Till följd av det omskrivna cyberangreppet mot systemleverantören Miljödata i augusti har uppgifter om 74 500 akademianställda läckt ut. Bland dem finns personuppgifter rörande 8 500 anställda och 20 000 före detta anställda vid Lunds universitet.
Vid Sveriges lantbruksuniversitet, SLU, läckte personuppgifter om ungefär 12 300 anställda och tidigare anställda ut från Miljödata. Det rör sig om verktyget Adato, som används som systemstöd i rehabiliterings- och personalhanteringsprocessen och händelsen är polisanmäld av Miljödata. SLU har i sin tur anmält läckan till dels Integritetsskyddsmyndigheten, IMY, och Myndigheten för samhällsskydd och beredskap, MSB.
SLU vidtog systemskyddande åtgärder när systemet återstartades och de har även uppmanat sina anställda att vara extra vaksamma och lite ”hälsosamt misstänksamma”.
Martin Melkersson
Universitetsdirektör, SLU Jenny Svennås-Gillner
Martin Melkersson är universitetsdirektör på SLU och säger att de, som han uttrycker det, sannolikt kommer ha en dialog med Miljödata när de är klara med sin utredning av vad som faktiskt har hänt, för att kunna försäkra sig om att Adato har ett tillräckligt skydd mot till exempel externa hackerattacker.
– Det har de uppenbarligen inte haft och det är det mest allvarliga med den här historien. De levererar till väldigt många aktörer och när de själva blir hackade då blir det väldigt många som blir drabbade, poängterar Martin Melkersson.
Han konstaterar att samma sak hände förra året när den finska IT-leverantören Tietoevry hackades. Den gången var det lönesystem som påverkades.
– Den typen av lösningar är egentligen bra. Att ha en och samma leverantör för många kunder. Men det blir problematiskt om leverantören inte kan hålla angripare ute, säger Martin Melkersson.
Universitetsdirektören på SLU understryker att de samarbetar med Miljödata för att komma fram till om de kan göra något på sin sida, som kund.
– Jag tror inte att det är så mycket egentligen som vi kan göra. Det är Miljödata som står för säkerheten och lagringen av alla data. Samtidigt är det svårt att se en situation där vi skulle gå tillbaka till att varje kommun, region eller universitet skulle börja bygga sina egna systemlösningar. Det är inte alls rationellt och skulle kosta väldigt mycket pengar. Den tiden är förbi och då måste man jobba med säkerheten hos leverantören, förklarar Martin Melkersson.
Maria Gustavsson
Jurist och dataskyddsombud, Högskolan Kristianstad
Maria Gustavsson är jurist och dataskyddsombud vid Högskolan Kristianstad där uppgifter om samtliga anställda och tidigare anställda, totalt cirka 1 150 personer, har läckt.
– Anledningen till att vi använder oss av ett system, i det här fallet levererat av Miljödata, är för att få en säkrare och mer strukturerad hantering av till exempel läkarintyg. Men det visade sig att det fanns en liten lucka. Samtidigt har de verkligen sett över sitt system så nu känns det tillräckligt säkert, menar Maria Gustavsson.
Det som har tagits ut ur systemet av hackarna är namn, personnummer och hemadresser. Plus mejladresser till arbetsplatsen. Uppgifterna hittades senare på Darknet.
– Jag tror att de anställda tänker att det inte var de känsligaste uppgifterna, att det handlar om sådant som är hyfsat enkelt att få tag i. På det stora hela är oron inte särskilt stor, det är min bild. Men vissa tänker förstås mer på det än andra, säger Maria Gustavsson.
Vid Linköpings universitet är Joakim Nejdeby digitaliseringsdirektör. I ett mejl till Universitetsläraren förklarar han att ”LiU har 11 227 rader i informationen. Det är individer som är anställda eller har varit anställda i någon form”. Den 26 augusti infördes en arbetsgrupp som har till syfte att hantera det som har hänt. Den gruppen har i sin tur löpande haft kontakt med universitetets dataskyddsombud. I arbetet har ingått att hantera information om händelsen från Miljödatas sida och även att svara på frågor från berörda.
Joakim Nejdeby
Digitaliseringsdirektör, Linköpings universitet
Joakim Nejdeby skriver: ”LiU stängde av kopplingar till det påverkade systemet och har inför en uppstart sett över dessa kopplingar igen med avseende på vilken information som förs över”. Även Linköpings universitet har anmält händelsen till IMY och MSB.
Högskolan i Jönköping poängterar att de inte har Miljödata som systemleverantör men att de ändå har följt upp via olika säkerhetstjänster om några av deras användarkonton förekommer i läckan. Två träffar hittades men de tillhörde inte personer som är anställda vid Högskolan i Jönköping i dag.
Martin Melkersson vid SLU konstaterar att det är viktigt att tänka sig för när det gäller datasäkerhet.
– De flesta människor i dag är ganska luttrade. Det pratas så mycket om det här i media att man påminns om det nästan dagligen. Såklart är det olyckligt att det har läckt ut uppgifter men sannolikt förändrar inte det hotläget. Risken för att bli lurad har funnits redan tidigare, säger Martin Melkersson.
Miljödataläckan
35 lärosäten fick Universitetslärarens enkät. 31 svarade på frågan om huruvida uppgifter om anställda har läckt ut efter cyberangreppet mot systemleverantören Miljödata i augusti i år.
Lunds universitet, SLU, Högskolan Kristianstad, Högskolan i Borås, Linnéuniversitetet, Örebro universitet, Linköpings universitet, Karlstads universitet och Malmö universitet anger att de har drabbats av cyberangreppet.
De 9 lärosäten som svarade ja fick också frågan om hur många anställda det handlar om och vilka åtgärder som har vidtagits.
Chalmers, Försvarshögskolan, Högskolan Väst och Mälardalens universitet har inte svarat på enkäten.
