Stoppa patientjournaler på nätet!

Drastisk rubrik men det är allvar.

Flera initiativ för att göra strikt personlig och kanske intim information från vårdens patientjournaler tillgängligt via internet har tagits där patienten själv skall kunna ta del. Bl.a. via vårdportalen 1177.se och Mina vårdkontakter erbjuder flera landsting och regioner sina innevånare att ta del av sina patientjournaler. Vidare pågår projektet "Hälsa för mig" på uppdrag av eHälsomyndigheten. I båda sammanhangen bedyras att man har "säkra" inloggningslösningar men detta garanterar inte att lösningen i sin helhet är säker.

Man kan tvärt om påstå att det inte finns webbplatser som över tid är säkra. Alla webbplatser har sårbarheter, oftast i mängd som möjliggör för en angripare att komma åt eller manipulera information på webbplatsen. Att en webbplats inte blivit blivit angripen betyder inte att den är osårbar, det är bara så att sårbarheterna har ännu inte upptäckts. Det pågår hela tiden en kapplöpning mellan programvaruutvecklare/leverantörer och de som med olika motiv vill hitta sårbarheter. Ibland får leverantörerna kännedom om sårbarheter och hinner skicka ut uppdateringar till användare, i bland kommer onda krafter över dem först och kan utnyttja dem under en tid för sina egna syften. Det finns gott om exempel där högprofilerade verksamheter med god säkerhetskultur fått objudna besök som ställt till svår skada. Exempel på detta är  Sony och  Pentagon. 

Svenska vårjournaler kanske inte är lika intressanta att komma åt som den informationen som stulits i de nämnda exemplen. Men enstaka eller mängder av journaluppgifter kan användas för utpressning eller för att misskreditera patienter/medborgare. Ett angrepp som blir känt skulle också underminera förtroendet för vårdgivaren. 

I företag som har en kommersiell verksamhet görs ofta riskanalyser där sannolikheten för en skada eller angrepp vägs mot den kostnad som skadan/angreppet kan förorsaka verksamheten och utifrån detta vidtas skyddsåtgärder.

Skulle patienters journalinformation läcka så vållar det inte speciellt stor ekonomisk skada för vårdgivaren men skadan för den enskilde kan vara oerhörd och inte möjlig att mäta i pengar. Det är helt enkel omöjligt att göra en rättvisande riskanalys i detta sammanhang. 

De initiativ att göra informationen tillgänglig bygger ofta på politikers eller tjänstemäns ambitioner att skapa nya moderna lösningar. Det har inte hörts några stora offentliga upprop om "journaler på nätet" och väldigt lite om samhällsnyttan. 

Så stoppa patientjournaler på nätet! 

Veckans dystopi

Den stora kollektiva oron i väst är för närvarande utvecklingen i Ryssland och IS framväxt. Det finns en osäkerhet i vartåt vi är på väg och vad som kommer att hända. Tidigare var kärnvapenmakterna som hade kontrollen över värden men det rådde en maktbalans så oroligheter och krig blev ganska begränsade. Reella maktcentra var lika med nationalstaterna, medborgarna hölls lugna med positiv utveckling alternativ repressiva metoder. Senaste decennierna har detta krakelerat, gränslös terrorism har utvecklas, ofta med religiösa förtecken.
Den tidigare dominerande vapenmakten har kompletterats med nya verktyg som ofta förutsätter internet. Både nationalstater och terrorgrupper jobbar nu med informationskrigföring där målet ofta är att sprida rykten och osäkerhet för att undergräva befintlig makt.
Ytterligare en metod som börjar utvecklas är IT-krigföring vars mål främst är att vara samhällsdestabiliserande och tillsammans med informationsoperationer minska behovet av kostnadskrävande vapenmakt för att ta makten ett samhälle eller nation.

Supermakterna förbereder sig för och kan redan vara aktiva med IT-krigsoperationer.
Men många fler har de kunskaper som behövs."Hackerattacker" blir mer och mer spekulativa. Sårbarheter som kan utnyttjas verkar vara outtömliga, "Everything Is Broken" kan vara en realitet.

Hackergrupper är idag begränsat stora och har olika inriktning, tidigare var nätvandalism dominerande, något som var besvärande men i huvudsak ganska ofarligt. Nu har fokus flyttats till olika former av ekonomisk brottslighet där målet är att berika sig själv. En ökad framgångsrik men inte speciellt organiserad verksamhet är vad "Anonymous" ägnar sig åt. Ofta följer Anonymous attacker på upprop om att utifrån politiska eller moraliska argument göra riktade angrepp mot ett angivet mål. De som känner sig manade gör då det dom kan, mer organisation behövs inte.

Men här kan man se gryende maktcentra i paritet med våra supermakter. Den som karismatiskt kan formulera en ideologi som appellerar till tillräckligt många "hackers" och "nättroll" kan förmodligen skapa en plattform som är kraftfullare än Putins...