PST innstiller etterforskingen av datainnbruddet i Helse Sør-Øst RHF og Sykehuspartner HF
05. DES 2018
Saken henlegges på grunn av manglende opplysninger om gjerningspersonen.
PST har etterforsket saken for mulig brudd på straffeloven §121. Bestemmelsen rammer ulovlig etterretningsvirksomhet som kan skade grunnleggende nasjonale interesser knyttet til samfunnets infrastruktur, som helseberedskapen i Norge.
Formålet med etterforskingen har vært å avklare om det er begått en straffbar handling, hvilken bestemmelse som eventuelt er overtrådt, og om noen kan holdes strafferettslig ansvarlig.
PST har i sin etterforsking søkt etter informasjon som kan avklare hvem som står bak angrepet, uten at etterforskingen har gitt tilstrekkelige opplysninger til å identifisere mistenkte. Det er ikke avdekket teknisk informasjon som peker i retning av en enkelt aktør. I PSTs nasjonale trusselvurdering for 2018, beskrives virksomheter innen norsk beredskapssektor, forskning og utvikling, samt virksomheter innen kritisk infrastruktur, som særskilt utsatte etterretningsmål for fremmede stater.
Etterforskingen viser kompromittering av en server i ekstern sone, som har vært åpen ut mot internett. Herfra har mistenkte tatt seg videre til intern sone, som kun er ment for interne brukere. Mistenkte skaffet seg administratortilganger og har derfor hatt tilganger til nettverket med pasientopplysninger, forskingsdata og beredskapsplanverk. PST kan ikke, basert på vår etterforsking, fastslå om slike opplysninger er stjålet eller ikke. Det er påvist uthenting av påloggingsinformasjon, samt filer tilknyttet en læringsapplikasjon. Mistenktes søk i nettverket etter adressen kan, sammenholdt med fravær av annen påvist aktivitet, indikere at mistenkte var ute etter informasjon om denne applikasjonen.
Etterforskingen har avdekket svakheter i den ytre sikkerheten til systemene, hvilket muliggjorde kompromitteringen i ekstern og intern sone. Etterforskingen har også avdeket manglende risiko- og verdivurderinger hos Helse Sør-Øst og Sykehuspartner.
Etterforskingen har blant annet bestått av tekniske undersøkelser av logger og kompromitterte servere. Nettverkets størrelse tilsa at det var nødvendig å avgrense etterforskningen. PSTs undersøkelser gir dermed ikke nødvendigvis et komplett bilde av all irregulær aktivitet i nettverket.
PST er bekymret for norske virksomheters evne til å beskytte seg mot digitale trusler og deres forståelse av egne verdier. God sikkerhetskultur, gjennomføring av verdivurderinger og implementering av nødvendige sikkerhetstiltak for å sikre sine datanettverk, er avgjørende. Dette er essensielt for å kunne forebygge nettverksoperasjoner, avdekke aktivitet mot systemer og datanettverk i tide, og iverksette skadebegrensende tiltak - i de tilfeller noen har skaffet seg uautorisert tilgang til datanettverket.