Stina Nyströms sista arbetsvecka i augusti fick en ordentlig ryckstart. När hon klev in på kontoret i Västerås campus den där måndagsmorgonen informerades hon om att universitetet drabbats av en gigantisk cyberattack under helgen.
– Min första tanke var: Det här är inte bra. För i systemet som hade utsatts ligger väldigt mycket personlig information, säger hon.
Angreppet var riktat mot systemleverantören Miljödata, vars it-system för hantering av bland annat sjukskrivningar, läkarintyg, rehabiliteringsplaner och arbetsskador används av ett stort antal samhällsbärande företag, myndigheter, regioner och omkring 80 procent av landets kommuner.
Inledningsvis var det oklart hur omfattande angreppet var och hur mycket information som läckt. De första dagarna efter attacken var systemet låst av Miljödata som febrilt arbetade för att utreda händelseförloppet och dess potentiella konsekvenser. På Mälardalens universitet samarbetade HR-avdelningen med lärosätets dataskyddsombud och informationssäkerhetsfunktion, i tät förbindelse med Miljödata, för att ta reda på hur universitetets anställda drabbats. En så kallad personuppgiftsincident upprättades.
– Vi fick tidigt indikationer på att vi förmodligen inte var en av dem där information hade läckt, men det var ingenting som vi kunde ta för givet. Farhågan var att fel information, känslig information om våra anställda som vi absolut inte vill ska spridas, skulle hamna i fel händer. Och vad skulle vi göra då?
På Mälardalens universitet finns cirka 1 200 anställda. Samtliga, liksom många tidigare anställda, finns i det hackade systemet. Universitetet använder det bland annat för att stötta chefer i deras rehabiliteringsarbete.
– Vi har lärt oss en del på det som hänt, och en sådan sak som vi jobbar med just nu är att se över våra rutiner för gallring av data. Att vi har tidigare anställda som ligger kvar i systemet är inte i enlighet med de rutiner vi behöver följa. Så det måste bli bättre.
En fråga som uppstod tidigt var hur man skulle kommunicera med de anställda kring det inträffade. Det gällde att vara transparent utan att väcka onödig oro, samtidigt som mycket fortfarande var höljt i dunkel. Man valde att lägga ut allmän information på intranätet redan på tisdagen. Antalet oroliga medarbetare som hörde av sig: Noll.
– Det var väldigt lugnt. Det kanske har att göra med att vi på Mälardalens universitet har väldigt låga sjuktal och det gör att det trots allt inte fanns så mycket känsliga data som kunde läcka, om man jämför med till exempel regioner där jag är säker på att man har en helt annan situation.
Cyberhoten är komplexa och skapar både merjobb och oro, berättar Stina Nyström på Mälardalens universitet. Foto: Henrik Mill
Stina Nyström är relativt ny på jobbet. Hon började sin tjänst på universitetet i maj, men har tidigare jobbat som HR-chef och HR-direktör i flera olika verksamheter, framför allt inom statlig sektor. På senare år har hon behövt vänja sig vid cyberangreppsförsök. Det sker ”hela tiden” säger hon, och hintar om att hon varit med om större angrepp som hon inte kan prata mer om.
– I andra organisationer där jag jobbat har vi haft säkerhetsklassad information och personer som är i säkerhetsklass. Då behöver man vara ännu mer varsam med vilka it-system man har och vad som ligger utanför myndighetens skalskydd.
På Mälardalens universitets HR-avdelning jobbar 27 personer som enligt chefen Stina Nyström reagerade med handlingskraft på attacken mot Miljödata. I viss mån är de vana, menar hon. Det finns en struktur för hur man ska hantera olika incidenter. Samtidigt gav händelsen ett tillfälle att stanna upp och identifiera sådant som inte fungerar.
– Det hade vi möjlighet att göra på ett lugnare sätt än om vi hade varit värre drabbade. Vi har som väl är inte läckt persondata på samma sätt som många andra. Jag vet inte vad det beror på att just våra uppgifter inte har läckt, det är en viktig fråga för lärandet framåt.
Ja, det finns alltså verksamheter som drabbats långt värre än universitetet. Det tog några veckor, sedan publicerades uppemot 1,5 miljon svenskars personuppgifter på darknet. Där finns nu personnummer, adresser, telefonnummer – även till personer med skyddade uppgifter. Händelsen utreds av polis med brottsrubriceringen grovt dataintrång och försök till grov utpressning.
Akademikerförbundet SSR:s chefsjurist Mikael Smeds menar att de som drabbats nu riskerar identitetskapning, bedrägerier och hot. Facket kräver att arbetsgivarna tar ansvar genom att erbjuda alla drabbade kostnadsfritt id-skydd och tillgång till psykologiskt stöd. Offentlig sektor kan inte heller fortsätta att outsourca kritiska it-system till leverantörer utan ansvar eller tillräcklig säkerhet, inskärper man.
Stina Nyström hade redan före attacken satt i gång en genomlysning av de system som HR-avdelningen använder. Hon ville ta reda på vilka system man har, varför man har dem och vad man behöver i framtiden.
När hon började arbeta inom HR för mer än 25 år sedan fanns inga cyberattacker att fundera kring. HR-avdelningen hade ju knappt några it-system att angripa. I dag sker mycket av HR-arbetet med hjälp av dessa system, och det kommer inte att bli mindre av den varan.
– Jag längtar inte tillbaka till hur det var förr, men det finns nya saker att beakta. Vi behöver ha ett ökat säkerhetstänk både när det gäller it och i övrigt.
Attacken mot Miljödata har lett till en ökad vaksamhet och tydligare insikter om att olika avdelningar inom universitetet behöver samverka mer än tidigare. Informationssäkerhetsfrågorna är komplexa, hoten svåra att analysera.
– De som genomför sådana här attacker hjälper oss att förstå vår sårbarhet. Det är uppsidan med detta, att man skapar en uppmärksamhet och ett pågående samtal. Men det skapar också mycket arbete och oro, och gör väldigt mycket skada i onödan.
Senaste nytt
Prenumerera på vårt nyhetsbrev och läs om arbetsliv, lön, karriär och fackliga frågor – varje onsdag direkt i din inkorg.
Senaste nytt
LIKABEHANDLING
Nytt uppdrag mot åldersdiskriminering
Arbetsgivare måste bli bättre på att motverka ålders...
JULKRÖNIKA
Återblick 2025 – vad hände nu igen?
En blick i backspegeln visar ett 2025 med den värsta...
