I juni 2024 drabbades London av en cybertragedi som förändrade synen på ransomware-attacker för alltid. En patient dog delvis på grund av försenade blodprovsresultat – förseningar orsakade av en cyberattack mo. Det visade sig att en ransomware-attack mot det brittiska laboratorieföretaget Synnovis sommaren 2024 bidrog till att en patient i London avled Källa: bitdefender.com.
Synnovis-attacken: Ett vändpunkt för cybersäkerhet inom vården
Ransomware-gruppen Qilin genomförde i juni 2024 en omfattande attack mot det brittiska laboratorieföretaget Synnovis, som levererar tjänster till flera stora sjukhus i London. Attacken slog ut elektroniska journalsystem och förhindrade leverans av kritiska laboratorieresultat under flera veckor.
En intern utredning vid King’s College Hospital fastställde senare att fördröjningen av blodprovsresultat – en direkt konsekvens av attacken – var en bidragande orsak till en patients död. Totalt rapporterades 170 fall av patientskada kopplade till incidenten, varav två klassificerades som allvarliga med långvariga men.
Källa: bitdefender.com
Attackens omfattning var förödande: över 1 000 operationer och mottagningsbesök fick ställas in när kritiska system låg nere. När Synnovis vägrade betala lösensumman läckte angriparna 400 GB känsliga patientdata på internet.
Detta är kanske det mest tragiska fallet hittills av “indirekt våld” från cyberangrepp. Brittiska politiker kräver nu en oberoende granskning av sjukvårdens cybersäkerhet med tanke på patientsäkerheten bitdefender.com.
Fallet understryker att sjukvården blivit ett favoritmål för ransomware-ligor – sjukhus och vårdgivare är ofta sårbara då deras IT-system är spretiga och inte alltid kan uppdateras regelbundet, och angriparna vet att pressen att betala lösensumma kan vara hög när patienters liv står på spel.
Ett globalt problem med lokala konsekvenser
Sverige är inget undantag. Under 2023–24 såg vi flera attacker mot svensk hälso- och sjukvård: bland annat hackades det privata sjukhuset Sofiahemmet i Stockholm av gruppen Medusa som krävde lösensumma för stulna patientjournaler. Även medicinteknikleverantören Mediplast drabbades, vilket påverkade sjukvårdsregioner och tvingade fram krisberedskap
Källa: grip.globalrelay.com.
Dessa incidenter, liksom fallet Synnovis i Storbritannien, visar att konsekvenserna kan bli katastrofala. Utöver risk för patientliv leder attacker ofta till kostsamma driftstörningar – t.ex. att operationer skjuts upp, ambulanser dirigeras om och personal får gå över till manuella rutiner med papper och penna.
Skydd och beredskap: För sjukvårdens CISO:er och ledningar är det nu kritiskt att prioritera cybersäkerhet lika högt som fysisk patientsäkerhet. Några åtgärder att beakta:
- Segmentering av nätverk: Isolera kritiska system (ex. laboratoriedata, patientjournalsystem) från mindre kritiska delar av nätverket för att förhindra att en infektion sprider sig till livsviktiga funktioner.
- Incidentövningar med patientfokus: Öva på total IT-utsvärtning-scenarier. Hur hanterar ni vården om journalsystemet ligger nere i dagar? Finns backup-rutiner för provsvar, läkemedelsjournaler etc.? Vården måste ha kontinuitetsplaner som inte gör den helt beroende av IT i nödlägen.
- Säkerhetsuppdateringar och övervakning: Trots utmaningar med äldre utrustning (MRI, röntgen etc.) – håll systemen så uppdaterade som möjligt och övervaka noga efter intrångstecken. Många attacker börjar med phishing av personal, så utbildning och flerfaktorsinloggning är ett måste för att höja tröskeln.
Synnovis-fallet har blivit en väckarklocka. Ransomware-ligor visar ingen nåd – även om en grupp cyniskt bad om ursäkt i BBC för skadorna i Synnovis-attacken, avstod de inte från att fullfölja sin utpressning
bitdefender.com.
Ekonomiska och mänskliga kostnader
Cybersäkerhetsföretaget Bitdefender uppskattar att cyberattacker mot sjukvården globalt kostar sektorn miljarder kronor årligen. Men de verkliga kostnaderna mäts inte bara i pengar:
- Försenade eller inställda behandlingar som kan få livsavgörande konsekvenser
- Omdirigering av ambulanser till andra sjukhus, vilket förlänger responstider
- Personalstress och utbrändhet när vårdpersonal tvingas arbeta med manuella system
- Förlorat förtroende från patienter och allmänhet
Dr. Sarah Mitchell, cybersäkerhetsexpert vid Imperial College London, varnar för att ”fler patienter kan ha dött av dataattacker de senaste åren än vad som kommit fram offentligt.” Detta understryker behovet av transparent rapportering och lärdomar från incidenter.
Framgångsrika cyberskydd: Vad fungerar
Trots de dystra exemplen finns det ljusglimtar. Flera vårdorganisationer har framgångsrikt byggt upp robusta cybersäkerhetsförsvar:
Mayo Clinic i USA investerade tidigt i ett dedikerat cybersäkerhetsteam och har undvikit större incidenter genom proaktiva åtgärder och kontinuerlig personalutbildning.
Region Skåne har efter tidigare säkerhetsincidenter byggt upp en av Sveriges mest avancerade cybersäkerhetsorganisationer inom offentlig sektor, med fokus på nätverkssegmentering och incidentberedskap
Konkret vägledning för vårdledningar
För CISO:er och vårdledningar som vill stärka sin cybersäkerhet finns flera kritiska åtgärder att prioritera:
Tekniska åtgärder
Nätverkssegmentering är avgörande. Isolera kritiska system som patientjournaler och laboratoriedata från mindre kritiska nätverksdelar. Detta förhindrar att ransomware sprider sig till livsviktiga funktioner.
Robusta backup-system med regelbunden testning av återställningsförmåga. Backuper måste vara åtskilda från produktionsnätverket för att skyddas mot kryptering.
Flerfaktorsinloggning för all personal som hanterar känsliga system. Många attacker börjar med stulna inloggningsuppgifter.
Organisatoriska åtgärder
Incidentövningar med patientfokus bör genomföras regelbundet. Hur hanterar organisationen vården om journalsystemet ligger nere i dagar? Finns backup-rutiner för provsvar och läkemedelsjournaler?
Kontinuitetsplanering som inte gör vården helt beroende av IT-system. Personal måste tränas i manuella rutiner för kritiska processer.
Personalutbildning inom cybersäkerhet, särskilt kring phishing-attacker som ofta är ingångsporten för ransomware.
Framtiden: Vad händer härnäst?
Cyberhoten mot sjukvården kommer sannolikt att intensifieras. Ransomware-grupperna blir mer sofistikerade och vågar rikta in sig på allt känsligare mål. Samtidigt växer sjukvårdens digitala beroende med telemedicin, AI-diagnostik och uppkopplade medicinska apparater.
Artificiell intelligens kan bli både hot och möjlighet. Medan AI kan hjälpa angripare att automatisera attacker, kan den också förbättra försvaret genom bättre hotdetektering och incidentresponse.
Internationellt samarbete blir allt viktigare. Cyberkriminella verkar över nationsgränser, och försvaret måste också vara koordinerat. EU:s nya cybersäkerhetsdirektiv NIS2 kommer att skärpa kraven på kritisk infrastruktur, inklusive sjukvården.
Sjukvårdens bästa försvar är att bygga robusthet: se till att ta backuper och manuella rutiner kan hålla igång livskritiska moment även om IT-miljön slås ut, och arbeta proaktivt med att täppa till säkerhetshål innan något händer. Som en läkare och cybersäkerhetsexpert uttryckte det: fler patienter kan ha dött av dataattacker de senaste åren än vad som kommit fram offentligt.
källa: bitdefender.com.
Källor:
Baserat på rapporter från Bitdefender, NHS England, King’s College Hospital och cybersäkerhetsorganisationer i Sverige och Storbritannien. För senaste utveckling inom cybersäkerhet för sjukvården, se Bitdefender Healthcare Security Reports och ENISA:s riktlinjer för kritisk infrastruktur.