Detta kan vi lära oss av cyberattacken mot miljödata och adato
Nyheter, Digitalisering, HR

Detta kan vi lära oss av cyberattacken mot Miljödata och Adato

2 sep 25

I augusti 2025 utsattes Miljödata AB, leverantör av rehabiliteringssystemet Adato, för en cyberattack som slog hårt mot kommuner, regioner och universitet. Många organisationer kunde inte nå kritiska system för sjukfrånvaro och rehabilitering och fick införa manuella rutiner. Attacken väckte oro för läckage av känsliga personuppgifter.

 

Omkring 250 kunder har anmält incidenten till IMY, däribland 164 kommuner och fyra regioner. Enligt Miljödata kan upp till 76 kunder ha drabbats av informationsförlust, men bevis för datastöld saknas.

 

Merparten av systemen är nu återställda, men vissa organisationer gör fortsatta kontroller. Externa experter utreder eventuell exponering, och både Miljödata och drabbade kunder genomför interna granskningar. Hittills finns inga bekräftade läckor, men man fortsätter med riskbedömningar, informationsinsatser och manuella rutiner.

 

 

Långsiktiga konsekvenser av attacken

Attacken kan få flera konsekvenser framöver. Säkerhetsrutinerna hos både Miljödata och andra systemleverantörer förväntas skärpas, samtidigt som deras respektive kunder sannolikt kommer att vidta motsvarande åtgärder. Detta kan innebära fler kontroller, förbättrad åtkomststyrning samt regelbundna och mer omfattande säkerhetsrevisioner.

 

Myndigheter kan komma att genomföra  fördjupade inspektioner, och kunderna kan behöva uppdatera sina interna rutiner för hantering av personuppgifter och incidentrapportering. Operativt innebär attacken fortsatt extraarbete med riskbedömningar, krisplaner och informationsinsatser, och vissa kunder kan överväga alternativa lösningar eller leverantörer.

 

Juridiskt och ekonomiskt kan krav eller skadestånd uppstå om personuppgifter exponerats, samtidigt som investeringar i IT-säkerhet och incidentberedskap kan bli nödvändiga. Attacken påverkar även förtroendet mellan leverantör och kunder, vilket kan leda till ökade krav på transparens och rapportering.

 

De flesta konsekvenserna innebär en påfrestning på kort sikt, i form av extraarbete, ökade kostnader, juridiska risker och en ansträngd relation mellan leverantör och kunder. Detta får betraktas som negativa följder. Samtidigt kan attacken på längre sikt föra med sig positiva effekter, såsom höjda säkerhetsnivåer, stärkt regelefterlevnad och en mer transparent och robust samarbetskultur. Sammantaget innebär attacken därför både negativa och positiva konsekvenser, men den långsiktiga nyttan ligger i att incidenten driver fram förbättringar som annars kanske inte hade genomförts. 

 

 

Säkerhetskrav att beakta tidigt i upphandlingen av ert nästa IT-system

När man upphandlar nya IT-system är det viktigt att tydligt beakta säkerhet, drift och ansvar redan i kravspecifikationen. Säkerhetskrav kan inkludera efterlevnad av standarder som ISO 27001 och GDPR, kryptering av data i vila och under överföring samt robust åtkomstkontroll och loggning. Leverantörens historik och referenser bör granskas, och avtalet ska reglera ansvar vid incidenter, dataläckage och driftstopp. Riskanalyser och säkerhetstester kan genomföras innan upphandling, och interna krisplaner bör finnas för att hantera driftavbrott. Uppföljning och revision är viktigt för att säkerställa långsiktig trygg drift.

 

Vid upphandling av molntjänster är det också centralt att förstå skillnaderna mellan SaaS, PaaS och IaaS, eftersom ansvaret för säkerhet och drift varierar. Vid SaaS (software as a service) ansvarar leverantören för hela stacken medan kunden främst ansvarar för användarhantering. Vid PaaS (platform as a service) hanterar leverantören plattformen medan kunden ansvarar för applikation och data, och vid IaaS (infrastructure as a service) ansvarar leverantören för infrastrukturen men kunden för operativsystem, applikationer och dataskydd. Tydligt definierade krav på säkerhet, backup, incidentrapportering och lagkrav minskar risken för problem och säkerställer att molntjänsten kan användas tryggt. Vidare föreslås ett antal konkreta områden att beaktas i kravställan;

 

  • Säkerhet: Leverantören ska följa etablerade säkerhetsstandarder som ISO 27001, erbjuda kryptering av data i vila och under överföring samt stöd för multifaktorautentisering. Systemet ska ha loggning och spårbarhet av alla åtgärder, och regelbundna penetrationstester och sårbarhetsskanningar ska genomföras.
  • Drift och tillgänglighet: Tjänsten ska ha redundans för att minimera driftstopp, med dokumenterade backup- och återställningsrutiner. Det ska finnas en tillgänglighetsgaranti enligt SLA (t.ex. 99,5 % uptime) samt rutiner för incidenthantering, katastrofåterställning och återställning efter säkerhetsincident.
  • Efterlevnad och dataskydd: Systemet ska uppfylla GDPR och annan relevant lagstiftning, ha tydliga rutiner för incidentrapportering och säkerställa att data lagras i godkända geografiska områden, exempelvis inom EU. Leverantören ska även kunna bistå med audit- och revisionsunderlag.
  • Avtal och ansvar: Ansvarsfördelningen mellan leverantör och kund ska vara tydlig beroende på tjänstmodell (SaaS, PaaS, IaaS). Leverantören ansvarar för uppdateringar och patchning samt ska säkerställa rutiner för användarhantering och behörighetskontroll.
  • Support och rapportering: Leverantören ska erbjuda dygnet-runt-support vid incidenter och regelbundet rapportera säkerhetshändelser, driftstatus och incidenter. Dokumentation över system- och infrastrukturändringar ska också tillhandahållas.

 

 

Hur HerbertNathan & Co kan hjälpa er framåt

Adato-attacken visar tydligt att frågor om säkerhet, systemval och beredskap inte kan lämnas åt slumpen. Här kan våra tjänster göra skillnad för kunderna:

 

  • Strategi – Vi stöttar organisationer i att skapa en tydlig och långsiktig vision för sitt systemlandskap. Genom att redan från början prioritera säkerhet, regelefterlevnad och robust arkitektur kan vi minska risken för framtida incidenter.
  • Upphandling – Vi hjälper kunderna genom hela upphandlingsprocessen och säkerställer att krav på säkerhet, drift och dataskydd är tydligt definierade. Vårt oberoende gör att vi alltid utgår från kundens behov, inte leverantörens intressen.
  • Implementering – Vi finns med under införandet för att stötta kunderna i att fatta rätt beslut och prioritera de lösningar som ger störst värde, samtidigt som säkerhet och tillgänglighet byggs in från början.
  • Optimering – När systemen är i drift hjälper vi kunderna att kontinuerligt förbättra processer, arbetssätt och tekniska lösningar. På så sätt kan säkerhetsnivån höjas stegvis och resurserna användas effektivt.

 

Genom vår expertis från mer 500 uppdrag inom offentlig sektor så hjälper vi med att skapa en mer motståndskraftig, säker och värdeskapande systemmiljö. Kontakta någon av våra konsulter för en kostnadsfri rådgivning, redan idag!

Författare: Olof Ask

NyheterERPDigitaliseringHRLMSLön
Kontakta oss