Intrång i GR:s IT-system

Händelsen har polisanmälts och även rapporterats till Myndigheten för samhällsskydd och beredskap.

Ingen lösensumma har utbetalats till angriparna, vilket är enligt rekommendationen vid den här typen av intrång. Myndigheten för samhällsskydd och beredskap (MSB) skriver på sin webbplats:

Att betala angriparna för att få ta del av dekrypteringsnyckeln medför endast att informationen kan låsas upp. En total återställning av it-miljön behöver ändå göras för att säkerställa att all skadlig kod tas bort och att brister som möjliggjorde handgreppet hanteras. Betalning till angriparna är ett sätt att finansiera grovt kriminella nätverk och MSB avråder starkt att göra det.
Metoder som används vid cyberangrepp (msb.se) Länk till annan webbplats.

Följande system fanns på de servrar där intrånget skedde:

• Indra: Används för antagningen till gymnasieskolan samt för övergångsinformation mellan skolorna.
• Elevinformation (Elin): Används för att säkerställa korrekt information gällande Göteborgsregionens ungdomar och gymnasieelever, så att rätt underlag finns för att hantera interkommunala ersättningar, bidrag till fristående skolor, samt stödja hemkommunernas arbete med att uppfylla det kommunala aktivitetsansvaret (KAA). Systemet ger även underlag till regional statistik.
• Praktikplatsen.se: Ett verktyg där utbildningsanordnare samordnar all praktik och kontakter på ett ställe. Elever och studenter söker själva sina praktikplatser och arbetsgivare kan enkelt följa vilka som kommer till dem.
• Läromedelsbeställning (bok och digital licenshantering): Ett system där skolor i Göteborgsregionen beställer läromedel.
• QlikSense: Ett visualiseringsverktyg som används på olika sätt. Hanterar statistik från olika system, bland annat Indra och Elin. Används även som en ekonomisk databas (Vera) som tar fram ekonomiska prognoser och underlag till fakturering gällande yrkesutbildningar för vuxna i Göteborgsregionen.

Eftersom leverantören stängde ner samtliga servrar låg även andra applikationer tillfälligt nere. Bland dessa fanns GRvux, Gymnasiedagarna och Hajk (bl.a.Hållbarhetsverktyget)

Samtliga system och applikationer är i drift igen, förutom Hajk (bl.a. Hållbarhetsverktyget).

Från och med söndag natt (24 september) påbörjades arbetet med att återställa krypterade servrar från backuper. Samtidigt med återställandet åtgärdas potentiella säkerhetsluckor för att minska risken för ytterligare attack.

Samtliga berörda system är uppbackade och de som gjorde intrånget har inte lyckats nå och därmed kryptera backuperna. Av denna anledning bedömer vår driftsleverantör att det finns goda möjligheter att kunna återställa systemen till tidpunkten för senast genomförda backup. Då intrånget skedde under helgen har det varit låg aktivitet på servrarna vilket gör det enligt driftsleverantören är än mer gynnsamma faktorer för att återställa backup.

Eftersom extern part har haft tillgång till våra servrar finns en risk att personuppgifter kan ha läckt.

Driftsleverantörens bedömning är dock att sannolikheten är låg att personuppgifter har läckts utifrån den korta tid som incidenten pågick. Driftsleverantörens antaganden är att motiven bakom intrånget är ekonomiska skäl (att pressa på pengar), inte att tillskansa sig uppgifter.

Utifrån att det finns en risk bedömer GR att det behöver hanteras som en personuppgiftsincident.

Vilka personuppgifter som finns i de olika systemen varierar beroende på uppdraget och ändamålet med behandlingen. Några exempel på personuppgifter som finns i de system där GR är ansvarig för behandlingarna är: namn, kontaktuppgifter, personnummer, skola/organisation, hemkommun. Flera av dessa personuppgifter är skyddsvärda eftersom de rör barn under 18 år. Det finns inga skyddade personuppgifter men vissa räknas som känsliga, såsom etniskt ursprung (betyg i modersmål) och hälsa (anpassad grundskola eller gymnasieskola, f.d särskola).

Vi vet inte exakt hur många personer som är berörda eftersom en och samma person kan vara registrerad i flera system.

I de system där GR är personuppgiftsansvarig (PuA) finns 39 000 personer registrerade (Indra som används till gymnasieantagningen) och 5 000 (Läromedelsbeställning, där kommunerna beställer läromedel).

Det skiljer sig från system till system.

GR är personuppgiftsansvarig (PuA) för följande:

• Behandlingen som rör antagningen till gymnasieskola inom Göteborgsregionen. I den processen används systemet Indra.
• Behandlingen som rör läromedelsbeställning där systemet Läromedelsbeställning (Bok) används som stöd.
• Behandlingar som rör ekonomiska prognoser och betalningsunderlag för regionala yrkesutbildningar inom vuxenutbildningssamverkan inom Göteborgsregionen. För dessa används databasen Vera som stöd. Här är GR PuA för de uppgifter som hämtas till Vera från GR:s elevhanteringssystem i Alvis (GR-Alvis).

I övriga behandlingar är GR personuppgiftsbiträde (PuB) genom att tillhandahålla system som stöd till kommuner och samverkansparter. Personuppgiftsansvaret för dessa behandlingar finns inom respektive organisation.

Den som är personuppgiftsansvarig (PuA) bedömer om en personuppgiftsincident ska anmälas till Integritetsskyddsmyndigheten (IMY). Stöd för hur denna bedömning går till finns på IMY:s webb: Checklista för personuppgiftsincidenter Länk till annan webbplats.. Det finns även en vägledning: Hantering av personuppgiftsincidenter. Länk till annan webbplats.

GR har skickat en (1) anmälan om personuppgiftsincident till IMY när det gäller de personuppgiftsbehandlingar som vi är ansvariga för. Denna kommer sannolikt att uppdateras.

Vi har även skickat vår anmälan för kännedom till dem som är PuA för behandlingar i de system där GR är personuppgiftsbiträde (PuB). Om GR uppdaterar sin IMY-anmälan kommer även denna att skickas för kännedom till PuA.

Det är personuppgiftsansvarig (PuA) som ska bedöma om och på vilket sätt de registrerade ska informeras om personuppgiftsincidenten.

Vi kommer att informera på följande sätt när det gäller de behandlingar som GR är PuA för:

• Indra: Information kommer finnas på sidan för administratörer i inloggat läge (administrationsgränssnittet).
• Läromedelsbeställning Bok: Information i inloggat läge.

Utöver detta informerar vi via vår webbplats goteborgsregionen.se.

Bland annat har systemen flyttats till nya servrar och behörighetsbegränsningar för de utvecklare som arbetar i systemen har höjts. Vi har en kontinuerlig dialog med vår leverantör kring fortsatt utveckling och säkerhet. Just nu arbetar vi för att få alla system i drift. Vi samlar också in så mycket fakta som möjligt om vad som har hänt.