Miljödatas dataläcka avslöjar brister i säkerhetsledning och upphandlingskrav

Omfattande dataintrång mot offentlig sektor

Hotaktören bakom intrånget, hackergruppen Datacarry, krävde en lösensumma och publicerade därefter det stulna materialet på Darknet när betalning uteblev. Incidenten ledde till att hundratals verksamheter anmälde personuppgiftsincidenter till Integritetsskyddsmyndigheten (IMY) och väckte allvarlig oro kring skyddet av känslig information i offentlig sektor.

Riskarbetet är inget tillval?

Denna incident blottlägger brister i Miljödatas riskhantering och informationssäkerhetsarbete. Att en relativt liten leverantör hanterar så omfattande och känsliga personuppgifter (t.o.m. uppgifter om skyddade identiteter förekom i läckan) utan att kunna förebygga ett massivt dataintrång tyder på att ett systematiskt säkerhetsarbete saknats eller varit otillräckligt. Ett Ledningssystem för informationssäkerhet (LIS) enligt ISO 27001-standard hade kunnat ge en struktur för att kontinuerligt identifiera och hantera risker. Myndigheten för samhällsskydd och beredskap (MSB) beskriver LIS som ”organisationens processer för styrning och ledning av informationssäkerhetsarbetet” som ska utvärderas löpande och anpassas efter aktuella risker, med tydligt stöd från ledningen. Den internationella standardserien ISO 27000 (inklusive ISO/IEC 27001) erbjuder just ett sådant ramverk där säkerhetsnivån baseras på riskanalyser och arbetet följer en tydlig process. Hade Miljödata haft ett moget säkerhetsledningssystem på plats – med regelbundna säkerhetsrevisioner, uppdaterade rutiner och utbildad personal – kunde sårbarheter kanske ha upptäckts och åtgärdats i tid. Även om en certifiering enligt ISO 27001 inte garanterar att inga incidenter sker, signalerar den att organisationen systematiskt arbetar med informationssäkerhet och förbinder sig till kontinuerliga förbättringar.

Det faktum att angriparna lyckades ex-filtrera en så stor datamängd tyder på brister i grundläggande skyddsåtgärder, såsom säkerhetsuppdateringar, nätverkssegmentering eller övervakning. Riskhanteringen verkar ha varit otillräcklig – antingen identifierades inte riskerna (till exempel en exploaterbar sårbarhet), eller så var åtgärderna otillräckliga för att stoppa intrånget. Detta väcker frågan om ledningen i Miljödata verkligen prioriterat säkerhetsarbetet. Ett LIS enligt ISO 27001 kräver ledningens aktiva engagemang och att säkerhet integreras i verksamhetens styrning. När sådant engagemang saknas blir säkerhetsinitiativ ofta styvmoderligt behandlade, med föråldrade system och otillräcklig beredskap som följd. Miljödatas offentliga uppdateringar efter intrånget beskriver visserligen tekniska åtgärder som vidtagits i efterhand (täppa till sårbarheter, nollställa konton, stärka nätverksbegränsningar etcetera), men dessa reaktiva insatser kunde inte hindra att data faktiskt stals och spreds. Förebyggande arbete genom systematiskt säkerhetsledningssystem är det som hade behövts redan innan attacken.

Offentlig upphandling och krav på informationssäkerhet

En naturlig fråga att ställa är: Hur kunde så många offentliga verksamheter anlita en leverantör utan att säkerställa att denne uppfyller höga säkerhetskrav? Offentliga myndigheter och kommuner har enligt lag ansvar för de personuppgifter de hanterar, även när de lägger ut driften på en extern leverantör. Enligt GDPR får en personuppgiftsansvarig ”endast anlita personuppgiftsbiträden som ger tillräckliga garantier” för att kraven i dataskyddsförordningen, inklusive säkerhetsåtgärder, uppfylls. I fallet Miljödata innebär det att varje kommun, region eller myndighet som använder Adato borde ha försäkrat sig om att leverantören hade robusta säkerhetsåtgärder och processer på plats. Här uppstår ett potentiellt ansvarsproblem: har offentliga kunder verkligen utvärderat och ställt tillräckliga säkerhetskrav på Miljödata vid upphandling och under avtalstiden? Om inte, brister de i sin lagstadgade omsorgsplikt kring medborgarnas personuppgifter.

En orsak kan vara att upphandlande myndigheter traditionellt fokuserat mer på funktionalitet och pris än på säkerhet. Lagen om offentlig upphandling (LOU) ger dock möjlighet att ställa relevanta säkerhetskrav. Upphandlingsmyndigheten klargör att det är tillåtet att kräva exempelvis ett informationssäkerhetsledningssystem enligt ISO 27001 (eller likvärdigt), förutsatt att kravet är proportionerligt och kopplat till det som upphandlas. I en affär där leverantören hanterar kundernas känsliga data – såsom vid molntjänster eller HR-system – framstår ett sådant krav som både ändamålsenligt och proportionerligt. Upphandlande organisationer kan i sina tekniska specifikationer ange att tjänsten ska utvecklas och drivas enligt ISO 27001 eller likvärdig standard, och begära bevis (certifiering eller revision) på att så är fallet. Trots detta tycks få offentliga upphandlingar inom IT ställa uttryckliga krav på certifierade säkerhetsledningssystem. Kanske har man nöjt sig med allmänna formuleringar om att leverantören ska ha ”adekvat IT-säkerhet” eller följa lagar som GDPR – krav som är svåra att verifiera och mäta om de inte kopplas till etablerade standarder.

I ljuset av Miljödatas läcka blir det uppenbart att offentliga verksamheter behöver höja ribban. Redan i upphandlingsstadiet bör man genomlysa leverantörens säkerhetsmognad. Verktyg och ramverk finns: till exempel har Sveriges Kommuner och Regioner (SKR) tagit fram KLASSA-modellen, där informationssäkerhetskrav baseras på SS-ISO/IEC 27001/27002. Flera kommuner använder KLASSA för att klassificera data och härleda lämpliga skyddsåtgärder, vilket ger en checklista att ställa som krav på IT-leverantörer. Säkerhetskrav bör inkluderas tidigt i kravspecifikationen när nya system upphandlas – inte som ett eftertänkt tillägg. 

I analyserna av attacken framkommer att kravbilden på leverantörer måste skärpas betydligt. Det räcker inte med allmänna skrivningar om säkerhet – det behöver ställas tydliga krav på efterlevnad av standarder som ISO 27001 och GDPR, kompletterat med konkreta tekniska skydd som kryptering, stark åtkomstkontroll och spårbar loggning.

Men det stannar inte där. En seriös upphandling bör även väga in leverantörens historik, incidentrutiner och förmåga till snabb återställning. Dessutom måste avtalen uttryckligen reglera ansvar, åtgärdstider och kompensation vid dataläckor eller driftstörningar. På så sätt får både köpare och leverantör en tydlig ram för vilket skydd och ansvar som faktiskt gäller när det värsta inträffar.

Exempel på viktiga säkerhetskrav som offentliga kunder bör ställa på leverantörer av kritiska IT-tjänster:

• Ledningssystem för informationssäkerhet: enligt ISO/IEC 27001 (eller likvärdig standard) – leverantören ska visa att de jobbar systematiskt med riskhantering, policyer, revisioner och kontinuerliga förbättringar.
  
  
• Kryptering och behörighetshantering: All känsliga data ska krypteras både i vila och under transport. Stark autentisering (till exempel multifaktorautentisering) och strikt åtkomstkontroll ska finnas för systemens användare.
  
  
• Övervakning och tester: Systemet ska ha omfattande loggning för spårbarhet och upptäckt av obehörig aktivitet. Regelbundna penetrationstester och sårbarhetsskanningar ska utföras av leverantören för att proaktivt hitta säkerhetsbrister.
  
  
• Incident- och kontinuitetshantering: Leverantören ska ha dokumenterade rutiner för incidentrespons, regelbunden backup samt en plan för katastrofåterställning. SLA-överenskommelser om upptid och åtgärdstider vid incidenter bör finnas, liksom krav på omedelbar rapportering av säkerhetsincidenter till kunden.
  
  
• Efterlevnad av lagar: Tjänsten och leverantören ska uppfylla tillämpliga lagkrav (till exempel GDPR, NIS2 där det är relevant). Personuppgifter ska lagras inom godkända geografiska områden (till exempel inom EU) och leverantören ska kunna bistå med underlag för tillsyn och revision.

Genom att specificera och utvärdera sådana krav redan vid upphandlingen kan offentliga beställare sålla bort aktörer som inte tar säkerhet på allvar. Hade detta skett med Miljödata, kunde man antingen ställt ultimatum om förbättring/certifiering av säkerhetsarbetet eller valt en annan lösning. Tyvärr är det vanligt att säkerhetskrav nedprioriteras i offentliga upphandlingar – ibland av okunskap, ibland av rädsla att begränsa anbudskonkurrensen. Men att ignorera säkerhetsaspekten kan, som vi ser, bli förödande dyrt i längden, både ekonomiskt och för medborgarnas förtroende.

Offentliga beslutsfattare måste börja ta säkerhetsansvar

Det är lätt att peka finger mot en enskild leverantör som drabbats av intrång, men ansvaret är delat. Offentliga beslutsfattare – från upphandlingschefer till kommunala IT-strateger och högsta ledningen – måste se informationssäkerhet som en strategisk fråga och ett gemensamt ansvar. I många kommuner är IT-säkerhet något som ”IT-avdelningen sköter”. Men när en hel kommuns personaldata ligger i händerna på en extern partner krävs aktivt ägarskap från beställarens sida.

Det handlar bland annat om att:

• Prioritera säkerhet på ledningsnivå: Ledningen i offentlig sektor bör efterfråga riskrapporter och säkerhetsstatus för kritiska system, inte enbart kostnads- och effektivitetsrapporter. Säkerhetsincidenter ska behandlas som allvarliga verksamhetsrisker, inte enbart tekniska problem.
  
  
• Kompetens höja organisationen: Beslutsfattare måste se till att det finns kompetens att ställa rätt krav och tolka säkerhetsrapporter. Om den interna kunskapen brister bör man ta hjälp av experter (till exempel vid upphandlingar eller granskningar) för att inte missa viktiga detaljer.
  
  
• Följa upp och revidera: Att ställa krav i avtalet är bara början. Offentliga kunder måste också kontinuerligt följa upp att leverantören lever upp till kraven – genom revisioner, granskningar och dialog. I fallet Miljödata kunde regelbundna oberoende säkerhetsgranskningar kanske ha identifierat svagheter innan det gick så långt.

Beslutsfattare i offentlig sektor har även en roll i att skapa incitament och kulturförändring. Om leverantörer vet att säkerhet är en förutsättning för att vinna offentliga kontrakt, kommer de att investera mer i förebyggande åtgärder som certifieringar, bättre internkontroller och personalutbildning. Offentlig sektor förfogar över stor köpkraft – att tydligt signalera att ”säkerhet först” gäller vid upphandling kan driva en positiv utveckling i hela branschen. Som en bieffekt skyddar man också skattebetalarnas data och upprätthåller förtroendet för digitala tjänster.

Slutsats: Dags för skärpta krav och lärdomar av incidenten

Miljödatas dataläcka bör fungera som en väckarklocka. Riskarbete kan inte negligeras hos leverantörer som hanterar känslig information – och kunderna i offentlig sektor måste bli bättre på att kräva och verifiera detta riskarbete. Standarden ISO 27001 är inget trollspö, men den utgör en vedertagen basnivå för informationssäkerhet som allvarliga aktörer borde leva upp till. När över en miljon personuppgifter läcker ut till följd av en enda leverantörs bristande säkerhet, är det tydligt att status quo inte håller.

I den debatt som nu följer är några punkter centrala: För det första, bör certifierade säkerhetsledningssystem bli norm för IT-leverantörer till offentlig sektor – eventuellt genom branschöverenskommelser eller skärpta upphandlingskriterier. För det andra måste offentliga verksamheter inse att ansvaret för informationssäkerhet inte kan delegeras bort; att köpa en molntjänst betyder inte att man köper immunitet mot cyberrisker. För det tredje behöver vi en kultur där öppenhet och lärdomar från incidenter delas, så att varje kommun och myndighet drar nytta av de hårda lärdomar som till exempel Miljödata-attacken gett.

Slutligen handlar det om medborgarnas förtroende. Offentlig sektor förvaltar invånarnas data, och med det följer en skyldighet att skydda den informationen med största omsorg. Bristande säkerhetssatsningar riskerar inte bara individers integritet utan också tilliten till digitala välfärdstjänster. Låt därför Miljödata-fallet bli en katalysator för förändring: stärk riskhanteringen, ställ skarpa säkerhetskrav och ta ansvar på alla nivåer – innan nästa stora dataläcka hamnar på löpsedlarna.

Källor:

Denna analys baseras på rapporteringen kring cyberattacken mot Miljödata i augusti–september 2025 samt riktlinjer från myndigheterna Upphandlingsmyndigheten, MSB och IMY. Dessa källor understryker incidentens omfattning och vikten av systematiskt informationssäkerhetsarbete samt belyser de möjligheter och skyldigheter som finns att ställa krav på säkerhet inom offentlig upphandling.