La autoridad de protección de datos de Suecia, Integritetsskyddsmyndigheten (IMY), ha abierto una investigación después de que una importante violación de datos expusiera información personal de aproximadamente 1,5 millones de personas.
El incidente se remonta a agosto, cuando el proveedor de TI Miljödata fue golpeado por un ataque de ransomware a gran escala. El proveedor atiende a clientes municipales y regionales en toda Suecia, incluidas áreas como Gotland, Halland, Kalmar, Varberg, Umeå, Luleå, Kiruna, Mönsterås, Karlstad y Skellefteå. Según los informes, la violación afectó a más de 200 municipios y regiones.
Los piratas informáticos lograron acceder y publicar grandes volúmenes de datos personales en la web oscura. Los datos comprometidos incluyen nombres, certificados médicos, planes de rehabilitación, registros de lesiones ocupacionales y otros datos de salud confidenciales. IMY dijo que aún no se ha determinado el alcance total de la violación, pero enfatizó la gravedad del incidente.
El ministro de Defensa Civil de Suecia, Carl-Oskar Bohlin, comentó públicamente sobre la situación. En una declaración publicada en X, señaló que el gobierno se toma muy en serio estos ataques cibernéticos e incidentes de TI y reconoció la preocupación y la incertidumbre que pueden enfrentar las víctimas.
IMY ha iniciado investigaciones detalladas sobre Miljödata y varias organizaciones afectadas, incluida la ciudad de Gotemburgo, el municipio de Älmhult y la región de Västmanland. El regulador indicó que podría ampliar su revisión a otras entidades. Jenny Bård, jefa de la Unidad de Vigilancia de Cámaras de IMY, dijo que la violación “plantea una serie de preguntas sobre cómo se veía la seguridad y qué tipos de datos personales se han almacenado en los sistemas”.
En esta etapa, IMY no ha proporcionado un cronograma para completar la investigación, y Miljödata aún no ha revelado públicamente cómo los actores de ransomware lograron infiltrarse en sus sistemas.
El caso subraya el riesgo que representan los proveedores de TI de terceros. Una sola violación de un solo proveedor ha afectado a un gran número de instituciones públicas y a los datos de salud de una parte significativa de la población sueca. Los observadores dicen que esto puede provocar un mayor escrutinio sobre cómo las organizaciones del sector público seleccionan y supervisan a sus proveedores de servicios. Debido a que los datos de salud y ocupacionales son altamente confidenciales, las personas afectadas pueden enfrentar riesgos de privacidad y discriminación potencial si la información se usa indebidamente.
Para los municipios afectados, los desafíos inmediatos incluirán identificar qué personas se ven afectadas, notificarles según la ley de protección de datos de Suecia e implementar la remediación y el monitoreo para evitar el uso indebido. Las autoridades municipales que almacenan o procesan los datos expuestos también pueden enfrentar daños a la reputación y sanciones regulatorias.
En toda Europa, los reguladores están prestando mucha atención a tales incidentes. La investigación de Suecia se hace eco de una preocupación más amplia de que los ataques de ransomware a los proveedores de servicios pueden convertirse en incidentes de datos personales a gran escala. En este caso, es posible que más de un millón y medio de personas ya hayan puesto a disposición del público los datos, lo que aumenta la urgencia de la respuesta del regulador.
Mientras avanzan las investigaciones, IMY argumenta que se deben aprender lecciones y abordar las debilidades para que eventos similares sean menos probables en el futuro. El regulador se centrará en identificar posibles deficiencias, como controles de acceso inadecuados, supervisión débil de los proveedores o retrasos en la detección de la intrusión, que permitieron que la violación se extendiera tan ampliamente.
Las personas afectadas deben monitorear sus cuentas personales y las comunicaciones relevantes. Debido a que los datos relacionados con la salud están involucrados, es posible que deseen verificar si hay signos de contacto inusual, comunicaciones inesperadas de atención médica o seguros e intentos de robo de identidad. Tanto los organismos públicos como las personas pueden beneficiarse del fortalecimiento de la autenticación multifactor, la revisión de las políticas de acceso de los proveedores y la realización de auditorías de seguridad de los acuerdos de proveedores subcontratados.