DK Nyt
Kommunen.dk
DK Havenergi
DK Vindkraft
DK Social
DK Sundhed
DK Teknik
DK Økonomi
DK Job

Læk af sundhedsdata havnede hos kriminelle

Af alle steder var det i Styrelsen for Patientsikkerhed at en læge ved en fejl sendte fire mails til en modtager, der 'uden for enhver tvivl må antages at være kriminel'
6. SEP 2016 14.04

Et datalæk som i sidste uge fik sundhedsminister Sophie Løhde (V) til at sætte eksterne it-eksperter til at tjekke rutinerne hos personalet i Sundhedsministeriet og alle ministeriets styrelser, er langt alvorligere end det i første omgang er kommet frem. En læge i Styrelsen for Patientsikkerhed kom ikke alene til at sende en mail til en forkert modtager, der var ifølge styrelsens egen redegørelse tale om fire mails til en modtager der 'uden for enhver tvivl må antages at være kriminel'.

Den normale procedure når mails sendes til en forkert adresse er at kontakte den forkerte modtager og sikre sig at denne sletter den pågældende mail. I dette tilfælde har man i stedet af sikkerhedshensyn valgt at lade som ingenting for ikke at skærpe den uberettigede modtagers interesse for de data, der finde i de fire mails.

Miseren opstod fordi en sagsbehandlende læge ikke kunne åbne fire pdf-filer i styrelsens lukkede it-system. Vel vidende at det var et brud på sikkerhedsprocedurerne sendte han filerne til sin private mailadresse i håb om at kunne åbne dem derfra, men på grund af en slåfejl i adressefeltet havnede de fire mails i stedet hos en modtager med et domænenavn svarende til slåfejlen.

Efter nærmere efterforskning over et par dage stod det klart, at domænet var oprettet netop med det formål at opfange mails hvor adressen er skrevet forkert, hvorfor 'enhver yderligere kontakt medfører en blottelse for angreb på vore mailservere, IP-adresser m.v.', hedder det i redegørelsen, der i stedet læner sig op ad håbet om at de kriminelle modtagere muligvis ikke har opdaget hvad det er de har modtaget.

Alvorligt
'Eksempelvis må det formodes, at et primært fokus hos kriminelle er på kreditikortdata og at det ikke er sikkert, at deres systemer registrerer danske cpr-numre indeholdt i de vedhæftede pdf-filer. Forsøg på kontakt vil derfor på uheldig vis henlede deres opmærksom på de data de allerede har modtaget', hedder det i redegørelsen.

I stedet har Styrelsen for Patientsikkerhed iværksat en række foranstaltninger, dels specifikt over for den læge der begik sikkerhedsbruddet og som nu er fjernet fra sagsbehandlingen ikke alene af de fire sager, men i det hele taget, dels generelt i styrelsen hvor mailsystemet nu er spærret for at sende mails til eksterne adresser. I forhold til de berørte borgere hvis data er kompromitteret er de alle orienteret, og det er undersøgt om der kan tegnes id-tyveriforsikring for dem, men det fremgår ikke af redegørelsen hvad udfaldet af dette blev.

Sagen repræsenterer et meget alvorligt sikkerhedsbrud, hvilket forskellige it-eksperter ikke har lagt skjul på over for styrelsen undervejs i håndteringen. Alvoren understreges også af, at Folketingets sundheds- og ældreudvalg blev orienteret om sagen af sundhedsministeren allerede samme dag som Styrelsen for Patientsikkerhed anmeldte den til Datatilsynet.

 

Se ministerens orientering af Folketingets Sundheds- og Ældreudvalg.

Se redegørelsen fra Styrelsen for Patientsikkerhed.