Omkring 25 privata bolag finns med i den omfattande dataläckan från bolaget Miljödata, som avslöjades av SVT nyligen. Totalt handlar det om personuppgifter om 1,5 miljoner individer. Bland de uppgifter som hamnat på Darknet finns bland annat personnummer, mejladresser och antal sjukdagar.
– Det här har lett till en mycket berättigad känsla av obehag. Hade jag jobbat på ett företag där mina personuppgifter läckt ut skulle jag vända mig till arbetsgivaren och säga: Se till att de här uppgifterna kommer bort. Det är ni som upphandlat funktionen, jag vill inte att det här ska ligga ute om mig, säger Jörgen Holmlund, underrättelseexpert på Försvarshögskolan,
SVT, som avslöjade hackerattacken i slutet av augusti, har samlat drygt 850 000 läckta mejladresser på sin webb.
Den som misstänker att den drabbats kan fylla i sin adress och se om den ingår i läckan.
Brottsrubricering: grovt dataintrång och försök till grov utpressning
Händelsen utreds av polis och har brottsrubriceringen grovt dataintrång och försök till grov utpressning. Än så länge finns inga uppgifter om att främmande makt skulle vara inblandad i hackerattacken, men Jörgen Holmlund konstaterar generellt att uppgifter om personal kan hamna hos utländska statsaktörer som Ryssland och Kina.
– De är skickliga på att lagra stora mängder data. En person som de kommer över data om kanske inte är intressant för tillfället – men i ett annat läge, när den bytt jobb eller fått en ny befattning kan personen bli väldigt intressant.
Tillvägagångsättet kan vara att koppla samman namn, kontaktuppgifter och personnummer med hens aktivitet på sociala medier där personen kanske skriver om sitt nya jobb.
Jörgen Holmlund tar självkörande fordon som exempel.
– Då blir ingenjörer och datautvecklare som jobbar i Scania och Volvo intressanta att följa. Ryssland vill komma över information om självkörande fordon för sin försvarsindustri. Kina kan vilja komma över innovationer för att komma snabbare fram med kinesiska patent för att sälja på en världsmarknad.
Personnummer, mejladresser och sjukdagar på Darknet
Antal sjukdagar är en information som läckt, i något enstaka fall även uppgifter som beskriver vad personer är sjukskrivna för.
– Det är djupt känslig och skyddsvärd HR-information som inte ska läggas i system som riskerar att läcka. Bara misstanken om att personliga omständigheter finns ute på vift och till försäljning på Darknet påverkar den enskilde starkt. Jag blir djupt irriterad över att det här kan ske.
Är det bara Miljödata som är problemet, eller behöver även de företag som anlitar bolaget se över sin säkerhet?
– En erfarenhet man måste dra är att det kan bli problem om ett företag lägger alla uppgifter hos samma leverantör. Företagen måste också fundera över om alla uppgifter de har i sina system över huvud taget måste ligga i en molntjänst hos Miljödata. Kanske borde de i stället ha känsliga uppgifter som HR-system med rehabplaner i en egen server, säger Jörgen Holmlund.
Företag drabbade – Axfood bland de värst utsatta
Ett av de företag som drabbats av dataläckan är Axfoodkoncernen med totalt cirka 15000 anställda. Anders Helsing, klubbordförande på Axfood IT, tycker att arbetsgivaren så här långt har skött informationen till sina medarbetare bra.
– Redan när det kom ut att kommunerna utsatts för läckan fick vi veta att även vi var drabbade. Nu vet vi också vilken data det är som kommit på vift, säger han.
Anders Helsing har inte fått särskilt många frågor från de 150 medlemmarna i klubben.
– Jag trodde nog att det skulle komma en storm av frågor, att folk var oroliga. Att det inte blivit så beror nog på all information som arbetsgivaren gått ut med, säger han.
Text: Torbjörn Tenfält
