Det er systemer hos Sykehusparter som har blitt kompromittert i forbindelse med angrepet som digi.no omtalte tidligere i dag. Systemene brukes av Helse Sør-Øst RHF.

Digi.no mottok allerede i helgen informasjon fra en anonym tipser som belyser hva som har skjedd. Blant annet opplyser han at innbruddet skal ha skjedd allerede tidlig i romjula.

Henviser til helseforetaket

Sykehuspartner ønsker ikke å kommentere noe vedrørende denne saken. I stedet henviser kommunikasjonssjef Trude Julie Dommerud digi.no til Gunn Kristin Sande, kommunikasjonsdirektør i Helse Sør-Øst RHF.

Dessverre kan Sande verken bekrefte eller avkrefte særlig mye av informasjonen digi.no har mottatt.

Den anonyme tipseren opplyser til digi.no at Sykehuspartner opprettet krisestab tirsdag den 9. januar, dagen etter at selskapet ble informert om innbruddet av HelseCert (Norsk Helsenett SF). Ifølge tipseren regnes angriperen som en APT (Advanced Persistent Threat), og regnes som en statlig aktør på grunn måten de har opptrådt.

Hele infrastrukturen?

Tipseren hevder at det er bekreftet at ti servere er kompromittert, med lokal administratortilgang. Noen av disse serverne skal ha hatt direkte tilgang til «management-nettverket» hos Sykehuspartner. Tipseren skriver at Sykehuspartner dermed ikke kan utelukke at hele infrastrukturen har blitt «eid», altså at angriperne har fått full kontroll over systemene.

– Fra de ti nevnte serverne er det bekreftet at aktøren har fått overført filer, skriver tipseren.

Digi.no kjenner ikke tipserens bakgrunn eller identitet og har heller ingen mulighet til å sende vedkommende spørsmål. Men det at tipset kom allerede før Helse Sør-Øst RHF offentliggjorde at innbruddet hadde skjedd, tyder på at tipseren har intern informasjon om hendelsen.

Tipseren opplyser også at det antas at det er en statlig aktør i Asia som står bak.

Som nevnt vil ikke Sykehuspartner kommentere noe av dette, og Helse Sør-Øst hadde etter alt å dømme ikke kjennskap til disse detaljene før digi.no tok kontakt.

Perifere systemer

På spørsmål om hva slags systemer og data som er berørt, svarer kommunikasjonsdirektør Sande hos Helse Sør-Øst at dette er noe hun ikke kan kommentere.

Gunn Kristin Sande, kommunikasjonsdirektør hos Helse Sør-Øst. Foto: Helse Sør-Øst

– Nå er det politianmeldt, og dette må politiet se nærmere på, det kommer som en del av den gjennomgangen og etterforskning de har, sier Sande.

I en pressemelding tidligere i dag skriver Helse Sør-Øst at det så langt ikke er noe som tyder på at innbruddet får får konsekvenser for pasientbehandlingen eller pasientsikkerheten.

– Vi har mange ulike systemer. Noen griper så klart rett inn i pasientbehandlingen, mens andre er mer perifere. Foreløpig er det ingenting som tilsier at angrepet berører de kliniske systemene, sier Sande.

Hun kan ikke si noe om hvor lenge angrepet hadde pågått da det ble oppdaget.

– Vi anser dette som et alvorlig angrep, og vi gjør nå det vi kan, både med de beste folkene i Sykehuspartner og annen nasjonal ekspertise, inkludert NorCERT og HelseCERT, for å begrense konsekvensene av det angrepet vi har vært utsatt for, forteller Sande.

Alle tilgjengelige ressurser

Digi.no har også intervjuet administrerende direktør Kjetil Nilsen i Nasjonalt sikkerhetsmyndighet (NSM) om angrepet. Heller ikke han kan fortelle mye.

Kjetil Nilsen, administrerende direktør hos NSM. Bilde: Marius Jørgenrud

– Vi ble tidlig i forrige uke kjent med dette og begynte å jobbe deretter. Gjennom uken og helgen har vi jobbet sammen i Cyberkoordineringssenteret (FCKS), som består av NSM, PST, E-tjenesten og Kripos. Vi utfyller hverandre og koordinerer vår håndtering av hendelsen. Denne koordineringen skjer hos oss her i Oslo. Vi har satt inn alle tilgjengelige ressurser for å bistå helsemyndighetene i anledning saken, sier Nilsen til digi.no.

Nilsen kan verken kommentere hvor angrepet stammer fram eller hvem som står bak. Det er altfor tidlig å komme med konklusjoner, fremholder han.

– Det vi kan si er at det er en aktør som er avansert og som har ressurser. Jeg kan ikke kommentere detaljer i saken slik den står nå. Det som er på det rene er at det er et alvorlig angrep.

For tidlig

Nilsen vil verken gå nærmere inn på angrepsvektor eller teknikk som er brukt i datainnbruddet. Han ønsker heller ikke å bruke begrepet ATP om angriperen.

– Jeg vil ikke bruke det begrepet, det er for tidlig. Vi har selvfølgelig noen hypoteser. Vi kan heller ikke gå i detaljer om hvordan innbrudd har skjedd og angrepsvektor. Vi jobber med undersøkelsene og holder flere muligheter åpne, sier han.

– Er det indikasjoner på om data er blitt hentet ut?

– Vi kan heller ikke gå inn i det, men kan ikke utelukke noe.

– Er andre aktører enn Sykehuspartner og Helse Sør-Øst berørt av denne hendelsen?

– Vi jobber med undersøkelser, men kan ikke bekrefte det så langt. Men vi kan heller ikke utelukke det.