Vi har förtydligat hur vi behandlar personuppgifter och cookies.

Läs mer

En utskrift från Dagens Nyheter, 2019-08-23 15:45

Artikelns ursprungsadress: https://www.dn.se/nyheter/misstankt-dataintrang-mot-statens-lonesystem-personuppgifter-i-riskzonen/

Nyheter

Misstänkt dataintrång mot statens lönesystem – personuppgifter i riskzonen

I veckan gick Statens servicecenter, som ansvarar för systemet, ut med uppgifter om vad som inträffat till berörda myndigheter. Foto: David Bergström

It-systemet som hanterar löner för tiotusentals statsanställda på över 40 myndigheter misstänks ha utsatts för ett dataintrång. Personer med skyddad identitet kan omfattas av intrånget, enligt en intern utredning.

Händelsen är polisanmäld och beskrivs i en utredning som mycket allvarlig. 

Det misstänkta intrånget har skett mot Primula, ett system för lönehantering som omfattar omkring 45.000 personer på en lång rad myndigheter. Namn, personnummer och adresser för anställda ska ha blivit tillgängliga för fel personer. Men systemet hanterar också känsliga uppgifter om exempelvis sjukfrånvaro. 

Tidigare denna vecka gick Statens servicecenter, som ansvarar för systemet, ut med uppgifter om det inträffade till berörda myndigheter. I brevet, som DN har tagit del av, beskrivs händelsen som ”mycket allvarlig”. Där betonas också att vissa uppgifter kan omfattas av sekretess eller vara känsliga på annat sätt, som exempelvis sjukuppgifter.

Säkerhetshålet ska ha upptäckts tidigare i år av en anställd på en av de myndigheter vars löner hanteras i systemet. Enligt polisanmälan ska personen då ha utnyttjat luckan för att komma åt ännu mer information i stället för att rapportera upptäckten. 

Polisanmälan om misstänkt dataintrång riktas mot den anställde. Det finns inga bevis för att personuppgifterna ska ha spridits vidare. 

– Personen ifråga har haft behörighet att komma åt systemet för sin egen myndighets räkning och har med den behörigheten gjort slagningar i systemet med egenutvecklad kod för att komma åt mer information, något som vi ser allvarligt på och har polisanmält, säger Hans Tynelius, avdelningschef på Statens servicecenter.

Det råder delade meningar om hur vidsträckt säkerhetshålet var. Den anställde har hävdat att denne kunde komma åt personuppgifter även på andra myndigheter, men på Statens servicecenter säger man att man inte har funnit bevis för detta. Däremot bekräftas buggen som exponerade personuppgifter för icke behöriga på den egna myndigheten. 

– Att upptäckta buggen och rapportera den till oss är helt rätt att göra. Men när man börjar lägga in egen skadlig kod i systemet för att hacka sig in så är vår bedömning att man har gått över gränsen, säger Hans Tynelius.

Förutom polisanmälan har händelsen också rapporterats till Datainspektionen. 

Samtidigt utreder tekniker omfattningen av läckan. ”Dialog pågår fortsatt med systemleverantören om hur personuppgifter kan ha gjorts tillgängliga för obehöriga och i sådana fall vilka”, skriver myndigheten i sitt brev till berörda. 

Omkring 45 myndigheter använder Primula för sin lönehantering, som hanteras centralt av Statens servicecenter. Allt fler anställdas löner flyttas över till Primula och enligt Hans Tynelius beräknas 100.000 personer snart få sina löner via det. Dessutom tillkommer andra kunder, exempelvis flera universitet, som har avtal direkt med it-jätten Evry som har utvecklat systemet.

DN har sökt Evry för en kommentar.