2.7 miljoner integritetskänsliga, inspelade telefonsamtal till 1177 Vårdguiden ligger helt öppet, oskyddade på en server på internet. Hur är det överhuvudtaget möjligt och frågan är inte om detta är ett lagbrott utan vem som ska dömas för det?
Inom vården råder omvänd sekretess som betyder att allt är hemligt, belagt med sekretess om inte motsatsen sägs. Det är alltså tvärtom mot hur information hanteras i de flera andra sammanhang. 2.7 miljoner inspelade telefonsamtal, ända sedan 2013 ligger oskyddade på nätet tillsammans med telefonnummer och annan information om 57 000 individer. Det är telefonsamtal som oroliga vårdsökande ringt till 1177 Vårdguiden där de berättar om vilka mediciner de tar, vilka symtom de har och en rad andra personliga och känsliga detaljer.
Kosekvenserna
Konsekvenserna, skadan och hur länge filerna legat på nätet, vilka som kan ha laddat ned dem och vart informationen sedan kan ha tagit vägen vet vi inte. Vi vet bara att mycket könslig information mycket väl kan ha hamnat i orätta händer efter upprörande missar av alla inblandade. Det som dessutom är mycket upprörande är att när Computer Sweden, som gjort avslöjandet, så förnekas uppgifterna kategoriskt och sedan läggs luften på.
– Vi har kollat upp detta med vår it, och det du säger är helt omöjligt, säger Davide Nyblom vd på Medicall.
Men jag har ju filerna framför mig nu?
– Jag har kollat med vår it och det kan inte hända.
Vill du att jag ska spela upp en fil?
Här lägger Davide Nyblom på luren.
Det är två saker som jag inte förstår:
- hur filerna kan ha hamnat på nätet, oskyddade
- hur en VD kan hantera en larmrapport om en oerhört allvarlig informationläcka på detta sätt
Av Computer Swedens rapportering framgår att det handlat om en lagring i realtid, dvs tidningen har kunnat se att nya samtal lagts till och lagrats, färska samtal. Det tyder på att det inte handlar om en säkerhetskopia som har hanterats slarvigt och utan kontroll utan lagringen ingår i det system som 1177 Vårdguiden använder för verksamheten.
Publicerade
Adresserna till den aktuella servern finns publicerad på forum ute på nätet där det också påstås att alla filer ska ha laddats ned. Ta nu de uppgifterna med en rejäl nypa salt. Det händer ofta att enskilda användare på forum och i debatter kastar ur sig påståenden för att göra sig lite mer intressanta. Det är inte detsamma som att det inte kan ha hänt. Uteslut inte att alla de lagrade filerna kan ha laddats ned och hamnat i orätta händer.
Jag förstår HUR det har hänt, det räcker med en felinställd port i en router, eller att en port forward i brandväggen gjort antigen fel eller kanske har legat kvar sedan den använts för annat tidigare. Det är dock ett rookie-misstag som enbart en nybörjare skulle göra, och att inte ha NÅGON säkerhet påslaget i det interna nätet är det ju någon som aktivt slagit av, kan inte tänka mig det finns NAS-enheter som default har noll säkerhet. Ansvaret borde ligga till 100% på det svenska bolaget som har avtal med Vårdguiden, att de sedan out-sourcat det vidare är ju… Läs mer »
Absolut, tekniskt så går det att förstå men hur det är möjligt i ett företag som hanterar sekretessbelagd information är obegripligt.