Företag lagrade vårdsamtal på öppen server

Marcus Olsson,

Ingen kan väl vid det här laget ha missat Computer Swedens publicering kring härvan kring vårdbolagen Medicall och Medhelp samt IT-företagen Voice Integrate Nordic AB/Applion AB.

Här finns artikeln i sin helhet.

I korthet vad som har hänt är att de som tillhandahöll systemen har haft ljudinspelningar från 1177 Vårdguiden lagrade på en server helt publikt, utan krav på lösenord eller någon annan form av autentisering. Vad kanske ännu värre är att ca. 57000 av filnamnen innehåller telefonnumret till inringar vilket gör personerna i samtalen direkt identifierbara.

1177 Vårdguiden logo

Givetvis är det hela ett fullkomligt fiasko, hur någon lyckas med bedriften att lägga såpass känslig data helt öppet är ett stort frågetecken. Min första tanke är att något måste ha gjort det med vilje, t.ex. att det fanns behov för någon/några att ta del av dem externt och att man då tyckte att ha det helt upplåst var det bästa alternativet.

Givetvis bryter detta mot flera lagar, principer och normer; inte minst GDPR och patientsäkerhetslagen. Men då Medicall dessutom är placerade i Thailand undrar man också lite kring vilken typ av data som lagras och passerar genom det landet då Thailand inte räknas med säkra "tredjeländer" i EUs datalagringsdirektiv.

Tyvärr är man inte det minsta förvånad. När denna typer av upphandlingar sker så är det oftast den lägsta offerten som tar hem kontraktet utan några direkt extra kontroller eller kvalitétssäkringar.

Detta har jag själv sett på nära hand just inom callcenterbranchen hur först en försäljning görs för att först därefter hitta en lämplig produkt att leverera till kunden, där väljs en sedan gratis open source-produkt som man inte riktigt själv vet hur den fungerar för leverans. "Billigt och bra" tycker man då.

Måste även nämna att i SVTs inslag igår kväll (länk död) så pratade de med just Voice Integrate Nordic AB VD Tommy Ekström. Något bisarrt sade han bl.a:

— Det är ingen vanlig internetsida där man bara kan söka, utan man måste ha adressen.
– Du tror inte att någon har tagit del av samtalen?
– Nej, absolut inte.

Även här visar det på verklig inkompetens och att de förmodligen inte vet hur sina egna system eller ens tekniken fungerar. Ligger någonting öppet på internet (i det här fallet direkt i roten på en IP-adress dessutom) så ska man utgå ifrån att allt där är komprimerat. När det dessutom har legat öppet under så lång tid så måste man anta till 100% att någon som tidigare har tagit del av datan.

Viktigt att poängtera här är att Landstingen får rättfärdig men kanske lite mycket kritik. Givetvis får man anta att de har avtal och villkor på plats som stipulerar hur patientdata får lagras och hanteras. Om det sedan är en underleverantör som väljer att avvika från detta och inte i detalj går igenom det med Landstinget är det i princip omöjligt för beställaren att upptäcka dessa typer av brister även när/om en kontroll sker.

Man får hoppas att detta resulterar i både böter och fängelsestraff (och givetvis att de blir av med de upphandlade kontrakten) för de inblandade då detta utan tvekan är den största (kända) läckan av sekretessbelagd information hittills i Sverige – som utan konsekvenser och åtgärder mycket väl kan rubba förtroende för både tekniken i sin helhet och för de ansvariga myndigheterna.

Uppdaterad: 2019-02-19

Även DN har under dagen fått tag på Tommy Ekström (VD för Voice Integrate Nordic) och publicerat en intervju. Läs och förundras över hur märkligt de väljer att porträttera vad som har hänt, inger inget vidare förtroende eller ens att de förstår vidden av det hela.

Anne-Marie Eklund Löwinder från Internetstiftelsen stämmer in.

Två favoritcitat från intervjun:

[...] Vanliga personer klarade inte av det, men de som kan sådant här kunde göra något slags speciell kommandorörelse och slinka in bakvägen.

och

... någon under en uppdatering helt enkelt stoppat in en internetsladd i hårddisken.

... Wow...

Uppdaterad: 2019-02-20

Sveriges Radio rapporterar att Medhelp avslutar sitt avtal med Voice Integrate Nordic AB, inte särskilt överraskande. I sändningen framkom även att Landstinget faktiskt har godkänt Voice Integrate Nordic AB som en underleverantör till Medhelp. Ska bli spännande att ta del av vilken typ av granskning som skedde i.o.m. detta.

CERT-SE (Myndigheten för Samhällsskydd och Beredskaps CSIRT) frånsäger sig också informationen om att de ska ha säkerhetsgranskat Voice Integrate Nordic AB (vilket de antagligen har påstått.) Länk till deras pressmeddelande. Vad CERT-SE har gjort är att påpeka brister i deras IT-säkerhet.

Härvan blir mer och mer tragikomisk för varje dag.

Uppdaterad: 2019-02-21

Komiken fortsätter. Nu stämmer Medhelp Computer Sweden för dataintrång, publikationen som först avslöjade läckan av data.

Det vore lite som att anmäla en brandman som går in i ens hus för att släcka en brand för inbrott.

De borde istället stämma sin underleverantör Voice Integrate Nordic AB som faktiskt startade branden istället.