– Det er selvfølgelig alvorlig at det har skjedd, men det ser ikke ut til å ha fått så mye etterspill, sier IKT-direktør i Helse Vest Ole Jørgen Kirkeluten, til RA.
Helse Vest oppdaget feilen ved en intern rutinemessig sikkerhetsgjennomgang. Det ble der konstatert at trafikken fra Webcruiter til deres interne saks- og lønnssystemer ikke var kryptert. Personer med profesjonelt oppsett og fysisk tilgang til nettverksdonene har derfor kunnet avlytte informasjonen og sende den i klartekst videre over nettet.
Da dette ble oppdaget ble trafikken umiddelbart stengt og betydelige ressurser ble satt inn for sørge for at all datatrafikk ble kryptert fra Webcruiter. Ifølge Kirkeluten ser det ikke ut til å ha kommet noen informasjon på avveie. Han sier at det ville vært krevende å få til.
– Det er ikke noe mannen i gata klarer for å si det sånn. Det er eventuelt noen profesjonelle datakriminelle som kunne fått det til, men det krever mye tid og ressurser.
:quality(70)/cloudfront-eu-central-1.images.arcpublishing.com/mentormedier/XNGKSTTQTZHGHDGSD3OBDCRPQ4.jpg)
Jobbsøkerne ikke informert
Feilen oppsto i 2008, da systemet Webcruiter først ble tatt i bruk av Helse Vest i ansettelsesprosessen. Systemet inneholder blant annet CV og personalia til jobbsøkende hos Helse Vest. NRK har tidligere omtalt samme sak i Helse Førde.
– I 2008 var det færre teknologiske muligheter og mindre bevissthet rundt informasjonssikkerhet. Dersom systemet hadde blitt opprettet i 2011, ville ikke dette skjedd. Siden den gang er det standard at datatrafikken er kryptert, sier Kirkeluten.
Saken er fortsatt under behandling, og Datatilsynet kan ikke gi noen kommentar før den er ferdig behandlet. I øyeblikket jobber de med å undersøke hva som har skjedd, vurderer alvorlighetsgraden og ser på hvilke tiltak virksomheten har gjort for å begrense avviket.
Kirkeluten opplyser at jobbsøkerne ikke har vært klar over denne feilen, og heller ikke har blitt informert i ettertid.
– Dersom det er informasjon på avveie og uvedkommende sitter på opplysningene hentet ut fra vårt system, så er det vanlig prosedyre å informere de som er rammet av dette. Men siden vi ikke har noen indikasjoner på at dette har skjedd i denne saken er de ikke informert.
– 13 år er for lang tid
Det var altså ikke før høsten 2021 at denne feilen ble oppdaget. Kirkelund forstår at noen kan reagere på at det tok 13 år, men ønsker å tenke positivt.
– 13 år er for lang tid, men jeg velger likevel å se positivt på at vårt systematiske sikkerhetsarbeid avdekker slike avvik og at vi har en kultur for å melde avvik.
Helse Vest bruker fortsatt Webcruiter når de skal ansette nye personer. Ifølge Kirkelund har bevisstheten og arbeidet rundt informasjonssikkerhet blitt ytterligere sikret de siste årene. En bevisstgjøring av dette, kombinert med det faktum at teknologien har utviklet seg, gjør at dette ikke kommer til å skje igjen i
– Nå er vi sikre på at alt går rett for seg når noen søker jobb i Helse Vest, i hvert fall så sikker som vi kan bli i en digital verden.
:quality(70)/cloudfront-eu-central-1.images.arcpublishing.com/mentormedier/GNXEDYSAT5GAFGFU6GH6V3XOUM.jpg)
:quality(70)/cloudfront-eu-central-1.images.arcpublishing.com/mentormedier/ZUYBJTR7NFBJXEYRHN5XFYDRTE.jfif)
:quality(70)/cloudfront-eu-central-1.images.arcpublishing.com/mentormedier/GLZRPKU7LVD4NG4QGIWYSBECLI.jpg)