En stor skandal som rör it inom vården rullas just nu upp i framför allt USA och Tyskland. Skandalen har vissa likheter med 1177-fallet som Computer Sweden avslöjade i vintras, men i det nya fallet gäller det inte samtal utan bilder från röntgenundersökningar och mri- och ct-skanningar. Likheten med 1177-fallet ligger i att bilderna i många fall har legat helt öppna på olika servrar, eller skyddats med ett minimum av säkerhet, samt att läckan drabbar miljontals patienter.
Fallet i USA och Tyskland, men även i många andra delar av världen, rör sig kring så kallade pacs-servrar, där pacs står för picture archiving and communication systems. Pacs-servrar tar emot och lagrar bilder och andra patientdata kring bilderna, men öppnar även för att dela informationen mellan läkare, vårdenheter och sjukhus.
Pacs låter läkare och andra specialister dela information och göra olika typer av medicinska bedömningar på distans, till exempel kan en husläkare från sin klinik se bildinformation som tagits på ett sjukhus.
De läckande pacs-systemen upptäcktes först av Dirk Schrader på det tyska it-säkerhetsföretaget Greenbone Networks. Schrader upptäckte läckor i 52 olika länder runt om i världen, bland dessa tre sjukhus och cirka 30 öppna pacs-servrar i Tyskland och 187 pacs-servrar i USA. Inga pacs-servrar i Sverige verkar ingå i läckan.
Schrader delade sin upptäckt med Bayerischer Rundfunk och ProPublica. ProPublicas avslöjande visar att 13,7 miljoner medicinska bilder varit öppet tillgängliga att titta på online, varav över 400 000 bilder har kunnat laddas ned av obehöriga. Allt som allt har man funnit över 16 miljoner bilder världen över, inklusive personuppgifter som namn, födelsedatum och i förekommande fall personnummer. De organisationer vars Pacs-servrar stått öppna riskerar brott mot den amerikanska lagen Health Insurance Portability and Accountability Act, HIPAA.
Forskare har varnat för svag säkerhet i åratal
Att pacs-system utgör en risk är ingen nyhet för vårdsektorn. I åratal har Oleg Pianykh, chef för medicinsk analys på radiologen på Massachusetts General Hospital, varnat för att denna typ av läckor kan inträffa.
2016 publicerade Pianykh en vetenskaplig rapport i en medicinsk tidskrift där han menar att pacs-system har kodats med antagandet att säkerheten för systemet ligger på it-säkerhetssystemen under pacs-servern. När sedan pacs-systemen genom åren kopplats upp mot internet har säkerheten hamnat i händerna på it-säkerhetspersonal som i sin tur gjort antagandet att säkerheten hanteras i pacs-servern. I sin rapport 2016 redogjorde Pianykh för 2 700 osäkra pacs-servrar i USA.
En bild av hur gamla de berörda systemen kan vara kommer från den standard, kallad dicom, som radiologer och leverantörer av bildsystem inom vården etablerade för att standardisera hur utrustningarna ska kommunicera sinsemellan och hur de ska dela information. Detta standard skapades 1985.
Är svenska pacs-system säkra?
Den svenska marknaden för pacs-system domineras av svenska Sectra AB som har en marknadsandel på cirka 70 procent, och även en marknadsandel på cirka fem procent i USA. Det finns ytterligare tre aktörer i Sverige och den sammanlagda installationsbasen i Sverige är cirka 100 pacs-system, varav nästan alla ägs och drivs av landstingen. I Sverige används pacs-systemen utöver röntgen- och mri-bilder, även inom patologin.
Torbjörn Kronander, koncernchef och vd på Sectra AB, säger till Techworld att de inte drabbats av läckorna, varken i USA eller någon annanstans.
– Dessa system kan vara gamla, de utvecklades på 1990-talet och vi gjorde vår första installation 1993. Då tänkte ingen på säkerhet och det hände att man skrev lösenorden på en tavla. Vi har sett hoten mot pacs-systemen komma, men vi har använt vår kunskap från vår försvarsverksamhet för att säkra våra pacs-system, säger Torbjörn Kronander.
– Vad jag vet har läckor från pacs-system aldrig hänt i Sverige. Vi har råkat ut för ett fall av ransomware (gisslanattacker) i USA, och vi var med under ransomware-attacken mot sjukvården i Storbritannien, men inget av dessa berodde på våra system utan på de underliggande operativsystemen.
Skulle det som hände i USA kunna hända i Sverige?
– Det kan hända; de som säger att de har 100 procent säkerhet ljuger, men risken är mycket lägre i Sverige. Vi var tidigt ute med säkerhet inom vården i Sverige och medvetandet är högt, men de ligger tyvärr efter med detta i USA, säger Torbjörn Kronander.
Läs också:
Mätvärden direkt i mobilen sparar tusentals timmar för vården
2,7 miljoner inspelade samtal till 1177 Vårdguiden helt oskyddade på internet
