Att stulna kreditkortsuppgifter köps och säljs av bedragare på nätet är inget nytt fenomen. Det är heller ingen nyhet att sjukhus runt om i världen har råkat ut för intrång i sina system och att journaler stulits. Däremot har det varit svårt att se vart denna patientinformation tagit vägen.

– Vi har sett incidenter när det har stulits patientinformation från sjukhus. Då fick vi frågor om vem som köper och säljer. Erbjuds detta på samma ställen där man kan köpa kreditkortsinformation? Så var det inte. Men vi tittade inte på rätt ställen. Rapporten slår fast att det finns en etablerad marknad för det här, säger Christoffer Callender, IT-säkerhetsexpert på Intel Security som står bakom rapporten.

Exakt vad informationen i patientjournaler används till är oklart. Enligt Christoffer Callender är en gissning att informationen kan användas i utpressningssyfte. En annan gissning är att man vill ha tag i sjukjournaler från kändisar eller politiker.

– Vi tar också upp att priset på sjukjournaler är något lägre än för kreditkortsnummer. En förklaring kan vara att man inte köper sjukjournaler styckvis, utan man köper en hel databas med tusentals patientuppgifter. Då blir ju styckpriset lägre. Jag tror också att de som stjäl och säljer är opportunister. De vill tjäna pengar så snabbt som det bara går på informationen, och då kan det vara enklare att omsätta kreditkortsnummer till pengar. Köper man en databas måste någon sitta och gå igenom journalerna en och en.

Hur stort eller litet problemet med stulna patientjournaler är i Sverige går inte heller att säga mycket om i dagsläget. Rapporten, som Computer Sweden tidigare skrivit om, konstaterar att problemet är globalt, och de exempel som finns i rapporten gäller amerikanska vårdinrättningar.

Stölderna av patientuppgifter kan dels ske internt – enligt rapporten annonseras det flitigt efter insiders som kan hjälpa till att stjäla patientinformation – dels kan hoten komma från externa attacker. En möjlig risk och utmaning för IT-säkerheten på vårdinrättningar kan vara förlegade system eller gammal medicinteknisk utrustning.

– Det kanske inte gäller journalsystem specifikt, men på sjukhus finns väldigt mycket medicinteknisk utrustning. En gång i tiden när de sattes upp var de kanske inte designade för att kommunicera på internet. Men i dag är de allra flesta medicintekniska utrustningar på något sätt uppkopplade. Det handlar kanske om gamla operativsystem som till exempel inte säkerhetsuppdateras längre. Det kan vara vägen in, säger Christoffer Callender. 

Många landsting har infört, eller är på väg att införa, e-hälsotjänster där patienterna själva kan få ta del av sina journaler via nätet. Detta behöver nödvändigtvis inte vara ett problem för säkerheten, enligt Christoffer Callender.

– Görs det bara på rätt sätt behöver det inte betyda att man öppnar upp för säkerhetshål. Det är jättebra att man kommer med nya och enkla recept för medborgare att utföra tjänster och komma åt sin information. Det jag tycker är att säkerhet inte får bli något man lägger på efter att man tagit fram systemet. Det har varit en vanlig approach. Har säkerhet inte varit med i grunddesignen blir det ofta inte bra.