Szwedzki organ ochrony danych, Integritetsskyddsmyndigheten (IMY), wszczął dochodzenie po tym, jak poważne naruszenie danych ujawniło dane osobowe około 1,5 miliona osób.
Incydent miał miejsce w sierpniu, kiedy dostawca IT Miljödata został dotknięty atakiem ransomware na dużą skalę. Dostawca obsługuje klientów miejskich i regionalnych w całej Szwecji, w tym na obszarach takich jak Gotlandia, Halland, Kalmar, Varberg, Umeå, Luleå, Kiruna, Mönsterås, Karlstad i Skellefteå. Naruszenie podobno dotknęło ponad 200 gmin i regionów.
Hakerom udało się uzyskać dostęp do dużych ilości danych osobowych i opublikować je w ciemnej sieci. Naruszone dane obejmują imiona i nazwiska, zaświadczenia lekarskie, plany rehabilitacji, rejestry urazów przy pracy i inne poufne dane zdrowotne. IMY poinformowało, że pełny zakres naruszenia nie zostało jeszcze określone, ale podkreśliło powagę incydentu.
Sytuację publicznie skomentował minister obrony cywilnej Szwecji Carl-Oskar Bohlin. W oświadczeniu opublikowanym dla X zauważył, że rząd bardzo poważnie traktuje takie cyberataki i incydenty informatyczne oraz przyznał, że ofiary mogą być niespokojne i niepewne.
IMY rozpoczęło szczegółowe dochodzenie w sprawie Miljödata i kilku dotkniętych organizacji, w tym miasta Göteborg, gminy Älmhult i regionu Västmanland. Regulator wskazał, że może rozszerzyć swój przegląd na inne podmioty. Jenny Bård, szefowa działu nadzoru kamer w IMY, powiedziała, że naruszenie „rodzi szereg pytań o to, jak wyglądało bezpieczeństwo i jakie rodzaje danych osobowych były przechowywane w systemach”.
Na tym etapie IMY nie podało harmonogramu zakończenia dochodzenia, a Miljödata nie ujawniła jeszcze publicznie, w jaki sposób cyberprzestępcy ransomware zdołali przeniknąć do jej systemów.
Sprawa ta uwypukla ryzyko, jakie stwarzają zewnętrzni dostawcy usług informatycznych. Pojedyncze naruszenie dostawcy wpłynęło na wiele instytucji publicznych i dane zdrowotne znacznej części szwedzkiej populacji. Obserwatorzy twierdzą, że może to skłonić do dalszej kontroli nad tym, w jaki sposób organizacje sektora publicznego wybierają i nadzorują swoich usługodawców. Ponieważ dane dotyczące zdrowia i zawodu są bardzo wrażliwe, osoby, których to dotyczy, mogą być narażone zarówno na ryzyko utraty prywatności, jak i potencjalną dyskryminację, jeśli informacje zostaną niewłaściwie wykorzystane.
Dla dotkniętych gmin najpilniejszymi wyzwaniami będą określenie, które osoby są dotknięte naruszeniem, powiadomienie ich zgodnie ze szwedzkim prawem o ochronie danych oraz wdrożenie środków zaradczych i monitorowania w celu zapobiegania nadużyciom. Władze miejskie, które przechowują lub przetwarzają ujawnione dane, mogą również spotkać się z utratą reputacji i sankcjami regulacyjnymi.
W całej Europie organy regulacyjne zwracają baczną uwagę na takie incydenty. Szwedzkie dochodzenie odzwierciedla szersze obawy, że ataki ransomware na dostawców usług mogą przerodzić się w incydenty związane z danymi osobowymi na dużą skalę. W tym przypadku ponad półtora miliona osób mogło już mieć publicznie udostępnione dane, co zwiększa pilność reakcji regulatora.
W trakcie trwania dochodzeń IMY twierdzi, że należy wyciągnąć wnioski i zająć się uchybieniami, aby podobne zdarzenia były mniej prawdopodobne w przyszłości. Regulator skupi się na identyfikacji potencjalnych niedociągnięć, takich jak nieodpowiednia kontrola dostępu, słaby nadzór nad dostawcami lub opóźnienia w wykrywaniu włamań, które pozwoliły na tak szerokie rozprzestrzenienie się naruszenia.
Osoby, których to dotyczy, powinny monitorować swoje konta osobiste i odpowiednią komunikację. Ponieważ w grę wchodzą dane związane ze zdrowiem, mogą chcieć sprawdzić, czy nie ma oznak nietypowego kontaktu, nieoczekiwanych komunikatów dotyczących opieki zdrowotnej lub ubezpieczenia oraz prób kradzieży tożsamości. Zarówno organy publiczne, jak i osoby prywatne mogą odnieść korzyści ze wzmocnienia uwierzytelniania wieloskładnikowego, przeglądu zasad dostępu dostawców i przeprowadzania audytów bezpieczeństwa umów z dostawcami zlecanymi na zewnątrz.