Under dagen rapporterade Läkartidningen att det dykt upp bilder på datorerna där det stod att de hade tagits över.
– Det var dramatiskt, men vi var snabba att reagera. Det första vi gjorde var att stänga ned alla system. Sedan gick våra vårdverksamheter över till beredskapsrutiner, vilket i praktiken innebar arbete med hjälp av papper och penna. Region Stockholm gick också upp i stabsläge och stängde av oss från sina system, säger Marie Wickman Chantereau, nu pensionerad från Sophiahemmet, men fortfarande gästprofessor vid Sophiahemmet Högskola.
»Vi behövde snabbt isolera de delar som var under attack«, skriver Sophiahemmets vd Johanna Adami.
Hon vill inte ställa upp på en intervju om hackerattacken, men svarar på Läkartidningens frågor via mejl. Vid tiden för attacken var Peter Seger vd, och Johanna Adami tog över den 1 november 2024.
»Våra journalsystem var opåverkade av attacken. Vad som påverkades var administrativa funktioner och telefoni«, skriver Johanna Adami och fortsätter: »Alla planerade vårdbesök, operationer på sjukhuset och utbildningsmoment på högskolan kunde genomföras.«
– Det vanliga arbetet pågick hela tiden. Vi tog emot och behandlade patienter. Men det är klart att arbetet påverkades av att vi jobbade enligt våra beredskapsrutiner, som tog mer tid, berättar Marie Wickman Chantereau.
Den 1 mars rapporterar Läkartidningen att analyser visat att hackerattacken är en så kallad »ransomware«-attack, en utpressningsattack där skadlig programvara förts in och data låsts för användaren, vilket ofta är förenat med någon form av krav för att låsa upp dem.
Några dagar senare stod det klart att hackergruppen Medusa via en skärmdump meddelat Sophiahemmet att de kommit över patientuppgifter och lagt ut dem till försäljning på Darknet, den del av internet som är anonym och medvetet svår att spåra.
Sophiahemmet betalade inte någon lösensumma till hackarna.
»För oss var det aldrig och kommer heller aldrig bli aktuellt att betala någon lösensumma«, skriver Johanna Adami.
En och en halv vecka efter attacken hade Region Stockholm lämnat stabsläget och återanslutit majoriteten av alla vårdgivare på Sophiahemmets sjukhusområde till sina system, och verksamheten kunde fungera som vanligt igen.
Den 12 juni, flera månader efter hackerattacken, skickade Sophiahemmet ut ett pressmeddelande om att de efter egna it-säkerhetsutredningar nu visste vilka filer som angripits och att de skulle skicka ut brev till samtliga berörda vars personuppgifter figurerat i det material som hackarna kommit över. Det berättade också att Sophiahemmet övergått till helt nya it-miljöer efter attacken.
»Inga journalsystem påverkades av attacken. I det stulna materialet fanns däremot personuppgifter, företrädesvis personnummer. I vissa fall kopplat till diagnoskoder eller diagnoser«, skriver de i pressmeddelandet.
»Vi blev bestulna på ett antal filer av administrativ art, till exempel ekonomisk planering, personalscheman, informationsmaterial och kassaredovisningar«, skriver Johanna Adami i sitt mejlsvar.
Det är i dag oklart om dessa data sålts vidare eller fortfarande ligger ute till försäljning på Darknet. Johanna Adami vill varken dementera eller bekräfta saken. Hon hänvisar i stället till att attacken utreds av polis och att uppgifterna är sekretessbelagda.
»Vi ser mycket allvarligt på det brott som Sophiahemmet utsattes för i februari. Ett avancerat brott som genomfördes mot vår infrastruktur. Det är många institutioner, myndigheter och företag som drabbas världen över som har svårt att fullt ut skydda sig mot den här sortens cyberattacker. Den här gången var Sophiahemmet måltavla«, skriver Johanna Adami.
Marie Wickman Chantereau uppmanar alla verksamheter som hanterar känslig information att se över sin cybersäkerhet:
– Man måste ha reservrutiner för oförutsedda händelser, se över sin it-säkerhet, ha reservrutiner för oförutsedda händelser, hela tiden se över sin it-säkerhet och ha rutiner för alla typer av behörigheter, lösenord och tjänstekort samt uppdatera sina virusprogram.
Läs även:
Hackerattacken som skakade samhället
Säkerhetsrådgivaren: Vid byte av journalsystem – ställ krav på cybersäkerheten
