Subscribe
Juridisk - januari 28, 2025
Den 14 maj 2021 utsattes Irlands Health Service Executive (HSE) för en cyberattack med ransomware av aldrig tidigare skådat slag som påverkade alla onlinesystem som används för att tillhandahålla tjänster inom radiologi, patologi/laboratorier, strålbehandling, mödravård, primärvård, handikapptjänster och blodprov.
Eftersom HSE:s personal inte kunde komma åt patientdata uppstod också försenade in- och utskrivningar av patienter och svårigheter med patientöverlämningar som en direkt följd av attacken.
Som en försiktighetsåtgärd för att begränsa effekterna av attacken beslutade HSE, som vid den tidpunkten hade över 70.000 IT-enheter på cirka 4.000 platser, att stänga ned sitt nätverk för informations- och kommunikationsteknik (ICT).
Detta innebar att alla HSE-system, oavsett om de hade påverkats eller inte, påverkades.
En granskning av hur attacken gick till och hur det var möjligt att en hel nationell hälso- och sjukvårdstjänst kunde äventyras så effektivt beställdes därefter från PricewaterhouseCoopers (PwC) av HSE Board och dess Chief Executive Officer.
HSE gav PwC i uppdrag att snarast ta reda på fakta om organisationens nuvarande beredskap när det gäller IKT-system, cyber- och informationsskydd samt den operativa beredskapen.
I den rapport som följde på granskningen efter incidenten bekräftades de omedelbara åtgärder som vidtagits av HSE, bland annat genom att begära hjälp från Garda National Cyber Crime Bureau, Internationella kriminalpolisorganisationen (”Interpol”) och National Cyber Security Centre (”NCSC”). Den lyfte också fram det enorma engagemang och de ansträngningar som observerats på alla personalnivåer under hanteringen av incidenten.
PwC-rapporten var dock svidande i sin bedömning av HSE:s beredskap och underströk samtidigt de många förlorade möjligheter som kunde ha hindrat angriparen från att få tillgång till HSE:s ICT-system.
Enligt PwC:s bedömning kunde cyberattacken orsaka den skada som den gjorde eftersom HSE arbetade med vad de kallade en bräcklig IT-anläggning som hade utvecklats snarare än att ha utformats för motståndskraft och säkerhet.
Man fann också uppenbara svagheter i tillsynen, t.ex. att HSE vid tidpunkten för incidenten inte hade en enda ansvarig ägare för cybersäkerhet, varken på högsta verkställande nivå eller på ledningsnivå.
Det framkom också att det fanns flera upptäckter av angriparens aktivitet före den 14 maj 2021, men dessa resulterade inte i att en cybersäkerhetsincident och utredning inleddes av HSE. Som ett resultat missades möjligheter att förhindra en framgångsrik detonation av utpressningstrojanen.
När det gäller de ekonomiska konsekvenserna av attacken uppskattades de initiala kostnaderna till cirka 40 miljoner euro, och ytterligare juridiska kostnader på 2,6 miljoner euro har uppstått sedan cyberattacken. Dessa belopp är bara en bråkdel av de uppskattningsvis 657 miljoner euro som kommer att behöva spenderas för att fullt ut genomföra alla de förbättringar av cybersäkerheten som rekommenderades av PwC:s granskning efter incidenten.
Sedan attacken har HSE arbetat för att på ett betydande sätt åtgärda de brister och sårbarheter som identifierats inom dess IKT-arkitektur. Man har också vidtagit ett antal viktiga åtgärder, bland annat rekryterat en Chief Information Security Officer som ska leda den övergripande cybersäkerhetsverksamheten.
Många av de frågor som togs upp i samband med cyberattacken mot Irlands hälso- och sjukvård, i synnerhet arbetet med att uppdatera den ”bräckliga IT-stommen”, kommer säkert att dyka upp igen efter offentliggörandet den 15 januari av EU-kommissionens handlingsplan för att stärka cybersäkerheten på sjukhus och hos vårdgivare.
De uttalade målen med handlingsplanen är att förbättra upptäckt av hot, beredskap och krishantering inom den europeiska hälso- och sjukvårdssektorn. Den syftar också till att tillhandahålla skräddarsydd vägledning, verktyg, tjänster och utbildning till sjukhus och vårdgivare med flera specifika åtgärder som ska införas gradvis under 2025 och 2026, i samarbete med vårdgivare, medlemsstater och cybersäkerhetsgemenskapen.
I kommissionens meddelande om handlingsplanen anges särskilt den irländska cyberattacken som ett exempel på den typ av incident som kan visa cyberattackers potential att snabbt sprida sig över sammanlänkade system. Den irländska cyberattacken nämns också som en incident som understryker vikten av att konsekvent se till att en grundläggande cyberhygien och cybersäkerhetskultur fungerar i alla organisationer i hela EU.
Även om Irlands cyberattack var ett alarmerande angrepp som orsakade betydande störningar och ekonomiska kostnader, är kommissionens handlingsplan noga med att betona potentialen för mer destruktiva och olycksbådande resultat när de används av statliga och icke-statliga aktörer som en del av en bredare hybridkampanj mot EU:s hela säkerhetsmiljö.
Om man inte på lämpligt sätt förbereder sig för och avvärjer cyberattacker kan det enligt kommissionens uppfattning i slutändan leda till att våra samhällen destabiliseras av dem som försöker dra nytta av splittring och störningar. Detta innebär inte, och handlingsplanen innebär absolut inte, att det finns någon patentlösning på de utmaningar som finns när det gäller cybersäkerhet för att skydda EU:s digitala plattformar för hälso- och sjukvård.
Istället fokuserar den på att uppmana till stärkt förebyggande, beredskap och ”en mer samordnad strategi för solidaritet samtidigt som man utnyttjar expertisen inom den europeiska cybersäkerhetsindustrin”. Som sådan, och som det står i handlingsplanen, återspeglar den EU:s bredare strategi för säkerhet som kommer att vidareutvecklas och formaliseras i den kommande strategin för EU:s inre säkerhet.
Det är därför som planen särskilt uppmanar alla medlemsländer att anta en strategi som omfattar hela samhället och hela regeringen.
Denna punkt återspeglas också i de vägledningsdokument som utfärdats av Irlands nationella cybersäkerhetscenter (NCSC), särskilt i dess nationella cyberkrisplan (NCEP).
NCEP fastställer den nationella strategin för att bemöta allvarliga cybersäkerhetsincidenter som påverkar konfidentialiteten, integriteten och tillgängligheten hos nationellt viktiga system och nätverk för informationsteknik och operativ teknik, såsom de som påverkades under attacken mot Irlands HSE.
Irlands vilja att förbättra sin beredskap på detta område kan också ses i det nyligen offentliggjorda regeringsprogrammet för den tillträdande irländska regeringen. Där finns ett åtagande om att regeringen ska leverera en ny nationell cybersäkerhetsstrategi 2025. Man åtar sig också att främja utvecklingen av ett kompetenscentrum för utveckling av kompetens inom cybersäkerhet.
Att det finns ett behov av högre teknisk kompetens och större kännedom om cybersäkerhet bland personal inom viktiga nationella myndigheter noterades också i PwC:s granskning efter incidenten.
Samtidigt som behovet av att införa komplexa cybersäkerhetsåtgärder inom de irländska hälso- och sjukvårdssystemen accepterades, erkändes i granskningen också behovet av att balansera detta med ett behov av användarvänlighet, särskilt för klinisk personal.
Erfarenheterna från HSE:s cyberattack och det växande globala hotet från cyberbrottslingar gör det till en nationell angelägenhet att förverkliga detta särskilda åtagande i regeringsprogrammet.
Det är också viktigt att Irland fortsätter sitt arbete med att införliva det uppdaterade EU-direktivet om cybersäkerhet, Network and Information Systems Directive II (NIS2), i irländsk lagstiftning.
Den tidigare irländska regeringen godtog att detta direktiv innebar ett stort steg framåt för cyberresiliensen och skulle förbättra hanteringen av cyberrisker i hela unionen, bland annat genom att skapa betydande förbättringar i kapaciteten att reagera på större incidenter som HSE-attacken.
Det kan slutligen noteras att samtidigt som Irland genom sitt nationella cybersäkerhetscenter aktivt vidtar åtgärder för att skydda och försvara säkerheten och integriteten hos nätverks- och informationssystem i staten, godkände den tidigare administrationen också utarbetandet av den nationella cybersäkerhetslagen 2024.
Denna allmänna ordning i lagförslaget är anmärkningsvärd för det breda spektrum av aktiviteter som kommer att vara tillåtna, inklusive skanning av allmänt tillgängliga nätverk och delning av personuppgifter med relevanta myndigheter. Lagförslaget kan nu komma att få ett extra lagstiftningsstöd efter offentliggörandet av kommissionens handlingsplan för att stärka cybersäkerheten på sjukhus och hos vårdgivare.
När det slutliga utkastet till lagförslaget presenteras är det dock högst troligt att de kvarstående frågorna om hur vi balanserar digital säkerhet, strävan efter öppna data och rätten till personlig integritet i en tid av ökande cyberattacker också kommer att vara framträdande.