
SVÆRT ALVORLIG: Datainnbruddet hos Helse Sør-Øst beskrives som svært alvorlig. Hackerne har gått etter pasientjournaler og også lett etter forsvarsrelatert informasjon. Cyberangrepet skal ha pågått en stund før det ble oppdaget, opplyser informerte kilder. Illustrasjonsfoto: SHUTTERSTOCK
Hackerne som stod bak datainnbruddet hos Helse Sør-Øst gikk systematisk etter pasientjournaler og informasjon om helsevesenets samarbeid med Forsvaret, blant annet knyttet til store militærøvelser. Hackerne har hatt tilgang til dataservere i det regionale helseforetaket i «noen tid», opplyser kilder til Aldrimer.no.
Av KJETIL STORMARK / kjetil@aldrimer.no
Datainnbruddet i Helse Sør-Øst RHF, som forvalter sensitive pasientopplysninger for 2,9 millioner nordmenn, er langt mer alvorlig enn det som hittil er offentlig kjent, opplyser velinformerte kilder til Aldrimer.no.
Tirsdag åpnet Politiets sikkerhetstjeneste (PST) etterforskning av datainnbruddet.
Gikk etter pasientinfo
Det pågår for øyeblikket en massiv etterforskningsinnsats som koordineres av det statlige Cyberkoordineringssenteret (FCKS), som består av Nasjonal sikkerhetsmyndighet (NSM), PST, Etterretningstjenesten og Kripos.
«Hackerne gikk målrettet etter pasientjournaler. Det er uvisst hvor mye informasjon de fikk ut», sier en kilde, som legger til at hackerne også systematisk lette etter informasjon om helsevesenets samhandling med Forsvaret.
(Artikkelen fortsetter under bildet.)

MASSIV ETTERFORSKNING: Den intensive etterforskningen koordineres gjennom Cyberkoordineringssenteret (FCKS), der både PST, NSM, Etterretningstjenesten og Kripos deltar. Arbeidet ledes fra NSMs lokaler. Foto: NSM/NTB SCANPIX
«De forsøkte å hente ut informasjon om helsevesenets deltakelse i den store militærøvelsen som finner sted senere i år. Men hackerne fant lite informasjon, siden helsevesenet heldigvis ikke har kommet helt i gang med eget planleggingsarbeid opp mot øvelsen», sier kilden lakonisk.
NATO-øvelse
Militærøvelsen kilden sikter til, er Trident Juncture 18, som er en stor NATO-øvelse som finner sted i Norge i oktober-november 2018. Rundt 35.000 soldater fra inntil 30 forskjellige nasjoner skal delta på øvelsen, som ifølge Forsvaret blir den største i Norge siden 2002. I tillegg vil rundt 150 fly og 70 marinefartøyer delta på Trident Juncture 18. Øvelsen vil i hovedsak finne sted i fylkene Sør-Trøndelag, Møre og Romsdal, Oppland og Hedmark. Men en mindre del av øvelsen vil også foregå i Sverige, Finland og Island, samt noe i Østersjøen, ifølge en melding Forsvaret la ut på sine nettsider 23. mars i fjor.
Forsvarsstaben vil ikke kommentere at hackerne systematisk lette etter forsvarsrelaterte opplysninger.
— Vi har ingen kommentar til dette i det hele tatt. Jeg henviser videre til sjef for NSM, som uttaler seg på vegne av den grupperingen som arbeider med denne saken, sier pressetalsmann i Forsvarsstaben, orlogskaptein Per-Thomas Bøe.
«Kan ikke kommentere»
«Vi kan ikke kommentere de påstandene du presenterte. Etterforskningen har startet og vil avdekke hvem som står bak og motiv», svarer sjef i NSM, Kjetil Nilsen. Uttalelsen blir videreformidlet per sms fra kommunikasjonsdirektør Mona Strøm Arnøy.
I den foreløpige etterforskningsbeslutningen som tirsdag ble tatt av PST, legger tjenesten til grunn at det er berettiget mistanke om at en fremmed stat kan stå bak datainnbruddet eller at det er gjennomført på oppdrag for fremmed makt.
«Forholdet etterforskes som mulig brudd på straffeloven § 121 Etterretningsvirksomhet mot statshemmeligheter. Det er mistanke om at noen til fordel for en fremmed stat samler inn opplysninger som, hvis de hvis de blir kjent for en slik stat eller for øvrig avsløres, kan skade grunnleggende nasjonale interesser som gjelder samfunnets infrastruktur, så som opplysninger om helseberedskap», skriver PST i en pressemelding som ble lagt ut klokken 16 tirsdag.
Forsøker å avdekke
Kommunikasjonsrådgiver Siv Alsén i PST vil heller ikke direkte kommentere Aldrimer.nos opplysninger om sakens omfang og hva slags opplysninger hackerne har lett etter.
(Artikkelen fortsetter under bildet.)

ÅPNET ETTERFORSKNING: Politiets sikkerhetstjeneste (PST) åpnet mandag etterforskning av dataangrepet, og mener det foreligger skjellig grunn til å mistenke at fremmed makt kan stå bak. Foto: ALDRIMER.NO
— PST har åpnet etterforskning, med bakgrunn i Straffelovens paragraf 121. Det du spør om, er det etterforskningen søker å avdekke. Vi forsøker å finne ut hvem som står bak, hvilken intensjon og hensikt som ligger bak, og eventuelt også å avdekke skadeomfang knyttet til dataangrepet, sier Alsén til Aldrimer.no.
Aldrimer.no har tidligere avslørt at russisk etterretning arbeider systematisk med å hente inn helsedata om forsvarsansatte og militært nøkkelpersonell i Norge og andre NATO-land. Opplysningene kan både brukes til å presse forsvarsansatte til å gi opplysninger eller til å utnytte svakheter i en krise- eller krigssituasjon.
Se ALDRIMER.NOs dokumentar
Les mer: Norge går påfallende stille i dørene
Les mer: 10.000 cyberangrep mot Sverige hver måned
Les mer: Slik jobber russisk etterretning mot Norge
Les mer: PST: Russland den største trusselen
Les mer: Nordmenn advart mot å dra til Russland
Les mer: Slik kan hybridkrig bli i Norge
Les mer: Russiske cyberangrep mot Norge øker
Les mer: Krever mer åpenhet om cybertrusler
Les mer: Alvorlige cyberangrep fra Russland
Det er ikke kjent om hackerne har søkt på spesifikke pasientjournaler på enkeltpersoner eller om det er forsøkt hentet ut kopier av et større volum pasientjournaler.
Helse Sør-Øst RHF (regionalt helseforetak) er en av fire helseregioner i Norge og forvalter fortrolige pasientopplysninger for 2,9 millioner mennesker i Østfold, Akershus, Oslo, Hedmark, Oppland, Buskerud, Vestfold, Telemark, Aust-Agder og Vest-Agder.
«Avansert og profesjonell»
Etterforskningen tyder så langt på at hackerne kan ha fått «innsidehjelp» fra en eller flere ansatte med administratortilgang på nettverkene til Sykehuspartner, eller at brukerprivilegier og passord kan ha vært på avveie.
Ifølge nettavisen Digi.no skal hackerne ha fått tilgang til minst ti servere hos Sykehuspartner. Datainnbruddet ble oppdaget av HelseCERT (CERT: Computer Emergency Response Team) hos Norsk Helsenett SF.
(Artikkelen fortsetter under bildet.)

BISTÅR: Også Etterretningstjenesten bistår i etterforskningen av det alvorlige dataangrepet mot Helse Sør-Øst. Her E-tjenestens hovedkvarter på Lutvann, nord for Oslo. Foto: TORGEIR HAUGAARD/FORSVARET
«Mandag 8. januar ble Sykehuspartner HF varslet av HelseCert (Norsk Helsenett SF) om at det pågikk unormal aktivitet mot datasystemer i regionen. Det er avdekket innbrudd i datasystemer og trusselaktøren er en avansert og profesjonell aktør», skriver Helse Sør-Øst RHF i en pressemelding, som det regionale helseforetaket la ut på sine nettsider mandag. Både Helsedirektoratet og Helse- og omsorgsdepartementet ble orientert om datainnbruddet.
Avansert angrep
Både Etterretningstjenesten og NorCERT ved NSM arbeider nå, etter hva Aldrimer.no forstår, med å avdekke om modus og teknikker som er brukt ved dataangrepet har likhetstrekk med tidligere angrep gjennomført av kjente APT-grupperinger (APT: Advanced persistant threat). Spesielt gjelder dette APT-grupper som er kjent for å utføre oppdrag for statlige aktører, herunder Russland og Kina.
NSM-direktør Kjetil Nilsen har tidligere denne uken uttalt til Digi.no at angrepet er gjennomført av «en aktør som er avansert og som har ressurser».
Vil ikke svare
Kommunikasjonssjef Trude Julie Dommerud hos Sykehuspartner vil ikke svare på Aldrimer.nos spørsmål om dataangrepet.
— Vi kommenterer ikke. Det er Helse Sør-Øst som håndterer mediehenvendelser. Ellers er dette en sak som er meldt til politiet. Det er egentlig det jeg har å si, sier Dommerud. Hun vil heller ikke svare på generelle spørsmål om hva som er Sykehuspartners ansvarsområde og rollefordelingen i helsesektoren hva gjelder IT-sikkerhet.
— Jeg må bare legge på, og så får du forholde deg til det som står i pressemeldingen, sier Dommerud og avslutter samtalen.
Kommunikasjonsdirektør i Helse Sør-Øst RHF, Gunn Kristin Sande, er like lite meddelsom.
— De som brøt seg inn i datasystemene gikk spesifikt etter pasientjournaler og informasjon om helsevesenets rolle ifbm militærøvelsen Trident Juncture. Har du noen kommentar til at hackerne var svært målrettet?
— Vi har anmeldt denne saken til politiet. Politiet har tatt fatt i saken. Så jeg vil henvise deg til dem. Jeg kan ikke gå i større detalj enn det vi allerede har gjort i pressemeldingen vår, svarer Sande og ber Aldrimer.no sende eventuelle ytterligere spørsmål på e-post.
— Det er mistanke om at noen på innsiden har gitt hjelp i forbindelse med datainnbruddet. Har du noen kommentarer til det?
— Nei. Det er ukjent for meg, sier Sande.
***
Tips oss: Vet du noe om denne saken eller har du nyhetstips om andre saker du vil at vi skal skrive om? Ta kontakt med oss, enten på post@aldrimer.no eller via det krypterte kontaktskjemaet på våre nettsider. Dersom du ønsker å sikre deg komplett anonymitet – last ned TOR browser og gå inn på vår tipsplattform www.securileaks.org mens du er inne i TOR-browseren.