Data: Svenskt statligt IT-system hackat

Uppgifter om ett omfattande dataintrång mot ett IT-företag som arbetar på uppdrag av svenska myndigheter har kommit fram under helgen. Enligt information som DN tagit del av har känsligt material publicerats på darknet under torsdagskvällen, vilket kan innebära allvarliga konsekvenser för både myndigheter och privatpersoner.

Det läckta materialet verkar innehålla källkod till ett digitalt identitetshanteringssystem som används av flera svenska myndigheter. Detta system är en central komponent i myndigheternas digitala infrastruktur och hanterar känsliga personuppgifter för tusentals svenskar.

”Källkod för flera program förefaller finnas, och av vad jag kan se ser hacket genuint ut,” skriver IT-säkerhetsexperten Anders Nilsson i ett mejl till SVT.

Särskilt oroande är uppgifterna om att personuppgifter nu finns till försäljning på darknet. Denna typ av information är ytterst värdefull för kriminella aktörer som kan använda den för identitetsstöld, bedrägerier eller riktade angrepp mot specifika individer eller organisationer.

Intrånget sker i en tid då cyberattacker mot samhällsviktiga funktioner ökar globalt. Sverige har under de senaste åren stärkt sitt digitala försvar, men denna incident visar att sårbarheter fortfarande existerar, särskilt i gränssnittet mellan myndigheter och deras externa leverantörer.

Säkerhetsexperter menar att källkod till myndighetssystem är särskilt känslig information eftersom den kan avslöja sårbarheter som angripare kan utnyttja. Den som har tillgång till källkoden kan också potentiellt skapa bakdörrar in i system eller kringgå säkerhetslösningar.

Myndigheten för samhällsskydd och beredskap (MSB) har ännu inte gått ut med någon officiell kommentar kring händelsen, men enligt branschkällor pågår intensivt arbete för att kartlägga omfattningen av intrånget och vilka system som kan ha påverkats.

Det drabbade IT-företaget, vars namn ännu inte offentliggjorts, är enligt uppgift en central leverantör av digitala tjänster till flera svenska myndigheter. Företaget arbetar nu tillsammans med säkerhetsmyndigheter för att begränsa skadorna och identifiera eventuella sårbarheter som kan ha utnyttjats.

Intrånget väcker också frågor om ansvarsfördelningen mellan myndigheter och deras IT-leverantörer. När känsliga system och uppgifter hanteras av externa företag kan ansvarskedjan bli komplex, vilket kan försvåra både skyddsarbete och krishantering.

Fredrik Heyman, cybersäkerhetsanalytiker vid Totalförsvarets forskningsinstitut, har tidigare varnat för just denna typ av sårbarheter i en rapport från 2022. ”Outsourcing av kritiska IT-tjänster skapar en ny typ av risker som kräver noggrann uppföljning och kontroll från myndigheternas sida,” skrev han då.

För privatpersoner som kan ha drabbats finns i dagsläget få konkreta råd, då det ännu är oklart exakt vilka uppgifter som har läckt ut. Generella rekommendationer vid denna typ av händelser är dock att vara extra uppmärksam på tecken på identitetsstöld, som oväntade kreditförfrågningar eller kontoutdrag med oförklarliga transaktioner.

Datainspektionen kommer sannolikt att inleda en utredning om huruvida händelsen innebär ett brott mot dataskyddsförordningen GDPR, vilket i så fall kan leda till sanktioner mot de ansvariga organisationerna.

Detta är inte första gången svenska myndigheter drabbas av allvarliga IT-säkerhetsincidenter. 2017 uppdagades den omfattande IT-skandalen på Transportstyrelsen där känsliga uppgifter hanterades på ett sätt som stred mot säkerhetsrutiner. Den nuvarande händelsen riskerar att få ännu allvarligare konsekvenser om känslig källkod har läckt ut.

Både Säpo och Nationellt cybersäkerhetscenter följer utvecklingen noga, enligt källor med insyn i ärendet. En formell presskonferens förväntas hållas under de kommande dagarna när mer information finns tillgänglig.