Det unga paret tittar förväntansfullt på ultraljudsbilden på skärmen medan sköterskan för handenheten runt i gelén på den blivande mammans mage. Är det en pojke eller flicka? Eftersom denna ultraljudsmaskin kör en sedan länge opatchad version av Windows 2000 blir svaret knappast vad någon av de närvarande hade förväntat sig. På bilden framträder en visualisering av ett gisslanprogram.

Scenariot med ultraljudsmaskinen är fullt realistiskt. Det finns exempel på hur förövare planterat in ransomware i maskinerna, och sjukhusen har fått betala lösensumma för att kunna använda maskinen igen. Dessutom är det lukrativt bland cyberkriminella att stjäla medicinska data eftersom de är värdefulla på den svarta marknaden för personuppgifter. I andra exempel har förövarna bytt ut bilderna som sparas i maskinens lagringsenheter.

Problemet är att det ofta rör sig om kanske 20 år gamla system som är licensierade med gamla operativsystem som Windows 2000 och XP. Dessa system patchas aldrig eftersom de är licensierade och medicinskt certifierade med specifika versioner av mjukvaran, och i många fall är operativsystemen så gamla att det inte finns patchar i alla fall.

– Jag skulle åtminstone känna mig lite bättre om de körde Linux, men det är sällan man ser det, säger Fredrik Johansson, it-säkerhetsexpert på Check Point.

– Vår upptäckt av sårbarheter i ultraljudsmaskiner sammanfattar en stor del av problematiken när det gäller teknisk sjukvårdsutrustning, säger Fredrik Johansson. När utrustningen köps in är den testad och certifierad av leverantören, och ska hålla i många år, men när utrustningen efter en tid måste omcertifieras är det väldigt kostsamt. Detta innebär att sjukvården ofta prioriterar bort nödvändiga uppdateringar, och därför går miste om it-säkerhet som skulle förhindra cyberhoten.

Det Check Point har gjort är att ta en ultraljudsmaskin med Windows 2000 som operativsystem och i sitt testlabb utnyttjat gamla sårbarheter i operativsystemet för att komma in i systemet och i stort sett göra vad man vill. Även om testet utfördes i USA ser det snarlikt ut i Sverige, enligt Fredrik Johansson.

– Det ser likadant ut i Sverige eftersom man köper in maskiner från samma leverantörer som i övriga världen.

– Det man borde göra, utöver att hålla sig med fräscha mjukvaror, är att segmentera nätverken så att maskinerna hålls i separata nätverk. Men det är så mycket beroenden mellan systemen att det blir svårt. Ibland ser man att man segmenterat nätverket för maskiner från en viss leverantör, till exempel Siemens, men så fort de ska kunna kommunicera med en maskin från exempelvis GE så måste man öppna upp, och då är man tillbaka i samma problem.

Med så mycket känsliga data är sjukvården det perfekta målet.

Tyvärr är detta ytterst komplicerat att genomföra, eftersom man då måste veta alla beroenden och kopplingar som utrustningen har till annan kringliggande utrustning. De cyberkriminella känner till bristerna, och med så mycket känsliga data är sjukvården det perfekta målet. Detta kräver en helt annan säkerhetsstrategi som står emot de allt mer sofistikerade hoten.

Nya maskiner kan vara bättre, men det är långt ifrån säkert, de kan mycket väl vara licensierade med gamla operativsystem, och det vill man helst inte ändra på för då måste maskinen ha en ny certifiering för att få användas inom vården. Alltså kör man på med gamla opatchade operativsystem.

Vissa landsting har kommit längre än andra, säger Fredrik Johansson, men det ser väldigt olika ut. Maskinerna köps in för sina medicinska ändamål, it-säkerhet kommer längre ned i kravspecifikationen, och de som avgör vilka maskiner som ska köpas in har sällan de kunskaper inom it-säkerhet som krävs. Samtidigt har it sällan koll på vilka medicinska maskiner som köps och var och hur de används inom organisationen.

Cyberattacker mot sjukvården är långtifrån hypotetiska scenarier; det sker närmast varje vecka. Det senaste exemplet på en större attack var attacken mot Melbourne Heart Group i Australien som fick sina data krypterade av gisslanprogram. Tidigare har två attacker mot vårdinrättningar i Singapore skapat uppmärksamhet där miljontals journaler stals av de cyberkriminella, bland dem journalen för Singapores premiärminister Lee Hsien Loong och flera andra ministrar.

Läs också:
Experter: 1177-läckan bara en del av ett mycket större vård-it-kaos
Tieto uppgraderar omsorgsfullt i Skellefteå