Beskedet om attacken kom klockan 13.19 den 21 augusti. Då fick Landstinget Västra Götalandsregionens IT-sektion mejl om att flera webbsidor hackats. I stället för allmän information, stod en varningstext riktad till svenska och brittiska myndigheter. Där fanns även en hälsning från hackarna, som utgav sig för att vara från det omskrivna nätverket Anonymous. I röd text på svart botten var deras budskap:
"Vi kommer inte att överge Julian Assange."
Den omfattande IT-säkerhetsutredningen som gjorts efter attacken, visar att hackarna haft möjlighet att lägga beslag på sekretessbelagd patientinformation hos personer i Västra Götalandsregionen.
"Uppskattningsvis rör det sig om åtkomst till flera hundratusentals patienters uppgifter från minst tidigt 1990-tal (eventuellt ännu tidigare) fram till och med 2009-09-31", står det i utredningen som är stämplad med ordet "KONFIDENTIELLT".
Fallet är polisanmält, som ett misstänkt dataintrång.
Enligt Göran Ejbyfeldt, IT-direktör vid Västra Götalandsregionen, kan känslig patientinformation vara på drift:
Det är patientdata: Administrativ information, personnummer, namn och så vidare.
Osäkerhet kring attacken
Men han säger också:
- Det kan stå vissa saker som kan vara kopplade till en sjukdom och vilken avdelning de varit inne på. Men inte själva journalen.
Rebecka Heed, 23, restaurangbiträde från Dingle, blir orolig när hon får höra om dataintrånget.
- Jag försöker att vara på min vakt och vara försiktig. Men ett sjukhus ska ju vara säkert, har jag i alla fall trott fram tills nu, säger hon.
Osäkerheten kring attacken är fortfarande stor.
- Man har tagit sig igenom våra säkerhetsspärrar och kommit åt en server där datan varit tillgänglig. Om man gjort det eller inte kan vi inte svara på, säger Göran Ejbyfeldt, IT-direktör vid Västra Götalandsregionen.
Hackarna hade möjlighet att plundra 40 databaser under attacken.
Det låter väldigt allvarligt?
- Jag säger fortfarande: de har haft möjlighet, de har kommit åt servrar. Om de har kommit åt datan kan vi inte svara på, säger Göran Ejbyfeldt.
Ni vet inte om informationen är på drift?
- Nej, det vet vi inte. När vi fick veta vad som hänt stängde vi till det här hålet så snabbt som möjligt.
Brister i säkerheten
Utredningen visar att IT-säkerheten haft stora brister, att hackarna "utnyttjat en (sedan en tid tillbaka) känd sårbarhet som fanns publicerad och tillgänglig på webbsidan", att de närmast varit innanför "skalskyddet", som det uttrycks. Samt kunnat operera på en webbserver "som om det var deras egen".
Efter att attacken upptäckts pågick ett intensivt IT-arbete i flera dagar för att täppa till alla luckor.
Hur ser säkerheten ut i dag?
- När det gäller det här problemet är det åtgärdat, säger IT-direktör Göran Ejbyfeldt.
Genom dataintrånget i patient- journalsystemet har hackarna även "haft möjlighet att påverka och förändra informationen som funnits", står det i utredningen.
Enligt IT-direktör är det sjukvårdsinrättningar i norra Bohuslän som är berörda - Trollhättan, Vänersborg och Uddevalla.
Regiondirektör Ann-Sofi Lodin är ytterst ansvarig för informationssäkerheten inom det berörda Västra Götalandsregionen.
"Fått muntlig rapport"
Hon säger till Expressen:
- Jag har fått en information kring att det här skedde och att läget var under kontroll då. Jag kan inte ge mig in i någon diskussion kring frågorna.
Varför har ni inte gått ut med någon information?
- Nej, alltså så har inte jag uppfattat det. Utan det här är en information som vi har fått. Alltså, vad menar du? Att vi skulle ha gått ut med en pressrelease eller?
Hur mycket information har du fått om det som har hänt?
- Att det har hänt har jag fått information om.
- Jag har fått en muntlig rapport kring detta.
Har du sett rapporten?
- Jag kan inte svära på... Jag har inte läst den. Om de har lagt eller ställt den till mig måste jag kolla upp först, så jag inte säger fel saker till dig.
"Har inte läst den"
Senare ringer Ann-Sofi Lodin tillbaka till Expressen:
- Jag har fått rapporten tidigare, men har inte läst den. Jag har framför allt fått muntliga rapporter. Det är väl därför jag känt att jag inte behövt läsa igenom den.