Historiskt stort dataintrång drabbar miljoner svenskar
Minst 221 kommuner, 7 regioner, uppskattningsvis mellan 60 och 70 privata företag, 16 universitet och högskolor samt två statliga myndigheter. Uppemot 1,5 miljoner svenskar finns på listan över drabbade i dataintrånget mot Miljödata.
Intrånget, som utfördes av en kriminell utpressarliga, har nyligen lett till en enorm läcka på darknet. Eric Leijonram, generaldirektör på Integritetsskyddsmyndigheten (IMY), beskriver händelsen som exceptionell.
”Det är ett historiskt stort angrepp. Vi har inte sett många av den här omfattningen tidigare. Det handlar också om skyddade personuppgifter, som man naturligtvis måste hantera på ett särskilt sätt,” säger han.
Bara under 2023 har Sverige drabbats av två omfattande läckor av personlig information. Båda utfördes av kriminella hackargrupper som begår dataintrång mot företag och pressar dem på pengar för att inte sprida stulen information. Tidigt i våras var det appen Sportadmin som drabbades, nu är det Miljödata AB, ett företag som hanterar information om arbetsmiljöfrågor, bland annat rehabilitering av sjukskrivna anställda.
När intrånget blev känt fruktade man att känsliga läkarutlåtanden om sjukdom och missbruk hade stulits. Enligt Dagens Nyheters genomgång syns sådana uppgifter inte i läckan, men det som spreds var ändå en omfattande samling persondata med bland annat namn, personnummer och adresser.
I dagarna får många av de drabbade ett informationsbrev. Det gäller såväl nuvarande anställda hos de berörda organisationerna som personer som var anställda för länge sedan, eftersom den stulna databasen innehöll upp till 20 år gamla uppgifter.
Läckan har fått IMY att vidta extraordinära åtgärder. Stockholms stad, Region Skåne och Volvo, tre av de största arbetsgivarna vars uppgifter läcktes, har kallats till myndigheten, främst för att säkerställa att alla berörda personer informeras korrekt.
Eric Leijonram utesluter inte att en formell tillsyn med anledning av Miljödataläckan kan inledas, en granskning som skulle gå till botten med hur läckan kunde ske.
”Jag utesluter inte på något sätt en tillsynsundersökning med anledning av det inträffade,” säger Leijonram.
Även om mycket av den information som läcktes – som namn och adresser – är relativt enkla att hitta på nätet, medför tillgången till en hel databas nya risker, enligt Leijonram. Uppgifterna kan exempelvis användas som en ”telefonbok” för bedragare.
”Att vara medveten om att ens uppgifter har läckt gör att man kan vara extra försiktig om någon ringer. Men man kan också se det i ett större perspektiv. När uppgifter läcker i den här omfattningen så gör det att man kan kartlägga den svenska befolkningen.”
Om IMY upptäcker säkerhetsbrister kan det leda till sanktionsavgifter. Teoretiskt kan dessa uppgå till 20 miljoner euro, vilket är fyra gånger högre än Miljödatas hela årsomsättning. I praktiken blir de ekonomiska straffen ofta betydligt lägre, något som kritiker menar inte är tillräckligt avskräckande.
”Sanktionsavgifter ska inte vara kaffepengar, tvärtom. De ska vara avskräckande och få företagen att känna att de måste leva efter reglerna,” säger Leijonram.
Han försvarar dagens system men utesluter inte högre belopp i framtiden om företag visar sig snåla med säkerheten på ett sätt som ökar risken för fler stora läckor.
”Om det behövs en förändring för att de inte blir tillräckligt avskräckta, då skulle jag vara öppen för det. Det får inte vara så att man gör en kalkyl och struntar i reglerna och kör på för att det kostar för lite.”
En annan omdiskuterad fråga är sekretessen kring intrången som rapporteras till IMY. Företag som hackas måste rapportera hur intrånget gick till, men detaljerna anses ofta för känsliga för att delas. Det har lett till förslag om en it-haverikommission, liknande Statens haverikommission.
Patrik Fältström, säkerhetschef på Netnod och en av Sveriges mest erfarna internetexperter, har länge förespråkat en sådan lösning. En it-haverikommission skulle exempelvis kunna slå larm när kriminella använder liknande metoder för dataintrång mot flera företag.
”Det viktigaste en haverikommission kan göra är att slå fast vilka förbättringar som behövs. Men det måste gå fort,” säger Fältström.
Leijonram erkänner att viss sekretess är nödvändig men tror att fler kunde lära sig av attacker som de mot Miljödata och Sportadmin.
”Vi kan nog vara tydligare i råd om vad företagen ska tänka på. Men det kan man göra utan att berätta exakt hur en viss tjänst har varit konstruerad.”
GDPR, den europeiska dataskyddslagstiftningen, har funnits sedan 2018 och fyller sju år i år. Trots detta sker nu några av de mest omfattande dataläckorna. En grundläggande GDPR-princip är att gamla personuppgifter ska gallras när de inte längre behövs, men i båda databaserna fanns gott om föråldrad information.
På frågan om detta visar att GDPR är tandlöst svarar Leijonram:
”Oavsett vilka regler vi har så kommer det alltid finnas en risk. Och att bli fullständigt fria från cyberangrepp, det vore önskvärt men jag har svårt att se det framför mig. Bryter man mot GDPR kan man dessutom få kännbara sanktioner. Så tandlöst – nej. Men ser vi att alla efterlever reglerna? Nej.”
10 kommentarer
Lite ironiskt att det är arbetsmiljöfrågor som hans slängts ut på nätet. I så fall hade man kanske kunnat hjälpa varandra bättre!
Tror du verkligen att hackare bryr sig om arbetsmiljö?
Kan man åtminstone få veta om det är just sina egna uppgifter som har blivit exponerade?
Det är skrämmande att så många myndigheter och företag blivit utsatta. Hoppas att detta inte upprepas igen.
Intressant att det är Miljödata AB som blir drabbat. Skulle man inte kunna försvara sig bättre mot sådana attacker?
Det är ju svårt att förutse allt för att skydda sig fullständigt.
Det krävs troligen mer investeringar i säkerhet och cyberskydd.
Att det här är ett historiskt stort dataintrång förstår jag, men vad är det som konkret gör det historiskt jämfört med tidigare attacker?
Ytterligare en stor dataläcka visar på hur utsatta vi är för hackare. Vill det inte någon som kan göra någonting?
Det här är verkligen väldigt oroande. Hur kan vi vara säkra på att våra uppgifter inte råkar spridas vidare?