Det är fortfarande oklart vem som utsatte Fysioterapeuterna och andra fackförbund för en cyberattack i julas där flera servrar krypterades i utpressningssyfte. Allt tyder dock på att det är en sedan tidigare okänd aktör, enligt förbundets IT-leverantör.
Cyberattacken ledde till krypterade servrar, men ingenting tyder på att någon data har läckt ut. Foto: Colourbox
Det var på julafton som Fysioterapeuterna och ytterligare sex fackförbund utsattes för en cyberattack där angriparen lyckades kryptera ett mindre antal servrar. Förbundens gemensamma IT-leverantör Nordlo släckte så fort attacken upptäcktes ner IT-miljön och höll systemet stängt i fem dagar. Det berättar Per Rosén som är affärsområdeschef på Nordlo.
Kan ni garantera att inga uppgifter om fackets medlemmar har hamnat i orätta händer?
– Vi har gått igenom våra omfattande loggar som våra system ger ifrån sig och vi kan inte se att det har skett några onormala transaktionsflöden som tyder på dataläckage.
Vad vet ni om angriparen?
– Inte så mycket. Den här typen av attacker maskeras alltid noggrant. Vi kan i dagsläget inte med säkerhet säga om intrånget har skett från Sverige eller från annat land. Att döma av de verktyg och metoder som har använts tror vi att det är en mindre aktör och inte någon av de större och mer kända.
Vad är angripare av det här slaget ute efter?
– De är ofta ute efter känslig information som kan säljas vidare eller användas för andra bedrägerier. I det här fallet är vår bedömning att de ville åt personuppgifter i utpressningssyfte eftersom de lyckades kryptera flera servrar och meddelade att de krävde ersättning för att låsa upp. Vi lyckades återställa miljön på egen hand.
Hur allvarlig var den här attacken?
– Det är definitivt en allvarlig incident. Det var bra att ingen data läckte ut, men att det blev ett stopp på fem dagar i kundens miljö är inte bra.
Per Rosén. Foto: Therese Asplund
Hur kunde det här ske?
– Den tekniska orsaken utreds fortfarande och angriparna utvecklar kontinuerligt sina metoder för att åstadkomma skada. Det är väldigt vanligt med intrångsförsök, vi stoppar hundratals varje dag. Det här visar hur viktigt det är med bra tekniskt skydd, bra processer och rutiner, och hur viktigt det är med utbildning och stöd till användare för att minska risken för mänskliga fel som kan öppna upp för attacker.
Vad har ni gjort för att stärka säkerheten nu?
– Tillsammans med våra kunder gör vi en massa olika saker för att säkerställa att det här inte ska hända. Vi diskuterar till exempel olika typer av tekniska skydd, hur man kan förstärka dem och hur man sköter det viktiga säkerhetsarbetet. Men det viktigaste är att jobba med utbildning och stöd till användare och anställda hos oss och våra kunder för att minimera riskerna att det blir fel för att man klickar på fel länkar.
Kan det här ha skett på grund av att någon har klickat fel på sin dator?
– Enligt vår bedömning i nuläget är det inte någon anställd på förbunden som har orsakat den här störningen. Det är en extern angripare som har gjort det här angreppet. Men att felklick kan skapa olika typer av virus och ransomware som gör det möjligt för den här typen av IT-attacker att uppstå är allmänt känt. Det är därför det är jätteviktigt med utbildning och stöd.
De övriga fackförbunden som utsattes för cyberattacken på julafton är Sveriges Farmaceuter, Sveriges Psykologförbund, Sveriges Arbetsterapeuter, Sveriges Skolledare, SRAT och SULF. Intrånget är anmält till Polismyndigheten som har startat en förundersökning där förbunden och Nordlo deltar.
Agneta Persson
agneta.persson@fysioterapeuterna.se
