Cyberbrott och dataläckor

Nästa samtal såg ut som om det kom från Finland och rösten uppmanade mig att agera för att stoppa en stor utbetalning från mitt konto. Jag hade inte tid och lust att prata med någon av bedragarna så jag avstod att gå vidare. Men nästa gång kanske bedragarna hittat på något som triggar just mig. Vi får se…

Företaget Miljödata som lagrar HR-uppgifter för anställda i kommuner och företag har haft en stor dataläcka som rapporterats i media. Uppgifter som namn, e-mail och arbetsgivare men även uppgifter om rehabilitering verkar ha läckt. 80% av våra kommuner använder Miljödata och deras uppgifter finns nu att hämta på Darknet. Vi uppmanas att vara extra försiktiga eftersom bedragare kommer att använda sig av den läckta informationen för att hitta på trovärdiga bluffar.

Med jämna mellanrum sker det sådana här läckor. Allt fler organisationer och företag lägger sina data i molntjänster. När det gäller personinformation är företag skyldiga att följa GDPR, dvs EU:s regler om hantering av personuppgifter. En huvudprincip i GDPR är att man skall minimera mängden personlig information som sparas. Om man följer den principen minskar effekterna av en dataläcka.

Varför fanns det information om personer som slutat sin anställning i dataläckan från Miljödata frågar sig massmedia? GDPR säger att det måste finnas en laglig grund för alla personuppgifter som en arbetsgivare sparar. I det här fallet är den lagliga grunden ett avtal (tex anställningsavtalet) och att företaget behöver följa lagar. Lagstiftning och föreskrifter i bland annat bokföringslagen, skattelagen, arbetsmiljölagen osv kräver att arbetsgivare sparar personliga data under en tid även efter en anställning upphört.

Men det finns också information som en arbetsgivare måste radera när en anställning upphör. En anställds email-konto får inte vara aktivt och innehållet bör tas bort inom en rimlig tid. Det finns domar från flera dataskyddsmyndigheter inom EU som slår fast detta. Ett email-konto kan innehålla mycket personlig information och om inte personen själv bevakar det och lösenordet kommit på vift är det användbart för databrottslingar både vid angrepp på individen eller på företaget.

Att begränsa skadorna av dataläckor är ingen enkel, men mycket viktig uppgift. Att få det här att fungera kräver genomtänkta rutiner och god kunskap om vad GDPR kräver.

Svaret som Göteborgs kommuns IT-chef gav på en fråga från GP imponerar inte. Vid frågan ”Men varför gallrar ni inte bort data när folk har slutat?”, får journalisten svaret ”Det är något som vi får snabbpröva”!?

Det som förvånar mig mest är att Miljödata verkar ha haft okrypterade data på sina servrar. Om data varit krypterade hade det inte räckt att stjäla data från Miljödatas servrar, det hade också behövts specifika lösenord för varje organisation. Vid hyfsad datasäkerhet skall det krävas lösenord som enbart organisationen (och inte Miljödata) känner till för att kunna dekryptera data. Kryptering kräver extra datorkraft, därför förväntar man brist på kryptering av en gratistjänst.

Det är knappas vad som förväntas av en professionell tjänst som hanterar känsliga data. Ett exempel på detta är Microsofts Onedrive, där den privata billigare versionen sparar data okrypterat, medan företagsversionen krypterar sparade data. Man får vad man betalar för och det här gäller även datorsäkerhet.

Över 500 anmälningar har inkommit till IMY (Integritetskyddsmyndigheten) relaterat till intrånget.

IMY:s utredning pågår fortfarande och om det kommer att utkrävas ansvar återstår att se.

Detta är en krönika. Analyser och ställningstaganden är skribentens.