Systemleverantören Miljödata utsattes i helgen för en stor cyberattack som drabbade många av landets kommuner, däribland Hässleholm, och även andra myndigheter. Känsliga personuppgifter har krypterats och förövarna kräver pengar för att göra dem tillgängliga igen. I Hässleholm handlar det om bland annat hantering av rehabiliteringsärenden, lönesamtal och anteckningar från medarbetarsamtal. Polisutredning pågår och på onsdagseftermiddagen höll MSB ett extrainsatt möte med Miljödata och länsstyrelser från hela landet.
I Hässleholms kommun ingår fyra system som levererats av Miljödata i angreppet. De heter Adato, Stella, Opus och Novi.
ANNONS
– Om personuppgifter har läckt så är det mycket allvarligt. Vi arbetar nu skyndsamt för att ta reda på så mycket vi kan om incidenten. Vi är en av många kommuner i Sverige som använder systemen och vi väntar in leverantören Miljödata för mer information om våra nuvarande och tidigare medarbetare är drabbade, säger Johan Lexfors, HR-chef, i ett pressmeddelande på tisdagen.
Enligt Miljödata ska angreppet ha skett på lördagen. Kommunen fick information på söndagen och gjorde en anmälan om personuppgiftsincident till Integritetsskyddsmyndigheten, IMY, på tisdagen. Enligt anmälan berörs mellan 1 000 och 10 000 registrerade personer. Det är anställda hos kommunen, skolelever i förskola, grundskola och gymnasium samt studerande i eftergymnasial utbildning. Personuppgifterna rör hälsa, facklig tillhörighet och personnummer.
På onsdagen visade det sig att Hässleholms kommuns anmälan inte registrerats på grund av tekniska problem hos IMY. En ny anmälan skickades därför in.
IMY:s problem kan ha berott på den stora mängden anmälningar.
– Svaret från IMY var att servern inte klarade av alla anmälningar som skedde samtidigt, skriver Hässleholms kommun i sin nya anmälan.
Enligt svt.se hade IMY vid lunchtid på onsdagen fått in cirka 250 anmälningar om cyberattacken.
– Minst 164 kommuner och fyra regioner är berörda, sa Petter Flink, specialist på IMY, till SVT.
Bland anmälarna finns också stora privata verksamheter och flera högskolor och universitet.
Åklagaren Sandra Helgadottir Ingolfsson på Riksenheten mot internationell och organiserad brottslighet bekräftade i en kommentar till SVT att det pågår en förundersökning om grovt dataintrång och försök till grov utpressning. Det är dock inte klarlagt om någon data verkligen stulits. Däremot har data krypterats. Polisen har till tidningen BLT sagt att utpressarna kräver Miljödata på 1,5 bitcoin, ungefär 1,5 miljoner kronor.
Carl-Oskar Bohlin, minister för civilt försvar, säger till SVT att händelsen understryker vikten av att kommuner tar cybersäkerhetsarbetet på allvar.
Enligt GDPR måste kommunen informera de personer som riskerar att ha fått sina personuppgifter läckta. Det gäller även tidigare medarbetare som kommunen inte längre har kontaktuppgifter till, där kommunens webbplats istället används som kanal. Informationen ska där uppdateras efter hand som kommunen får mer uppgifter om händelsen.
Berit Önell
