Cyberangrepp hos leverantör - möjlig personuppgiftsincident

I helgen utsattes en av våra leverantörer för ett cyberangrepp. Det finns risk att personuppgifter har läckt ut från den molntjänst som vi använder hos leverantören.

Leverantören har vidtagit omedelbara åtgärder och polisanmält händelsen.

Systemet som utsatts för angrepp hanterar Kramfors kommuns personalärenden. Personer med skyddad identitet är anonyma i systemet och deras uppgifter är inte röjda, oavsett om data har läckt eller ej.

Personuppgiftsincident

Enligt GDPR är vi skyldiga att informera de personer som riskerar att ha fått sina personuppgifter läckta. Eftersom detta kan gälla både nuvarande och tidigare anställda, som vi inte längre har kontaktuppgifter till, går vi även ut via våra offentliga kanaler.
En incidentrapport har skickats till Integritetsskyddsmyndigheten, IMY, det ska göras inom 72 timmar efter att incidenten har upptäckts. I denna framgår det att det finns risk att våra medarbetares och före detta medarbetares personuppgifter har läckt i samband med angreppet på vår leverantörs IT-miljö.

Vad gör kommunen nu?

Kommunen har direkt efter att informationen nådde oss arbetat med att analysera hur situationen påverkar kommunens verksamheter och medarbetare/tidigare medarbetare samt hur vi kan hantera risken att en utomstående part kan ha fått tillgång till känsliga personuppgifter.

Påverkar inte vår IT-miljö

I nuläget vet vi inte omfattningen av cyberattacken, vi vet inte heller om information har läckt ut från systemet. Attacken påverkar inte på något sätt vår övriga IT-miljö, eftersom det är en molntjänst och inte har någon koppling till våra servrar.