De Zweedse gegevensbeschermingsautoriteit, de Integritetsskyddsmyndigheten (IMY), heeft een onderzoek geopend nadat een groot datalek persoonlijke informatie van ongeveer 1,5 miljoen personen had blootgelegd.
Het incident dateert uit augustus, toen IT-leverancier Miljödata werd getroffen door een grootschalige ransomware-aanval. De leverancier bedient gemeentelijke en regionale klanten in heel Zweden, waaronder gebieden als Gotland, Halland, Kalmar, Varberg, Umeå, Luleå, Kiruna, Mönsterås, Karlstad en Skellefteå. De inbreuk trof naar verluidt meer dan 200 gemeenten en regio’s.
Hackers slaagden erin om toegang te krijgen tot grote hoeveelheden persoonlijke gegevens en deze te publiceren op het dark web. De gecompromitteerde gegevens omvatten namen, medische certificaten, revalidatieplannen, dossiers over arbeidsongevallen en andere gevoelige gezondheidsgegevens. IMY zei dat de volledige omvang van de inbreuk nog niet is vastgesteld, maar benadrukte de ernst van het incident.
De Zweedse minister van Civiele Bescherming, Carl-Oskar Bohlin, gaf publiekelijk commentaar op de situatie. In een verklaring aan X merkte hij op dat de regering dergelijke cyberaanvallen en IT-incidenten zeer serieus neemt en erkende hij de bezorgdheid en onzekerheid waarmee slachtoffers te maken kunnen krijgen.
IMY is een gedetailleerd onderzoek gestart naar Miljödata en verschillende getroffen organisaties, waaronder de stad Göteborg, de gemeente Älmhult en de regio Västmanland. De toezichthouder gaf aan dat hij zijn beoordeling mogelijk uitbreidt naar andere entiteiten. Jenny Bård, hoofd van de camerabewakingseenheid bij IMY, zei dat de inbreuk “een aantal vragen oproept over hoe de beveiliging eruit zag en welke soorten persoonsgegevens op de systemen zijn opgeslagen”.
In dit stadium heeft IMY geen tijdlijn verstrekt voor de voltooiing van het onderzoek en heeft Miljödata nog niet publiekelijk bekendgemaakt hoe de ransomware-actoren erin slaagden zijn systemen te infiltreren.
De zaak onderstreept het risico van externe IT-providers. Een enkele inbreuk op de leverancier heeft gevolgen gehad voor een groot aantal openbare instellingen en de gezondheidsgegevens van een aanzienlijk deel van de Zweedse bevolking. Waarnemers zeggen dat dit kan leiden tot verder onderzoek naar de manier waarop organisaties in de publieke sector hun dienstverleners selecteren en controleren. Omdat gezondheids- en beroepsgegevens zeer gevoelig zijn, kunnen de getroffen personen te maken krijgen met zowel privacyrisico’s als mogelijke discriminatie als de informatie wordt misbruikt.
Voor de getroffen gemeenten zijn de onmiddellijke uitdagingen onder meer het identificeren van de getroffen personen, het op de hoogte stellen van hen op grond van de Zweedse gegevensbeschermingswetgeving en het implementeren van herstel en monitoring om misbruik te voorkomen. Gemeentelijke autoriteiten die de blootgestelde gegevens opslaan of verwerken, kunnen ook te maken krijgen met reputatieschade en wettelijke sancties.
In heel Europa besteden regelgevers veel aandacht aan dergelijke incidenten. Het Zweedse onderzoek weerspiegelt een bredere bezorgdheid dat ransomware-aanvallen op dienstverleners kunnen uitmonden in grootschalige incidenten met persoonsgegevens. In dit geval hebben mogelijk al meer dan anderhalf miljoen mensen gegevens openbaar gemaakt, waardoor de urgentie van de reactie van de toezichthouder toeneemt.
Terwijl het onderzoek vordert, stelt IMY dat er lessen moeten worden getrokken en zwakke punten moeten worden aangepakt, zodat soortgelijke gebeurtenissen in de toekomst minder waarschijnlijk zijn. De focus van de toezichthouder zal liggen op het identificeren van mogelijke tekortkomingen, zoals ontoereikende toegangscontroles, zwak toezicht door leveranciers of vertragingen bij het detecteren van de inbraak, waardoor de inbreuk zich zo wijd kon verspreiden.
Getroffen personen moeten hun persoonlijke accounts en relevante communicatie in de gaten houden. Omdat het om gezondheidsgerelateerde gegevens gaat, willen ze misschien controleren op tekenen van ongewoon contact, onverwachte communicatie over gezondheidszorg of verzekeringen en pogingen tot identiteitsdiefstal. Zowel overheidsinstanties als particulieren kunnen baat hebben bij het versterken van multifactorauthenticatie, het herzien van het toegangsbeleid voor leveranciers en het uitvoeren van beveiligingsaudits van uitbestede leveranciersregelingen.