Nyhetsbrev inom cybersäkerhet

Den senaste tiden har det inträffat flera allvarliga incidenter som påvisat vikten av cybersäkerhet. Från otillåten publicering av personuppgifter till ökända hackersgruppers framfart och den växande sårbarheten för den personliga integriteten, har cybersäkerhet blivit en central angelägenhet i vår digitalt anslutna värld. I detta inlägg kommer vi att redogöra för några av de senaste händelserna som berör cybersäkerhet.

AMF – Information om 186 000 svenska pensionskunder har läckt ut

Enligt SVT har personuppgifter såsom namn, adress, personnummer och premieinformation röjts för närmare 186 000 kunder hos pensionsbolaget AMF. AMF utsattes för ett dataintrång i slutet av maj och nu har känslig information om deras kunder börjat spridas på den så kallade “darknet”, den mörka sidan av internet. Attacken kopplas till den ökända ryska hackergruppen Clop som de senaste månaderna har attackerat och stulit data från flera stora företag runt om i världen. Hackergruppen är känd för att använda utpressningsvirus i samband med sina attacker, därefter brukar de kräva en lösensumma för att inte sprida informationen vidare. Amerikanska FBI har sedan tidigare utlyst en belöning på tio miljoner dollar för de som kan komma med avgörande information om hackergruppen, detta sedan flera amerikanska myndigheter drabbats av deras intrång. AMF har anmält attacken mot dem till Polisen, Finansinspektionen och Integritetsskyddsmyndigheten (IMY). I sin anmälan till IMY uppger bolaget att detta it-angrepp innebär en betydande risk för intrång i de registrerades integritet. (30/8 2023)

Trygg-Hansa – Sanktionsavgift på 35 miljoner mot Trygg-Hansa

Efter en granskning av Trygg-Hansa har IMY beslutat att utfärda en sanktionsavgift på 35 miljoner kronor mot försäkringsbolaget. Beslutet grundas på att Trygg-Hansa har visat brister i sin dataskyddssäkerhet, vilket har medfört att uppgifter om 650 000 av deras kunder har varit tillgängliga via internet för obehöriga. Den säkerhetsbrist som IMY funnit i tillsynen fanns hos försäkringsbolaget Moderna Försäkringar, men eftersom Moderna Försäkringar har slagits samman med Trygg-Hansa ligger ansvaret nu hos Trygg-Hansa att efterleva dataskyddsförordningen. I ett pressmeddelande från IMY uppges det att dessa uppgifter inkluderar detaljerad information om kundernas hälsa, och den omfattande mängden personuppgifter som har varit tillgängliga har möjliggjort skapandet av en detaljerad och privat bild av varje kunds personliga förhållanden. IMY:s granskning har visat att kundernas uppgifter varit tillgängliga under en tidsperiod som sträckte sig från oktober 2018 till februari 2021. Utöver hälsouppgifterna har också andra känsliga uppgifter varit tillgängliga, såsom ekonomisk information, personnummer och information om försäkringsinnehav. Utifrån de allvarliga riskerna som Trygg-Hansa utsatt sina kunder för har IMY i sitt beslut fastställt att Trygg-Hansa inte vidtagit tillräckliga tekniska åtgärder för att säkerställa en adekvat nivå av dataskyddssäkerhet. (28/8 2023)

Vklass – IMY har gett Vklass en varning och förelägger dem att vidta åtgärder 

Under september 2022 tog IMY emot flertalet anmälningar från drygt 60 personuppgiftsansvariga. Dessa ansvariga verkar inom både kommunal och privat skolverksamhet samt är alla kunder till Vklass. I sin verksamhet har dessa organisationer nyttjat Vklass-plattformen, som främst har använts som en kommunikationskanal mellan elever, föräldrar och skolpersonal. Anmälningarna som IMY mottog gällde allvarliga incidenter där personuppgifter som var kopplade till Vklass-plattformen otillåtet hade publicerats och blivit tillgängliga på en webbplats. De personuppgifter som hade exponerats var bland annat namn, bilder, e-postadresser och telefonnummer.

IMY har i sin tillsyn av händelserna kunnat fastställa att Vklass, i sin roll som personuppgiftsbiträde, hade hanterat personuppgifter på ett sätt som stred mot dataskyddsförordningen. IMY har därmed utfärdat en reprimand mot företaget och ålade dem att vidta lämpliga tekniska och organisatoriska åtgärder för att förhindra liknande incidenter i framtiden. Denna tillsynsåtgärd understryker att personuppgiftsbiträden också bär ett ansvar för att korrekt hantera och skydda personuppgifter. I beslutet underströks särskilt att Vklass inte kunde fastställa den exakta omfattningen av skadorna eller de orsaker som låg bakom incidenten. IMY menade att detta var en brist ur både tekniskt och organisatoriskt perspektiv, och att de behöver ha dataskyddsåtgärder på plats för att förebygga och hantera sådana incidenter i framtiden. (28/8 2023)

Slutsatser

Vi på Secure State Cyber anser att informationssäkerhet och dataskydd är avgörande i dagens digitala värld. Detta skydd behövs inte bara för att skydda den personliga integriteten utan också för att företags och organisationers anseende inte ska ta skada. Bristande informationssäkerhet kan leda till allvarliga konsekvenser, som dataintrång eller spridning av personuppgifter. Det är därför nödvändigt att investera i tekniska och organisatoriska åtgärder för att skydda information och därmed upprätthålla förtroende hos kunder och intressenter.