Frivillig MFA och kända säkerhetshål – nästan 100 000 patienters uppgifter läckte ut i Nya Zeeland

När digitalisering springer före säkerhet

Det är en historia vi känner igen. En verksamhet digitaliseras i snabb takt. Patienterna får smidiga appar och portaler. Effektiviteten ökar. Alla applåderar. Och sedan, en dag, visar det sig att fundamentet var byggt på sand.

I december förra året drabbades den nyzeeländska patientportalen Manage My Health av ett av landets allvarligaste kända dataintrång, enligt Healthcare IT News. Angriparna använde stulna inloggningsuppgifter från verkliga patienter – en klassisk teknik – och tog sig därifrån vidare in i tusentals andra patienters konton. Utskrivningssammanfattningar, personuppgifter, adresser, telefonnummer. Totalt drabbades drygt 99 400 patienter, varav hela 91 procent kom från regionen Northland.

Det som gör fallet extra bedrövligt är inte att angriparna var genialiska. Det är att säkerhetsbristerna var välkända. Flerfaktorsautentisering fanns på plattformen – men var frivillig. Tidigare säkerhetstester hade upprepade gånger identifierat svagheter i åtkomstkontrollen. Ingenting åtgärdades tillräckligt. Och när intrånget väl skedde var det inte Manage My Healths egna system som upptäckte det – företaget fick veta om det först när vårdmyndigheten Te Whatu Ora slog larm.

Myndigheten slår ned – men skadan är redan skedd

Nya Zeelands integritetsmyndighet har nu fastställt att både Te Whatu Ora och Manage My Health brustit i sitt grundläggande ansvar att skydda känslig hälsoinformation, rapporterar Healthcare IT News. Det är ett viktigt ställningstagande, men det förändrar inte det faktum att 100 000 patienter redan har fått sina mest integritetskänsliga uppgifter exponerade.

Detta är kärnan i problemet med reaktiv säkerhetsstyrning. Utredningar, granskningar och myndighetsbeslut är nödvändiga – men de är alltid ett steg efter händelsen. Den verkliga kostnaden bärs av patienterna.

2,7 miljarder i efterhand

Nu svarar den nyzeeländska regeringen med en historiskt stor satsning. Knappt 450 miljoner nyzeeländska dollar – motsvarande ungefär 2,7 miljarder svenska kronor – ska gå till att rusta upp den digitala säkerheten och modernisera infrastrukturen inom sjukvården, enligt Healthcare IT News.

Drygt 153 miljoner av dessa går direkt till Te Whatu Ora för förstärkt säkerhetsövervakning dygnet runt, utökat specialistkunnande inom informationssäkerhet och kritiska systemuppgraderingar – med fokus på primärvården. Ytterligare 300 miljoner täcker de första tre åren av en bredare digital investeringsplan: föråldrade enheter byts ut, radiologisystem moderniseras, centrala IT-plattformar uppgraderas.

Och bakgrunden är dyster. Under bara det senaste halvåret har det nyzeeländska hälsosystemet drabbats av en lång rad angrepp. Läkemedelsplattformen MediMap hackades i februari. I mars tvingades vårdgivaren IntraCare ta sina system offline efter ett kraftigt angrepp. Mönstret är tydligt: ett hälsosystem som digitaliserats utan att säkerheten hängt med har blivit ett återkommande mål.

Lärdomen för svenska regioner

Jag vill vara tydlig: digitaliseringen av vården är rätt väg. Patientportaler, digitala journaler och sammankopplade system räddar liv och frigör resurser. Det är inte tekniken som är problemet – det är ordningsföljden.

När säkerhet behandlas som ett tillägg snarare än ett fundament, när flerfaktorsautentisering görs frivillig för att inte störa användarupplevelsen, när kända sårbarheter skjuts på framtiden – då har vi skapat ett system som inbjuder till exakt det som hände i Nya Zeeland.

Svenska regioner befinner sig mitt i sin egen digitaliseringsresa. Journalsystem, patientappar och sammankopplade plattformar rullas ut i rask takt. Frågan är om säkerhetsarbetet håller samma tempo. Kostnaden för att bygga rätt från början är alltid lägre än kostnaden för att laga ett sönderbrutet förtroende – och betala ut 2,7 miljarder i efterhand.