangrepet ved Helse Sør-Øst, men henvendelsen er foreløpig ikke besvart.