Maria Bjurö. Foto: Jann Lipka/TLV

– Vi fick ett meddelande om hackerattacken på lördag morgon. Då låg de flesta av våra mest kritiska digitala system samt diariet nere, säger Maria Bjurö, kommunikationschef på Tandvårds- och läkemedelsförmånsverket (TLV) ett år efter attacken.

TLV:s pris- och beslutsdatabas för läkemedel och förbrukningsartiklar hade slagits ut. Anmälningsfunktionen för otillgänglighet av periodens vara (utbytbara läkemedel med lägst pris) fungerade inte. Läkemedelsföretagen kunde inte heller göra en e-ansökan om pris och subvention för läkemedel. TLV:s verksamhet tvingades i flera fall att gå över till manuell hantering.

 Men TLV hade även problem med sina administrativa system.

– Efter några dagar fick vi reda på att ganska stora mängder information var permanent förlorad, bland annat hela vårt diarium. Materialet var krypterat och gick inte att låsa upp. Även våra »backup«-lösningar var drabbade, så det blev väldigt stora effekter. Men vi fick inga indikationer om att data läckt ut, säger Maria Bjurö.

TLV drabbades även, precis som många andra myndigheter, genom att hr-systemet Primula, som administreras av Statens servicecenter, slutade fungera. 

– Det tog några veckor innan det löste sig, men alla medarbetare på TLV fick ut sin månadslön, säger Maria Bjurö.

Andra it-problem varade i månader.

– Innan vi fick åtkomst till de mest akuta systemen dröjde det cirka en månad. Ett år senare pågår fortfarande återställningsarbete, även om verksamheten successivt återgått till ett mer normalt läge, säger Maria Bjurö.

Den 29 oktober 2024, tio månader efter hackerattacken, presenterade TLV en rapport som analyserade incidentens kostnader för samhället. Enligt rapporten uppgick kostnaden för driftstörningarna i »periodens vara«-systemet till drygt 110 miljoner kronor. 

»Vår analys visar att it-attacken inte bara fick stora ekonomiska konsekvenser för TLV som myndighet, utan även för läkemedelsförmånerna, patienterna och aktörerna inom läkemedelsområdet«, säger TLV:s generaldirektör Agneta Karlsson i ett pressmeddelande om rapporten.

Region Sörmland är en annan Tietoevry-kund som drabbades av attacken. Hos dem påverkas bland annat Prator, det informationsöverföringsverktyg som används för att skriva ut patienter från sjukhusen, psykiatrin och primärvården och föra över dem till kommunerna. 

Urban Petrén. Foto: Region Sörmland

– Det tog tid innan Tietoevry fick ut information. Det var först senare som det uppdagades att det handlade om en »ransomware«-attack, det vill säga att dataservern blivit krypterad, säger Urban Petrén, it-direktör i Region Sörmland.

Inga känsliga personuppgifter hade dock läckt ut till hackarna. 

– Vi hade en tät dialog med Tietoevry om det, säger han.

För att patienterna och sjukvården skulle påverkas så lite som möjligt av driftstörningen gick verksamheten över till reservrutiner.

– Vi gick upp i stabsläge för att kunna etablera nya arbetssätt, till exempel för hur vi skulle kommunicera med kommunerna genom andra it-verktyg, säger Urban Petrén.

Ytterligare tre regioner, Blekinge, Västerbotten och Västernorrland, som också använde verktyget Prator, drabbades av hackerattacken.

– Vi hade ett nära samarbete och hjälpte varandra. Under en övergångsperiod kunde vi använda tjänster från en annan region.

Den 7 februari, mer än två veckor efter attacken mot Tietoevry, avslutade Region Sörmland stabsläget och de drabbade systemen kunde åter tas i drift.

– Naturligtvis kan det ha varit någon patient som fick stanna kvar lite längre på sjukhus, men de utsattes ju inte för någon medicinsk fara, säger Urban Petrén.

I slutet av oktober 2024 skickade de fyra regionerna som använde Prator en gemensam skrivelse till Tietoevry, där de tillsammans krävde 12,5 miljoner kronor i ersättning för att systemet varit otillgängligt i flera veckor. 

Nu har parterna förlikats i ett avtal, men vad de kommit överens om är sekretessbelagt.

Även andra berörda kunder har krävt skadestånd av Tietoevry efter attacken. I den senaste kvartalsrapporten (Q3, som kom hösten 2024) beräknade företaget att kostnaden för ersättningar kommer att uppgå till omkring 10 miljoner euro, motsvarande drygt 115 miljoner kronor. 

Några av Tietoevrys kunder har också bytt it-leverantör.

Tietoevry vill ett år efter hackerattacken inte ställa upp på någon intervju med Läkartidningen, men svarar skriftligt på frågor via mejl.

Venke Bordal. Foto: Tietoevry

»Vi beklagar djupt de utmaningar som denna kriminella attack orsakade våra kunder och alla grupper och individer som drabbades som en konsekvens av denna«, skriver Venke Bordal, Sverigechef på Tietoevry Tech Services.

Hon bekräftar att en polisutredning pågår och förklarar vidare att Tietoevry under de fyra första dygnen lyckades återställa mer än 90 procent av servrarna som påverkades av hackerattacken och att nästan alla Tietoevrys kunders tjänster var helt återställda i mitten av mars.

Venke Bordal menar också att Tietoevry dragit flera lärdomar av hackerattacken.

Hon framhåller även att Tietoevry kommer att fortsätta investera i och utveckla sin cybersäkerhet samt genomföra regelbundna krisövningar med olika scenarier och medarbetargrupper.

»Det har varit en effektiv påminnelse om att oavsett hur förberedd man är, kan ingen vara 100 procent förberedd för en sådan situation och de känslor det kan väcka«, skriver hon. 

TLV och Region Sörmland har också dragit lärdomar av attacken, bland annat att det är viktigt med starkare styrning och kravställning vid upphandling av it-leverantörer.

– När vi gör upphandlingar i dag så beaktar vi informationssäkerhetsfrågor på ett helt annat sätt än tidigare. Vi värderar hur kritiskt ett system är och vad vi ska ställa för krav på att en leverantör ska arbeta med sin it-miljö för att förebygga risker, säger Urban Petrén i Region Sörmland.

Han påpekar också att det är viktigt att ha en dialog i förväg om hur prioriteringen mellan olika kunder ser ut när alla tjänster från en stor it-leverantör går ned. 

– Vi har lärt oss att sådana här driftstörningar kan pågå längre tid än vad vi föreställt oss och att vi behöver förstärka vår kontinuitetsplanering för att bli mindre sårbara och öka robustheten i läkemedelskedjan, säger Maria Bjurö på TLV.

Läs även:
Chefsläkare om hackerattacken: »Det var dramatiskt«
Säkerhetsrådgivaren: Vid byte av journalsystem – ställ krav på cybersäkerheten

De påverkades av hackerattacken 

It-leverantören Tietoevry har kunder inom privat och offentlig sektor i mer än 90 länder. Hackerattacken mot deras serverhall i Sverige påverkade kunder inom olika branscher. Företaget vill inte, av respekt för kundrelationer och avtal, berätta hur många som drabbades. Här är några av dem, enligt nyhetsrapporteringen.

Myndigheter: Statens servicecenter (hr-systemet Primula, som används av 120 myndigheter) och Tandvårds- och läkemedelsförmånsverket.

Regioner: Region Blekinge, Region Sörmland, Region Uppsala, Region Västerbotten, Region Västernorrland.a

Kommuner: Bjuvs kommun, Vellinge kommun.

Företag: Filmstaden, Granngården, Läkartidningen, Rusta, Stadium.

Källa: Läkartidningen, TT Nyhetsbyrån, Tietoevry