Ja, det har funnits en säkerhetsbrist i Stockholms läns landsting. Nej, det har inte lett till några intrång. Det är det kortfattade budskapet när Stockholms landstingsförvaltning slår tillbaka mot de uppgifter som DN tidigare publicerat om att journalsystemet stått vidöppet för intrång under åtta månader.

Som Computer Sweden tidigare rapporterat skickade landstinget i slutet av förra veckan ut en lägesrapport där de uppgifterna tillbakavisas.

Landstinget konstaterar det stämmer så långt att det uppstått en säkerhetslucka mellan Karolinska Universitetssjukhuset och Karolinska Institutet. Det handlar om att det saknats en brandvägg sedan ett nätverksarbete i slutet av oktober i fjol. Det upptäcktes inte förrän i juni då det gick ett larm om otillåten trafik i landstingets interna nät.

Däremot tillbakavisas DNs uppgifter om att en sniffer, ett spårningsverktyg som hållit koll på all trafik, skulle placerats inne på landstingets server eller att det skulla ha funnits trojaner där.

– Den rapport från Karolinska Universitetssjukhuset som DN baserar sina artiklar på är alldeles för grund i sin analys, säger biträdande förvaltningschef Anders Nyström som ansvarar för it-säkerhetsarbetet i landstinget.

Han säger att det värsta tänkbara scenariot, att servrarna skulle stått öppna, kunde avfärdas någon dag efter att säkerhetslarmet gått.

– Däremot kunde vi inte säga med hundraprocentig säkerhet att inget intrång skett.

I augusti anlitade landstinget tre konsultfirmor – två har analyserat vad som hänt med olika metoder och verktyg och en tredje har kontrollerat de andras arbete. Alla har kommit till slutsatsen att den tekniska designen förhindrat intrång i journalsystemet.

– Det är helt enkelt inte tekniskt möjligt att ta sig in på det sättet som befarades, säger konsulten Mikael Simovits från Simovits Consulting.
Han förklarat uppgifterna om en sniffer med att det handlar om ett rent missförstånd.

– När analysverktyget gjorde protokollet läsbart använde det ordet snifferclient – det betydde inte att det låg en sniffer där utan det pekade i själva verket på en reklambild.

I dag drogs slutsatserna i rapporten också för landstingspolitikerna.

– Det blev en diskussion kring hur ledningen ska informeras i såna här frågor. Landstingsdirektören fick i uppdrag att se över it-rutinerna när det gäller det, säger Anders Nyström.

Politikerna i landstingets arbetsutskott var heller inte nöjda med rapporten utan Moderaterna, Folkpartiet, Kristdemokraterna, Socialdemokraterna och Miljöpartiet som närvarade vid mötet vill se ytterligare en rapport för att försäkra sig om att inga uppgifter läckt ut. Moderate finanslandstingsrådet Torbjörn Rosdahl säger till DN att rapporten ska vara klar före jul.

Så ett tydligt resultat av säkerhetsmissen är att landstinget lär få en dyr konsultnota som det knappast är budgeterat för.

– Vår interna it-avdelning har lagt runt 400 arbetstimmar på att analysera det här och konsultföretagen runt 1 000 timmar, säger Anders Nyström.

Fakta

- Efter ett nätverksarbete i oktober 2012 har det saknats en brandvägg mellan Karolinska Universitetssjukhuset och Karolinska Institutet. Det upptäcktes först den 26 juni i år då det gick ett larm om otillåten trafik i landstingets interna nät. Säkerhetsmissen åtgärdades natten till den 27 juni.

- En första utredning genomfördes av personal vid Karolinska
Universitetssjukhuset och Stockholms läns landstings it-avdelning för att försöka förstå konsekvenserna av bristen. Enligt landstinget utgick den ifrån det värsta möjliga scenariot och man kontaktade också polis och åklagare.

- I augusti tillsätter Landstingsstyrelsens förvaltning och Karolinska Universitetssjukhuset en särskild utredning för att kontrollera om det skett några dataintrång. Tre konsultföretag anlitas.

- I förra veckan skriver DN om att journalsystemet legat vidöppet i åtta månader och stöder sig på den första rapporten och källor.

- Landstingsförvaltningen tillbakavisar uppgifterna och publicerar en lägesrapport från de konsulter de anlitat för att analysera händelserna.

- Politikerna nöjer sig inte med rapporten utan beställer ytterligare en utredning som ska vara klar före jul.