Magnus Sköld.

Med åtta års erfarenhet av jobb vid Landstinget i Östergötland, varav de fem sista som it-säkerhetsansvarig, vet Magnus Sköld vad han talar om när han under årets It i vården-dag demonstrerade hur lätt han kan ta över och styra en landstingsdator.

Ett stort svensk landsting ringde en måndag morgon och bad honom att försöka bryta sig in i landstingets interna nätverk från internet, att utföra ett så kallat penetrationstest.

– Det här landstinget har koll på säkerheten i form av att man har brandväggar, intrångsdetekteringssystem och antivirus. Dessutom hade man ett övervakningssystem som i realtid upptäcker om någon försöker bryta sig in, man har folk som monitorerar systemet och reagerar när något händer, säger Magnus Sköld som nu arbetar som säkerhetsexpert på företaget Check Point.

Han bad landstinget om att få tre veckor på sig.

– Det kändes som ett omöjligt uppdrag. Att hacka sig förbi en brandvägg går inte längre, det fungerar inte som i Hollywoodfilmerna, säger Magnus Sköld.

Som utbildad ”hacker” funderade han sedan på hur han skulle gå till väga för att ta sig in i landstingets interna nätverk. Google gav honom omedelbart svaret. En sökning på “Fjärrservice via internet” resulterade i en länk som ledde till ett företag som säljer en applikation som kan användas för att fjärrstyra en dator – en helt vanlig applikation som flera företag erbjuder i liknande utförande. Det enda Magnus Sköld därefter skulle behöva göra var att få anställda på landstinget att börja använda applikationen på sin dator.

– Principen var väldigt lik en trojan, det vill säga att försöka få in något på insidan som sedan ska ta kontakt med något på utsidan. Men problemet är att landstingets antivirus skulle reagera på en trojan. Det här var i stället en helt legal, vanlig företagsapplikation som något antivirus aldrig skulle reagera på, säger Magnus Sköld.

Sedan ringde han landstingets telefonväxel och bad om mejladresser till de ansvariga för de olika avdelningarna. Därefter skickade han ut en mejlinbjudan om ett möte om lönenivåer i vården, ett ämne som förhoppningsvis skulle locka de anställda att klicka på den länk som fanns i mejlet.

– Åtta klienter anslöt direkt till mitt påhittade möte. Jag försökte ansluta till dem, och fem gick att ansluta till direkt. Av de fem var tre vård-pc:er som körde deras aktuella patientjournaler. Då såg jag direkt tre patienter och kunde läsa och ta skrämdumpar av deras journaler.

Magnus Sköld ärvde samma rättigheter som användaren som arbetar i en patientjournal har, och kunde dessutom nå samma kataloger och filer. Han hade därmed tagit över datorn. Så klockan tre på eftermiddagen samma måndag ringer Magnus Sköld tillbaka till personen på landstinget som bara timmar tidigare gett honom uppdraget att hacka sig in.

– Jag sa att jag har slutfört uppdraget. Han sa “nej, det finns inget som pekar på att en attack har skett hos oss.” Då visade jag honom utdrag från tre patienters journaler. Då blev han jättetyst och tyckte inte alls att det var kul längre. Det var ganska allvarliga grejer som jag kom åt väldigt enkelt, säger Magnus Sköld som med sitt föredrag under It i vården-dagen vill försöka ändra bilden av hur det kan gå till när någon försöker stjäla information.

– Det som ger lite perspektiv på det hela är att om jag lyckas komma åt det här på tre timmar, hur stort är då mörkertalet? Det finns ju de personer som har betydligt längre tid på sig att komma åt information men som inte kommer hit och föreläser om det, säger Magnus Sköld.