Sveriges dataskyddsmyndighet, Integritetsskyddsmyndigheten (IMY), har inlett en utredning efter att ett stort dataintrång avslöjat personuppgifter om cirka 1,5 miljoner individer.
Incidenten går tillbaka till augusti, då IT-leverantören Miljödata drabbades av en storskalig ransomware-attack. Leverantören betjänar kommunala och regionala kunder över hela Sverige, inklusive områden som Gotland, Halland, Kalmar, Varberg, Umeå, Luleå, Kiruna, Mönsterås, Karlstad och Skellefteå. Intrånget ska ha drabbat mer än 200 kommuner och regioner.
Hackare lyckades komma åt och publicera stora mängder personuppgifter på dark web. De komprometterade uppgifterna inkluderar namn, läkarintyg, rehabiliteringsplaner, arbetsskadejournaler och andra känsliga hälsouppgifter. IMY sa att den fulla omfattningen av intrånget ännu inte är fastställd, men betonade allvaret i incidenten.
Sveriges civilförsvarsminister Carl-Oskar Bohlin har uttalat sig offentligt om situationen. I ett uttalande som skickades till X noterade han att regeringen tar sådana cyberattacker och IT-incidenter på största allvar och erkände den oro och osäkerhet som offren kan möta.
IMY har inlett detaljerade utredningar av Miljödata och flera berörda organisationer, bland annat Göteborgs stad, Älmhults kommun och Region Västmanland. Tillsynsmyndigheten uppgav att den kan komma att bredda sin granskning till andra enheter. Jenny Bård, chef för kameraövervakningsenheten på IMY, säger att intrånget ”väcker en rad frågor om hur säkerheten såg ut och vilka typer av personuppgifter som har lagrats i systemen”.
I det här skedet har IMY inte tillhandahållit någon tidsplan för slutförandet av utredningen, och Miljödata har ännu inte offentliggjort hur ransomware-aktörerna lyckades infiltrera deras system.
Fallet understryker den risk som tredjeparts IT-leverantörer utgör. Ett enda leverantörsintrång har påverkat ett stort antal offentliga institutioner och hälsodata för en betydande del av den svenska befolkningen. Observatörer säger att detta kan leda till ytterligare granskning av hur organisationer inom den offentliga sektorn väljer ut och övervakar sina tjänsteleverantörer. Eftersom hälso- och yrkesdata är mycket känsliga kan berörda personer utsättas för både integritetsrisker och potentiell diskriminering om informationen missbrukas.
För de berörda kommunerna kommer de omedelbara utmaningarna att vara att identifiera vilka individer som påverkas, meddela dem enligt Sveriges dataskyddslagstiftning och implementera åtgärder och övervakning för att förhindra missbruk. Kommunala myndigheter som lagrar eller behandlar de exponerade uppgifterna kan också drabbas av ryktesspridning och rättsliga påföljder.
Över hela Europa ägnar tillsynsmyndigheter stor uppmärksamhet åt sådana incidenter. Den svenska utredningen speglar en bredare oro för att ransomware-attacker mot tjänsteleverantörer kan leda till storskaliga personuppgiftsincidenter. I det här fallet kan mer än en och en halv miljon människor redan ha fått data tillgängliga för allmänheten, vilket eskalerar brådskan i tillsynsmyndighetens svar.
Medan utredningarna fortskrider menar IMY att man måste dra lärdom av detta och åtgärda svagheter så att liknande händelser blir mindre sannolika i framtiden. Tillsynsmyndighetens fokus kommer att ligga på att identifiera potentiella brister, t.ex. otillräckliga åtkomstkontroller, svag leverantörstillsyn eller förseningar i upptäckten av intrånget, som gjorde det möjligt för överträdelsen att spridas så brett.
Berörda personer bör övervaka sina personliga konton och relevant kommunikation. Eftersom hälsorelaterade uppgifter är inblandade kanske de vill kontrollera om det finns tecken på ovanlig kontakt, oväntad sjukvårds- eller försäkringskommunikation och försök till identitetsstöld. Både offentliga organ och privatpersoner kan dra nytta av att stärka multifaktorautentisering, granska policyer för leverantörsåtkomst och genomföra säkerhetsgranskningar av outsourcade leverantörsarrangemang.