Myndighet tvingades stänga e-tjänster efter hackarattacken

I torsdagskväll avslöjades en omfattande informationsläcka, där känsliga uppgifter kopplade till ett statligt system hamnat på darknet. Läckan gäller data från en tjänst som bland annat används för verifiering med Bank-ID, och har sitt ursprung i en hackerattack mot it-företaget CGI i Sverige.

Som en direkt följd av denna incident har Myndigheten för civilt försvar (MCF), tidigare känd som MSB, valt att stänga samtliga sina e-tjänster. Jonas Klint vid myndighetens presstjänst bekräftar kopplingen: ”Det är en följd av incidenten som rör CGI.”

Nedstängningen beskrivs av myndigheten som en preventiv säkerhetsåtgärd. Under tiden pågår ett intensivt arbete för att kartlägga vilka av myndighetens egna tjänster som kan ha påverkats av intrånget. MCF använder Bank-ID och andra elektroniska signaturer för flera viktiga funktioner, däribland hantering av anmälningar gällande explosiva varor.

CGI, som är en av Sveriges största it-leverantörer till offentlig sektor, har tidigare hävdat att attacken endast drabbade två testservrar som inte används i den operativa verksamheten. Dock visar DN:s detaljerade genomgång av det läckta materialet att situationen kan vara mer allvarlig. Filerna som publicerats tyder på att det i flera fall kan röra sig om information som faktiskt används på produktionsservrar – särskilt filer som verkar ha koppling till MCF:s e-tjänster.

Än mer oroväckande är att läckan inte bara innehåller källkod utan också vad som framstår som lösenord och säkerhetsnycklar, enligt DN:s kartläggning. Detta höjer allvarsgraden avsevärt, eftersom det potentiellt kan öppna för ytterligare intrång.

Hackerattacken bär signaturen av en person eller grupp som tidigare genomfört liknande attacker. Samma aktör har nyligen tagit på sig ansvaret för ett intrång mot rederiet Viking Line, där kunduppgifter stals och senare läcktes. I likhet med tidigare attacker offentliggjordes intrånget mot CGI genom ett inlägg på ett forum för cyberkriminella.

Natten till fredag bekräftade CGI intrånget men fortsatte att hävda att det endast gällde testservrar. I ett uttalande till DN medgav företaget dock att ”I samband med incidenten har även ett system med en äldre version av källkoden till en applikation varit åtkomligt”.

Incidenten belyser sårbarheten hos statliga system och den kritiska infrastruktur som hanteras av privata it-leverantörer. CGI:s centrala roll som leverantör av it-tjänster till den offentliga sektorn gör att potentiella säkerhetsbrister kan få omfattande konsekvenser för samhällsviktiga funktioner.

Attacker mot kritiska samhällsfunktioner har blivit alltmer vanliga globalt under de senaste åren. Cybersäkerhetsexperter har länge varnat för att både statliga och icke-statliga aktörer visar ett växande intresse för att angripa samhällsbärande system.

Händelsen inträffar i en tid när cybersäkerhet står högt på agendan för såväl myndigheter som företag. Digitaliseringen av samhället medför ökade risker, särskilt när det gäller system som hanterar känslig information eller styr viktiga samhällsfunktioner.

Myndigheten för civilt försvar har ännu inte meddelat när e-tjänsterna kan förväntas vara i drift igen. Situationen utvecklas fortfarande, och det återstår att se vilka långsiktiga konsekvenser läckan kan få för såväl CGI som för de myndigheter och organisationer som använder företagets tjänster.