Per Rosén är affärsområdeschef på Nordlo och han konstaterar att en angripare tog sig in i fackförbundens it-miljö och lyckades kryptera fem servrar. Därefter framfördes krav från angriparen på att en kontakt skulle initieras för att systemen skulle återställas, eller låsas upp.
– Vi vet i dagsläget inte vem angriparen är. Den har identifierat sig med ett namn men vi vet inte vem det är eller var den eller de kommer ifrån, om det är från Sverige eller utomlands, säger Per Rosén.
Per Rosén
Affärsområdeschef, Nordlo
Han lägger till att de är ganska säkra på att det inte är någon stor välkänd aktör utan snarare en mindre angripare som ligger bakom attacken.
– När vi upptäckte attacken stängde vi direkt ner systemen och påbörjade återställningsarbetet. På måndagen, den första vardagen efter jul, var de viktigaste delarna återställda så förbunden kunde jobba igen. Vi vet inte med säkerhet vad angriparna var ute efter men eftersom de nämner i sitt meddelande att de vill bli kontaktade för att diskutera ersättning för att låsa upp systemen igen, så tror vi att det är pengar som de är ute efter, förklarar Per Rosén.
Han poängterar att Nordlo inte har varit i kontakt med angriparen och han tror inte att förbunden har varit det heller. Han menar också att förbunden har drabbats ungefär lika mycket, tiden då systemen låg nere var densamma för alla förbunden.
– Nordlos genomgång och analys av loggar har varit omfattande och vi ser i dessa inga tecken som tyder på dataläckage, säger Per Rosén.
Polisanmälan är gjord av förbunden som också har anmält incidenten till Integritetsskyddsmyndigheten. Polisens förundersökning pågår. Det är inte ovanligt med olika typer av it-attacker. Enligt Per Rosén rör det sig om hundratals attacker varje dag, attacker som Nordlo förhindrar.
– Ja, det är en naturlig del för oss i vår vardag att jobba för att stärka motståndskraften för oss och våra kunder. Det handlar om olika typer av tekniska skydd och olika tjänster som förhindrar till exempel överbelastningsattacker. Vissa skydd som vi har installerat för förbunden har lindrat skadan. Vi kan se att han eller hon inte har lyckats hela vägen på grund av tjänster som vi har installerat, understryker Per Rosén.
Förbunden hade, säger Per Rosén, en övervakningstjänst som gjorde att incidenten upptäcktes snabbt. Frågan är nu hur angriparna kunde komma in i it-miljön. Det får bland annat polisutredningen visa.
Lars Geschwind är förbundsdirektör på SULF och även han är noga med att påpeka att ingenting tyder på att några medlemsuppgifter har läckt eller försvunnit. Han säger att SULF jobbade hårt under 2025 för att skärpa it-säkerheten.
Lars Geschwind
Förbundsdirektör, SULF
Han poängterar att den här typen av incidenter gör det tydligt att det finns angripare som vill åt information, som vill komma in i it-systemen och att det är viktigt att göra allt som går för att hindra det.
– Att vi har kunnat gå relativt oskadda ur det här är vi glada för. Nu handlar mycket om att vänta in polisen och de andra utredningar som görs. Sedan får vi se vilka konsekvenser det kan bli. Det blir självklart en fråga om att reda ut vad som faktiskt hände, ansvar och lärdomar inför framtiden, säger Lars Geschwind.
Per Rosén på Nordlo menar att samarbetet mellan dem och förbunden har stärkts, trots incidenten.
– Vi upplever att det finns en förståelse för utmaningarna med att garantera it-säkerhet till hundra procent. Det finns en förståelse för att sådana saker kan inträffa. När det sker är det viktigt att man har en fungerande rutin för att återställa allt så fort som möjligt, inte minst för att hålla kunden mycket väl informerad under incidenten för att skapa trygghet och kontroll i en utmanande situation, säger Per Rosén.
