Att det finns en marknad för kreditkortsuppgifter på det som kallas dark web, den mörka osökbara delen av internet, är väl känt. Men trots att man sett att det gjorts intrång där databaser med patientjournaler har stulits så har det inte funnits några spår av det i de forum där kreditkortsuppgifterna säljs.

Nu slår Intel Security fast i en rapport att det finns en etablerad marknad även för patientjournaler som ligger avskilt på ett helt annat ställe på den mörka webben.

De exempel som finns i rapporten handlar om amerikanska vårdinrättningar men intrång drabbar vården runtom i hela världen enligt Intel Security.

Kostnaden för patientuppgifterna är dock lägre än för kreditkortsuppgifter. En patientjournal kan säljas för några ören upp till en dryg tjugolapp styck medan kreditkortsuppgifter säljs för uppåt 50 kronor styck.

– Patientjournaler säljs heller inte styckvis utan det är hela databaser som säljs vilket ju håller ner styckpriset, säger Christoffer Callender, it-säkerhetsexpert på Intel Security.

– Det är enkelt att komma åt dem och vi kan se att det utförs rena beställningsjobb.

Läs också: Windows-uppdatering bakom jättehaveriet på Uppsalas sjukhus

Men trots att man nu lyckats hitta en marknadsplats är det fortfarande oklart vad uppgifterna används till.

En teori är utpressning men det är inget man faktiskt vet.

– Det här handlar om databaser med mellan 10 000 och 100 000 journaler och det troliga är att man måste gå igenom dem för att få fram användbar information, säger Christoffer Callender.

– Man kan också tänka sig att en del beställningar handlar om att man känner till att någon känd person behandlas på ett speciellt sjukhus och så ser man till att ta hela databasen därifrån för att komma åt just den journalen.

Omfattningen av intrången är inte kända men trenden är stigande enligt Christoffer Callender.

– Och går jag till mig personligen så är det ju en sak att bli av med kreditkortsuppgifter, de kan ju spärras och så får man ett nytt kort. Bankerna är ju också benägna att ersätta om det är så. Men min patientjournal kan jag ju inte spärra.

Ett bekymmer är att systemen i vården ofta är omoderna och det gör dem än mer sårbara för attacker.

Christoffer Callender
Christoffer Callender.

– Många av systemen är väldigt gamla och när de skapades var de inte designade för att kommunicera på internet. Trots att de kopplats upp går det ofta inte att installera traditionella antivirus. I många fall handlar det om att leverantörerna av systemen inte tillåter det eftersom det handlar om medicinteknik och de inte kan garantera att allt fungerar som det ska om det läggs på antivirus, säger han.

Men det problemet har också haft något gott med sig eftersom det lett till att vården i stället börjat arbeta med en mer proaktiv metod, nämligen vitlistning. Det innebär att enbart godkända program får köras och alla andra stoppas i stället för att att bara de program som är bevisat skadliga och svartlistade stoppas.

Nordisk sjukvård är också bättre på att använda vitlistning än resten av världen. I dag används det, enligt vad organisationerna själva har uppgett till Intel Security, på hälften av alla servrar och klienter jämfört med rapportens globala nivå på 17 procent på klienter och 23 procent på servrar.

– Det är väldigt positivt och jag är jätteglad att vi har kommit så långt inom vitlistning. säger Christoffer Callender.

Läs också: Nu struntar ransomware i de anställdas datorer – går direkt på företagets servrar

Han framhåller att vården i Norden generellt också har en hög säkerhetsmedvetenhet.

– Här har man insett att det är dags att tänka om och tänka nytt. För bara några år sedan handlade de flesta konversationer jag hade om antivirus och brandväggar men nu handlar alla konversationer om hur man arbetar mer proaktivt. Inte bara reagerar på larm utan analyserar loggar och söker efter de intrångsförsök som flyger under radarn.

Vården i Norden har också kommit längre när det gäller att automatiskt meddela varandra informatiomn kring intrångsförsök. 60 procent delar hotanalyser med varandra mot 30 procent globalt.

– Allt handlar om att agera så snabbt som möjligt, precis som när någon får en hjärtinfarkt och ju snabbare man får behandling ju större är chansen att klara sig från bestående men, säger Christoffer Callender.

Målet är att detektera en attack inom en timme och avgöra omfattning, vilka system som är påverkade och hur den tagit sig in.

– I dag tar det här i bästa fall dagar i sämsta fall månader. Men med olika typer av lösningar kan det ske med automatik. Och en viktig del är också att just kunna dela informationen inte bara internt utan också externt och där ligger vi uppenbarligen långt fram, säger han.