Læsetid 2.5514285714286 min.

16 år gammel software gør danske hospitaler sårbare over for hackere

5.000 computere i Region Midtjylland bruger det forældede styresystem Windows XP. ’Det er russisk roulette,’ siger sikkerhedsekspert
It-sikkerheden i de danske regioner lader meget tilbage at ønske, vurderer eksperter på baggrund af en rundspørge, Information har foretaget blandt de danske regioner.

It-sikkerheden i de danske regioner lader meget tilbage at ønske, vurderer eksperter på baggrund af en rundspørge, Information har foretaget blandt de danske regioner.

Mie Brinkmann
17. maj 2017
Delt 23 gange

Det er mere held end forstand, at danske hospitaler foreløbig er gået fri af det verdensomspændende cyber-angreb ved navn WannaCry, der de seneste dage har lammet computere i 150 lande og lagt dele af det britiske sundhedssystem ned.

For it-sikkerheden lader meget tilbage at ønske. Det vurderer eksperter på baggrund af en rundspørge, Information har foretaget blandt de danske regioner.

»Jeg havde en mistanke om, at den var gal, men de her tal gør mine bekymringer større,« siger Peter Kruse, der er sikkerhedsekspert ved virksomheden CSIS Security Group.

»Det er russisk roulette for at sige det ligeud.«

Eksperternes bekymring retter sig særligt mod Region Midtjylland. I et svar til Information oplyser regionen, at man i øjeblikket har »cirka 5.000« maskiner, der kører det forældede Windows XP-styresystem. De befinder sig »hovedsageligt på hospitalerne«, hvor de indgår i den daglige drift – og de fleste af dem er koblet på internettet.

Dermed er hospitalerne sårbare over for cyberangreb, vurderer it-eksperten Henrik Kramshøj, der blandt andet arbejder med at sikre det norske sundhedsvæsen.

»Windows XP er farligt at bruge. Det er simpelthen forældet software fyldt med sikkerhedshuller,« siger han.

Danske Regioners brug af XP

Information har spurgt alle regioner om deres brug af Windows XP og deres generelle it-sikkerhed.

I Region Nordjylland har man 100 computere med Windows XP. Her siger IT-direktør Klaus Larsen:

»Mange af dem er offline, og de andre er sikret på anden vis og bruges kun til et meget specifikt formål. Vi kommer af med dem så hurtigt, vi kan, og der er ikke nogen af dem, som bliver anvendt i den daglige drift af hospitaler.«

Ligesom Region Midtjylland har de fravalgt en aftale om sikkerhedslapning med Microsoft.

Hos Region Sjælland siger it-direktør Per Buchwaldt, at de har 113 computere med Windows XP. De er placeret på et lukket netværk uden adgang til internettet.

Hos Region Syddanmark har man under 100 computere med Windows XP, og her er alle maskinerne offline, da de er særligt udsatte. Computerne indgår ikke i den daglige drift eller til almindeligt brug af læger, sygeplejersker eller sekretærer.

I Region Hovedstaden, der tidligere har været udsat for kritik på grund af deres brug af XP-computere, har man i dag 630 XP-maskiner. Regionen oplyser, at de arbejder på at udfase dem og opgradere til nyere systemer.

Tre år uden opdateringer

Kramshøj og Kruse henviser til, at XP-styresystemet er næsten 16 år gammelt, og at Microsoft for tre år siden stoppede med at udsende opdateringer til det. Når et nyt sikkerhedshul i Windows XP bliver opdaget, lapper Microsoft det derfor ikke – med mindre man har købt en særlig supportaftale med firmaet. Og det har Region Midtjylland ikke.

I tilfældet med WannaCry-angrebet gjorde Microsoft dog en undtagelse ved at gøre en opdatering, der lapper lige præcis det hul, frit tilgængelig.

Men det skal ifølge eksperterne ses som noget helt ekstraordinært – og det hjælper ikke mod fremtidige angreb, der udnytter andre sikkerhedshuller i Windows XP. I Storbritannien har det af samme grund vakt kritik, at landets sundhedsvæsen stadig benytter det forældede styresystem.

Britain's National Health Service (NHS) blev ramt under weekendens hackerangreb. Det gik blandt andet ud over computersystemer, der koordinerer ambulancekørsel.

 

 
Læs også

Alligevel mener Region Midtjyllands it-direktør Claus Kofoed, at der er styr på it-sikkerheden. Han henviser til, at regionens computere er beskyttet af såkaldt applikationskontrol, »hvilket betyder, at en bruger ikke har mulighed for at downloade eksekverbare filer«, og at man har købt en sikkerhedsløsning fra antivirus-firmaet McAfee.

»Det giver den nødvendige sikkerhed og beskyttelse på vores computere,« siger Claus Kofoed.

Han tilføjer, at regionen er ved at afvikle brugen af Windows XP, og i tredje kvartal af 2017 forventer Claus Kofoed at være nede på 500 XP-maskiner.

Men det er ikke godt nok, mener Henrik Kramshøj og Peter Kruse.

»Det er simpelthen misforstået, at applikationskontrol kan sikre én. En kode som den, vi netop har set med WannaCry, kører med de samme systemrettigheder, om der er den kontrol eller ej. Antivirus skal heller aldrig ses som en løsning, når man har den slags forældet sikkerhedsarkitektur,« siger Peter Kruse.

Danskerne bruger stadig XP

  • Selv om Windows XP er næsten 16 år gammelt, bruger en del danskere fortsat styresystemet.
  • Ifølge en statistik fra Statcounter bruger godt én procent af danske computere Windows XP.
  • Dermed udsætter de sig selv for øget risiko for it-kriminalitet.
  • Er du en af dem, bør du som minimum hente den opdatering, som Microsoft helt ekstraordinært gjorde tilgængelig efter WannaCry-angrebet. It-eksperter opfordrer til at opgradere til et nyere styresystem snarest muligt.

Kilde: Statcounter

Antal computere med XP i regionerne

  • Nordjylland: 100
  • Midtjylland: 5.000
  • Syddanmark: under 100
  • Sjælland: 113
  • Hovedstaden: 630

Kilde: Informations rundspørge til regionerne

Advaret i god tid

Henrik Kramshøj mener, det er mangel på rettidig omhu, at regionen endnu ikke har afviklet brugen af Windows XP – tre år efter at Microsoft holdt op med at opdatere det.

»Det er bestemt ikke godt, at man er så lang tid om at få skiftet Windows XP ud. Og man har ellers haft god tid, for Microsoft melder altid ud lang tid i forvejen, hvornår supporten udløber på et styresystem,« siger han.

– Kan der ikke være nogle gode grunde til ikke at opdatere? Hvis man nu for eksempel har en dyr MR-scanner, som kun kan fungere med XP?

»Man hiver altid sådan nogle ekstreme eksempler frem, når man skal retfærdiggøre manglende sikkerhed. Men det begrunder jo ikke, at man har dårlig sikkerhed på resten af netværket. Uanset hvordan man vender og drejer det, må man i dag kunne forvente, at hospitaler har styr på it-sikkerheden,« siger Henrik Kramshøj.

I en mail til Information skriver it-direktør Claus Kofoed som svar på kritikken:

»Vi vurderer, at vores XP-maskiner er tilstrækkeligt beskyttet med applikationskontrol på maskinerne udover vores antivirusløsning.«

Bliv opdateret med nyt om disse emner

Prøv Information gratis i 1 måned

Klik her

Allerede abonnent? Log ind her

Forsiden lige nu

Anbefalinger

  • Brugerbillede for Jan Weis
    Jan Weis
  • Brugerbillede for ulrik mortensen
    ulrik mortensen
Jan Weis og ulrik mortensen anbefalede denne artikel

Kommentarer

Brugerbillede for Troels Brøgger
Troels Brøgger

Jeg hørte engang en ansat i NASA som blev interviewet, og som på spørgsmålet:"Nå, men så bruger i vel det nyeste indenfor computerteknologi?" svarede:"Nej det kan du tro vi ikke gør! Vi bruger det der er gennemprøvet, vi kan jo have at computeren går ned ude i rummet, det kan koste liv".
MÅSKE har de det ligesådan i hospitalsvæsenet? Det kan i hvert fald ikke undre hvis det sådan når man ser på de nyere opfindelsers tendens til at blive til IT skandaler. Så det er med at vælge imellem hackertrusler og nedbrud åbenbart.

Mette Poulsen, Søren Kristensen, peter hansen og Niels Nielsen anbefalede denne kommentar
Brugerbillede for Michael Kongstad Nielsen
Michael Kongstad Nielsen

Gammelt software er ikke problemet. Ny software er det.

Troels Brøgger, Torben K L Jensen, Henning Kjær og peter hansen anbefalede denne kommentar
Brugerbillede for Jan Weis

MKN_ser man det, så må det være derfor Microsoft jævnligt sender updates for at give brugerne 'problemer' - dog ikke til Windows XP, som de har oplyst vidt og bredt i flere år - selv Windows 7 vedligeholdes stadig uden problemer - men hold dig fra Windows 10 ...

Brugerbillede for Christoffer Pedersen
Christoffer Pedersen

Hvis IT-kompetencerne ikke rækker langt nok til at opgradere står det sløjt til. Man må håbe de ikke er koblet til nettet, for så bliver der nok røde ører et sted i regionen en dag. Det koster 50-100 kr for en licens til Windows 7.
@Jan Weis; Windows 10 er det bedste styresystem til dato.

Torben K L Jensen og Eva Schwanenflügel anbefalede denne kommentar
Brugerbillede for Anne Eriksen
Anne Eriksen

Er det Windows 10, der styrer/ bestemmer - eller er det dig?

Troels Brøgger, Michael Kongstad Nielsen, Ib Christensen og Torben Skov anbefalede denne kommentar
Brugerbillede for Niels Nielsen
Niels Nielsen

Jeg ser overskrifterne for mig: "16-årig hacker bryder ind i 16-årig software".

;-)

Torben K L Jensen, Mette Poulsen, Søren Kristensen og Eva Schwanenflügel anbefalede denne kommentar
Brugerbillede for Anders Jensen
Anders Jensen

Hold da ferie folkens, lad nu ikke frygten og uvidenheden tale jeres sag.

1: Windows XP er forældet, og er slet ikke understøttet mere, det er ej heller tiltænkt store virksomheder. (Det samme gælder Windows Vista.) Er du professionel ville du have brugt Windows 2000 som er NT version 5.

2: Det er manglende kompetencer i det offentlige der gør at de stadig sidder på noget der er forældet, det handler ikke om at det ikke er gennemtestet det er det. (Der er bla. Windows 7 og Windows 9 som vi kalder det, som er 8.1 enterprise. Der findes også en 10'er version i denne udgave.)

Det er en kæmpe udfordring at forklare mennesker at de ikke skal være bange for at opdatere deres computer. En computer gør hvad den får besked på, intet andet!
Det eneste tidspunkt jeg stadig installere Windows 7 for kunder, er hvis de skal køre et gammelt regnskabsprogram eller f.eks. et tester program til biler m.v.
Jeg nægter at installere XP eller Vista for en kunde, da det er dybt uansvarligt!

Eva Schwanenflügel og Anders Sørensen anbefalede denne kommentar
Brugerbillede for Anders Jensen
Anders Jensen

Anne
Windows 10 er enormt insisterende, styrende og provokerende, men du kan sagtens tæmme det.

Anne Eriksen, Eva Schwanenflügel og Niels Nielsen anbefalede denne kommentar
Brugerbillede for Anders Jensen
Anders Jensen

Jeg gentager mine råd her i tråden.

Opdater til den nyeste Windows version som understøtter de programmer du skal bruge.
Her er det enten windows 7 eller 10 (8.1 er ikke rigtigt noget jeg vil anbefale.)
Opdater dit antivirus og andet software du bruger. (Windows Defender er helt fint til opgaven, med basis-beskyttelse (OBS: UNDER FORUDSÆTNING AF DU FØLGER DET NÆSTE RÅD.)
Lad være med at installere noget du ikke ved hvad er, og installer kun opdateringer og programmer fra de officielle udbydere. Dvs. dem der laver softwaren.
Lad være med at åbne mails med mærkelige overskrifter, lad være med at følge links i mails medmindre du har sikret dig at afsenderen er korrekt, hvis linket anmoder om at du skal installere noget, så lad være.

(ProTip: Når du installere Windows eller andre programmer kan man som udgangspunkt fjerne de fleste flueben, automatiske opdateringer, og tilføjelses-programmer som er overflødige og tynger din PC.)

Eva Schwanenflügel og Anders Sørensen anbefalede denne kommentar
Brugerbillede for Anders Jensen
Anders Jensen

*SUK*

Var sgu ikke klar over at jeg ikke kunne bruge Chrome og Firefox i Windows 10.
Sjovt nok troede jeg at jeg skrev dette indlæg fra en Windows 10 computer, mens jeg bruger Google Chrome browseren, men hvad ved jeg? Jan har en artikel som fortæller mig at jeg ikke kan bruge den, så Jan har ret!

Her er nogle fake-news direkte fra mit skrivebord!
http://imgur.com/a/71jlm

PS: XP systemer er stadig åbne som en si, de eneste de har "lukket" er at den ikke kan springe fra system til system, enkelte pc'er bliver stadig lige så nemt inficeret.

Torben K L Jensen og Eva Schwanenflügel anbefalede denne kommentar
Brugerbillede for Anders Jensen
Anders Jensen

Ah damn it..
Var sgu for hurtig der :(
Beklager Jan, havde ikke set det famøse S der :( min fejl!

Brugerbillede for Anders Jensen
Anders Jensen

Men det er så heller noget jeg anbefaler, hold jer til 7 eller 10 normal versionerne (dvs. home, premium, eller professional.)

Brugerbillede for peter hansen
peter hansen

Hvis computeren ikke er på nettet er XP et glimrende system

Søren Kristensen, Anne Eriksen og Anders Jensen anbefalede denne kommentar
Brugerbillede for Anders Jensen
Anders Jensen

Vil nødigt komme med yderligere indrømmelser i den her tråd, men den seneste opdatering gjorde min MBR korrupt :(
Det her rammer mig fandme som en kæmpe stor boomerang :(

Brugerbillede for Morten Balling
Morten Balling

@Anders Jensen
Jeg kender en som siden de tidlige 80'ere har installeret alt muligt crap, som ikke kom direkte fra software producenten, og han har aldrig haft en virus som noget antivirusprogram har opdaget. Har han haft malware? Formentlig. Windows 10 er proppet med med bloatware mm.

Jeg giver dig ret så langt, at Windows 10 med de sidste nye opdateringer sikkert er det mest sikre M$ styresystem for Otto Normalforbruger. For hospitaler, kraftværker mm. er det en hullet si.

For mig at se er et stort problem nørdede IT folk og endnu mere nørdede programmører, som skal overgå hinanden, og som har nul jordforbindelse. Hvem i hulen har f.eks. fundet på at lade en PDF eksekvere ekstern kode. Det er simpelthen stupidt.

Man kan aldrig sikre en computer 100%, men at køre XP på et hospital er en katastrofe som bare venter på at ske.

Btw. Gad vide hvordan det går med at digitalisere folketingsvalgene? Det er da en god idé, eller...

Brugerbillede for Peter Rasmussen
Peter Rasmussen

Og hvorfor er det så lige, at en computer, som eksempelvis styrer en MR-scanner, overhovedet er på nettet?

Brugerbillede for Uffe Juul

@Peter Rasmussen
Det er den f.eks. fordi firma supporten på scanneren kan downloade log filer om natten der fortæller om evt. driftproblemer. Selv om Region Syddanmark påstår at deres XP computere ikke er online passer det ikke, det er de !

Brugerbillede for Søren Kristensen
Søren Kristensen

Nogen der husker de første udgaver af Google eller Photoshop eller Word eller Excell? Programmerne var enkle og intuitive og på mange måder nemmere at bruge, fordi de kun inkluderede det essentielle. Siden kom alt tilbehøret og liret til og da man ikke rigtigt kunne finde på noget afgørende nyt begyndte man at flytte rundt på tingene og lave smarte interfaces der ligner skærmen på en mobiltelefon. I praksis er det ren gemmeleg. Sidste nyt er at sløjfe tilbehør, som fx. Windows Media Player, der forsvandt med Vista. Eller tag min elskede Sidebar, som ikke længere viser udetemperatur fordi den feature ikke længere understøttes, selv om den (endnu) godt kan finde ud af at vise dato mv.

Alt i alt virker det som om alt for mange er enige om jeg skal købe en ny computer, selv om den gamle ikke rigtigt fejler noget. Andet end måske en ny harddisk. Men det kan den vel også få.

Derfor har jeg lige geninstalleret Vista Home Premium 2007 - med Media Player, efter en besked om at Windows ikke længere understøtter Vista. Lyder det skørt? Måske. Jeg er bare træt af at forholde mig til virus og hackerangreb og nye styresystemer i en udendelighed. Min nye strategi er jævnlige backups på USB-stick efterfulgt af en frisk geninstallering af Vista, hver gang computeren viser tegn på uindbudne gæster.

Vista og XP kunne flyve et rumskib til Mars hvis det skulle være og så længe der ikke slipper virus ind er det godt nok til mig. Hvis Windows ikke længere vil være gatekeeper, så må man jo forsøge selv.

Brugerbillede for Anders Jensen
Anders Jensen

Peter
Har en udfordring p.t. hos en kunde som kører noget tandlægesoftware som ikke er understøttet i Windows 10. (Men 7 er så fint til opgaven.) Men du rammer sømmet på hovedet.
Godt skrevet.

Brugerbillede for ulrik mortensen
ulrik mortensen

COBOL, gammelt, men yderst effektivt: "Between 60 and 80 per cent of all business transactions performed worldwide are processedby COBOL programs."
https://scs.senecac.on.ca/~timothy.mckenna/offline/COBOL_not_dead_yet.htm

Det er heller ikke så meget programmeringssprogene, men styresystemerne der er problemet og windows xp er et af de mest hackede styresytemer til dato: https://www.technologyreview.com/s/531651/windows-xp-is-still-a-favorite...

Say Linux ...

Brugerbillede for Jan Weis

Voldtagne operativsystemer.
For konspirationsteoretikerne er det måske et oplagt scenarie, da nu også mægtige NSA er nævnt, en organisation, som sandsynligvis har stillet krav til Bill Gates og andre, lovmedholdeligt eller ej, om at efterlade tilgængelige huller i deres operativsystemer, så myndighederne, i hvert fald siden Bush II og hans paranoia, til enhver tid vil være i stand til at ’voldtage’ alverdens PC-er globalt med en effektiv ’baghyler’, en giftig ’sw-orm’ desværre sluppet nu ud – men hvad med alle de øvrige amerikanske sw-produkter? …

Allan Stampe Kristiansen og Anders Jensen anbefalede denne kommentar
Brugerbillede for Anders Jensen
Anders Jensen

Må indrømme at jeg er begyndt det sidste stykke tid at have et par linux maskiner kørende, ikke fordi jeg har noget at bruge dem til p.t. men jeg bliver nød til at øve mig, fordi den vej MS og Apple tager ser ikke lys ud for superbrugeren og administratoren.

Allan Stampe Kristiansen og Morten Balling anbefalede denne kommentar
Brugerbillede for Morten Balling
Morten Balling

Spørgsmål til IT eksperterne her:

Som Ulrik påpeger kan man køre styresystemer i virtuelle maskiner på én enkelt computer. F.eks. kørte jeg engang Win7 i VMware på min Mac fordi min stjernekikkert bruger ultra-oldschool software og RS-232.

I forbindelse med WannaDecrypt0r angrebet her, prøvede jeg for første gang at hive ethernet kablet ud af min PC og følge udviklingen via en gammel iPad. Mest fordi jeg ikke orkede alt bøvlet med at skulle reinstallere windows, software og drivere.

Så kom jeg til at tænke på min hedengangne Mac. Er det muligt at koble Windows af nettet, køre en VM med Linux, og sandboxe Linux uden at windows kan tilgås af hackere, malware mm.?

Jeg er med på at intet (selv airgaps) er helt sikkert, men malware er immervæk også følsomt software som helst skal møde "forventet" hardware og software for at virke. Jo mere atypisk ens setup er, jo mindre sårbart må det være eller?

Brugerbillede for Frank Hansen
Frank Hansen

Jeg bruger min tre år gamle MacPro med 64 GB Ram og SSD disk. Der har godt nok været problemer, men efter tre hovedreparationer under AppleCare kører den nu lynhurtigt og uden vrøvl.

Software bør ikke videreudvikles ud over et vist niveau. Derefter bliver det blot ringere igen. Donald Knuths tex-program blev udviklet til mainframe computere i tresserne, og kernen har de sidste tyve år været låst. Det er kun interfacet til operativsystemer og brugere, som stadig udvikles langsomt. Jeg kan tage tex-kode, som jeg skrev for 25 år siden, og den vil med nogle få ændringer i preamplen køre på en hvilkensomhelst moderne computer.