Ekonomi

En halv miljon känsliga uppgifter stals från Kronofogden

Hela Kronofogdens databas över skuldsatta svenskar har stulits av hackare. Registret med information om en halv miljon personer och företag läckte ut i samband med det stora dataintrånget i Skatteverkets servrar för knappt två år sedan. Myndigheten har sedan dess tystat ner omfattningen för allmänheten, polis och åklagare.

Det beskrevs som ett av de största dataintrången i svensk historia. Piratebay-grundaren Gottfrid Svartholm-Warg hade lyckats bryta sig in i IT-företaget Logicas servrar där flera myndigheter förvarade mängder med känsliga uppgifter. Han kom bland annat över Skatteverkets register med 10.000 skyddade personnummer och listor över polisanställda. På samma server låg också Kronofogdens databaser med uppgifter om skuldsatta privatpersoner och företag.

I samband med förundersökningen kring dataintrånget beordrade åklagaren Henrik Olin att Kronofogden skulle beskriva konsekvenserna av dataintrånget. I okto­ber i fjol kom rapporten tillsammans med en lista över de stulna filerna. Kronofogden tonar i rapporten ner betydelsen av informationen och beskriven den bland annat som ”inte känslig”. Ingenstans i rapporten klargörs den verkliga omfattningen av datastölden.

DN kan nu avslöja att bakom de intetsägande filnamnen som listas i rapporten till åklagaren fanns hela databasen över samtliga svenskar som just då hade skulder hos Kronofogden. Drygt tio gigabyte data med personnummer, hemadress, och detaljerad information om skulder för nästan en halv miljon människor och företag.

Att hela databasen stals är något som Kronofogden velat tysta ner, enligt Dagens Nyheters källor.

– Det var uppenbart att man ville att det här skulle tystas ner, ordern var att ligga lågt och att få det här till att bara handla om Skatteverket och läckaget av de skyddade personnumren, säger Dagens Nyheters uppgiftslämnare.

Det har gått 20 månader sedan Kronofogden insåg datastöldens omfattning. Trots det har myndigheten inte informerat allmänheten om hur mycket uppgifter som läckt ut. Inte heller polisen eller åklagaren har fått klart för sig hur omfattande datastölden faktiskt var.

– Det skulle inte ha varit hela data­basen. Jag har för mig att det var någon gammal överföringsfil som låg kvar, säger Rikspolisstyrelsens IT-säkerhetsexpert Anders Jarhed.

Sedan dataintrånget har han haft en rad möten med Kronofogden för att kartlägga konsekvenserna av händelsen. Enligt Jarhed har Krono­fogden under alla dessa möten aldrig klargjort att det handlade om hela databasen.

– Då hade man ju kunnat hamna i en utpressningssituation och då hade polisen varit betydligt mer engagerad. Det är inte bra om en sådan förteckning skulle hamna på villovägar, säger Anders Jarhed.

Kronofogdens säkerhetschef Mats Kajler var den som undertecknade rapporten om incidenten till åklagaren. När DN konfronterar honom med uppgifterna om att det var hela databasen som stals nekar han först. Verksamhetschefen Sven Kihlgren bekräftar dock DN:s uppgifter:

– Vi har 500.000 skuldsatta som finns i registret, både företag och privatpersoner. Man tog en kopia på hela registret, säger han.

Ett annat resonemang som Krono­fogden använt för att tona ner incidenten är att uppgifter om personers skulder går att få ut på laglig väg med stöd av offentlighetsprincipen. Enligt Henrik Brånstad, pressekreterare på Kronofogden, var det ett av skälen till att man inte informerade allmänheten om datastölden.

– Vi diskuterade det som så att det här är ju offentlig information. Vem som helst kan ringa hit och få ut den typen av information i alla fall så vi såg inte att det fanns något behov att gå ut med några särskilda informationsinsatser, säger Henrik Brånstad.

Men det är inte hela sanningen. Enligt uppgifter till DN innehöll registret mängder med hemlig information om personer som redan gjort rätt för sig och därmed fått uppgifterna i Kronofogdens register sekretessbelagda.

Åklagare Henrik Olin, som drev fallet i rätten, säger att han uppfattat dataintrånget som ”omfattande”, men att han inte känner till att det skulle ha varit hela registret som stals.

– Det är inget jag minns. Jag har läst mina anteckningar från förhöret med Kronofogden och jag har inte antecknat att det skulle ha varit hela registret med en halv miljon personer och företag det rörde sig om, säger Henrik Olin.

Han är kritisk till hur Kronofogden valt att hantera incidenten.

– Kronofogden är den myndighet som har tagit minst allvarligt på dataintrånget eftersom en stor del av uppgifterna som kopierats har varit allmänna handlingar. Jag delar inte deras uppfattning. Min och Kronofogdens uppfattning om allvarlighetsgraden skiljer sig åt, säger Henrik Olin.

DN:s uppgiftslämnare, som har god insyn i Kronofogdens hantering i ärendet, tycker att det var fel att mörka omfattningen för allmänheten.

– Kronofogden var onödigt feg som gömde sig bakom Skattverket. Jag tycker Kronofogdens läcka var mycket känsligare än Skatteverkets, säger personen.

Registret över skulder har ännu inte publicerats offentligt. Gottfrid Svartholm-Warg dömdes för stölden av datafiler från Kronofogden, men omfattningen klargörs inte på något ställe i domen. I chattforum för hackare framgår att filerna har delats mellan användare. Enligt åklagaren Henrik Olin har materialet med stor sannolikhet spridits på servrar runt om i världen.

DN granskar. Så tipsar du oss

1 Vet du mer om dataintrånget? Tipsa DN:s reportrar. På tjänsten ”DN granskar” kan du lämna information som kan vara känslig. Adressen är dngranskar.dn.se. DN skyddar sina källor.
2 Tjänsten är uppbyggd för att ge dig som tipsare största möjliga säkerhet. Därför krypteras ditt tips.
3 Du får vara anonym. Granskande reportrar tar hand om tipset.

Detta har hänt

25 februari 2012:
Hackare bryter sig in i IT-företaget Logicas servrar där bland annat Kronofogden och Skatteverket förvarar information. Inkräktarna lyckas tilldela sig själva hög behörighet i servrarna och kan på så sätt ladda ner stora mängder data.

7 mars 2012:
Teknisk personal på Logica upptäcker att dataprocessorn på en av servrarna utsätts för onormalt hög belastning.  De inser att någon har lyckats bryta sig in.

23 mars 2012:
Dataintrånget polisanmäls.

Slutet på mars 2012:
Logica lyckas täppa till alla hål för obehöriga

25 mars 2012:
En person som kallar sig "tLt" skriver i en chatt att han har kommit över hela Kronofogdens register. tLt visar sig senare vara en signatur som Gottfrid Svartholm Warg använder.

April 2013:
Allt eftersom Logicas egen utredning pågår har berörda myndigheter, Skatteverket, polisen och Kronofogden börjat utvärdera skadorna. Kronofogdens högsta ledning inser att hela deras databas över skuldsatta svenskar har stulits.

27 juli 2012:
Justitiedepartementet vänder sig i ett brev till myndigheterna i Kambodja och begär att Gottfrid Svartholm Warg ska utlämnas till Sveriges eftersom han misstänks för grova databrott.

30 augusti 2012:
Gottfrid Svartholm Warg grips i Phnom Penh, Kambodja.

Oktober 2012:
Kronofogdens ledning beskriver i en rapport till åklagaren konsekvenserna och omfattningen av dataintrånget. Inte någonstans förklaras att det är hela registret som stulits.

Juni 2013:
Gottfrid Svartholm-Warg döms till två års fängelse i Nacka tingsrätt för dataintrånget hos Logica och i Nordeas stordator.

September 2013:
Hovrätten sänker straffet till ett års fängelse och underkänner delar av åtalet som gäller intrånget i Nordeas servrar. Enligt Svartholm Warg är det någon som fjärrstyrt hans dator och utfört intrången utan hans vetskap.

November 2013:
Gottfrid Svartholm Warg häktas av Frederiksbergs tingsrätt i Köpenhamn misstänkt för omfattande dataintrång i den danska polisens datasystem.