Förlorad & Inte Återskapningsbar Information
2024-02-26
https://www.svd.se/a/ve0Ovj/tlv-drabbad-i-it-attack-diariet-och-sakerhetskopior-forsvann
"Diariet försvann efter hackerattacken. Säkerhetskopiorna också. ”Vi har förlorat mycket information som inte kan återskapas,” säger Maria Bjurö på myndigheten TLV, en av Tietoevrys drabbade kunder.
”Förlorade information som inte kan återskapas”
– Vi aktiverade krisledningen med detsamma på lördag morgon. På eftermiddagen hade vi vårt första möte.
Maria Bjurö är kommunikationschef på Tandvårds- och läkemedelsförmånsverket, TLV och ingår i myndighetens krisledning. Vanligen jobbar hon inte helger, men lördagen 20 januari var annorlunda.
Sent fredag kväll hade myndighetens it-leverantör Tietoevry blivit utsatt för en hackerattack. Det var en så kallad ransomwareattack, ett slags it-relaterad utpressning där hackarna låser tillgången till data och kräver betalning.
Dagen därpå fick Maria Bjurö och övriga kollegor i TLV:s krisledning besked.
– Vi visste ganska snart att vi var drabbade, men vi visste inte i vilken omfattning, säger hon.
När SvD träffar henne på TLV:s kontor mitt i centrala Stockholm har det gått över tre veckor sedan attacken. Snabbt stod det klart att stora delar av myndighetens system var ur funktion, exempelvis systemet för ärendehantering, diariet och intranätet.
– Det var kritiska system för oss som vi inte kom åt. Konsekvenserna blev stora för oss.
Maria Bjurö och övriga i krisledningen fick ägna delar av helgen åt att informera myndighetens 160 anställda om läget. De behövde förberedas på att de inte kunde komma åt sina arbetsverktyg i den utsträckning som de var vana vid när de kom till jobbet på måndagen.
Bestämmer över miljarder
TLV har flera viktiga uppdrag. Myndigheten utövar tillsyn på läkemedels- och apoteksmarknaden och fattar beslut om vilka läkemedel som ska ingå i högkostnadsskyddet och vilken tandvård som ska subventioneras. Totalt beslutar TLV bland annat om läkemedelsförmåner till en kostnad på flera tiotals miljarder årligen.
Så det var även viktigt att nå ut till alla externa parter som är beroende av myndighetens arbete, exempelvis läkemedelsbolag, efter attacken.
– Ganska mycket extrajobb, men så är det ju när det är kris, säger hon.
Fortfarande kvarstår stora brister. Hela myndighetens diarium är borta. Och även ärendelistorna är borta, så möjligheten att begära ut tidigare handlingar inom ett visst området eller ett visst årtal är begränsade.
Diariet är centralt för myndigheten eftersom det innehåller alla allmänna handlingar, exempelvis beslut som TLV har fattat. Det är genom diariet berörda parter och allmänheten kan ta del av myndighetens alla ärenden och se historik kring besluten.
– Det är allvarligt. Vi har förlorat mycket information som inte kan återskapas. Våra diarier är ju en möjlighet för allmänheten att få insyn i vår verksamhet.
Nyligen kom information om att även säkerhetskopior hade blivit förstörda i attacken. Vad tänker du om det?
– Det var ju en ytterligare nivå av krisen. Då behövde vi ju börja jobba med det också, säger Maria Bjurö.
Får skriva blanketter för läkemedel
Anställda har fått anpassa sig, de jobbar på nya eller nygamla sätt. Problemen med ärendehanteringssystemet har inneburit att en hel del arbete måste göras manuellt. Och det är tidskrävande, förklarar Maria Bjurö.
– Vissa medarbetare har fått lägga saker åt sidan för att ägna sig åt det här. Vissa arbetsuppgifter får vi vänta med tills vi har tillgång till våra system igen. Detta påverkar allas vardag, säger hon.
Även företag som finns med i läkemedelskedjan – det vill säga apotek, läkemedelsdistributörer och läkemedelsföretagen har blivit påverkade när systemen hos TLV inte fungerar som vanligt.
– Prisförändringar sköts i normala fall digitalt, mer eller mindre per automatik. Nu görs de på blankett och vi får knappa in det manuellt. Ett stort merarbete för alla.
TLV är långt i från ensamt om att drabbas av attacken. Sveriges största HR-system som bland annat används av 120 svenska myndigheter slogs ut.
Stadium, Rusta, Granngården och Systembolaget fick problem, liksom Anticimex och Filmstaden. Även regionerna Blekinge, Sörmland, Uppsala, Västerbotten och Vellinge kommun har alla gått ut med att de drabbats av attacken. Många andra viktiga myndigheter påverkades också.
Attacken ”en väckarklocka”
Kammarkollegiet är den part som har skrivit det ramavtal med Tietoevry, som bland andra TLV har använt sig av.
Mats Rihed är ramavtalsansvarig på Kammarkollegiet. Han säger att han ser händelsen som en väckarklocka.
– Hotbilden från olika typer av hackergrupper ökar. Tietoevry drabbades och deras kunder drabbades allvarligt, alla måste nu tänka på de här säkerhetsfrågorna, säger han.
Mats Rihed vill inte kommentera specifika problem som hackerattacken har orsakat som att säkerhetskopior är borta eller andra detaljer kring hur exempelvis TLV drabbats.
– På sikt kommer vi att gå till botten med hur väl Tietoevry har uppfyllt ramavtalen, men initialt är fokus på att lösa de problem som har uppstått.
– De juridiska aspekterna får vi ta efteråt.
Hur påverkar detta framtida upphandlingar?
– Självklart är detta även en väckarklocka för oss. Allt som händer tar vi med oss i hur vi kan hjälpa myndigheter framöver. Vi tittar över vår kravställan och ska göra vad vi kan för att gå i rätt riktning.
Mats Rihed konstaterar att attacken bidragit till att det blir mer fokus på säkerhetsfrågor. Och han utesluter inte att det blir förändringar på sikt när nya avtal skrivs.
– Vi kommer att se över vissa saker och inskärpa vikten av säkerhet som att ha back-uper exempelvis, säger han.
Tietoevry vill inte svara
Maria Bjurö på TLV konstaterar att mycket arbete kvarstår innan myndigheten har fått kontroll på hela situationen. Ännu finns frågetecken kring hur mycket data som går att återskapa eller om det är borta för alltid.
– Det är svårt för oss att nu överblicka alla konsekvenser, säger hon.
SvD har ställt ett antal frågor till Tietoevry om attacken och dess påverkan på bland andra TLV, som bolaget avböjer att besvara.
Alexandra Kärnlund, presskontakt, skriver i ett mejl att bolaget ”inte offentligt [kan] dela någon teknisk information om attacken, återställningsdetaljer eller kundspecifik information. Detta är dels grund av attackens kriminella karaktär och att det pågår en polisutredning, och av säkerhetsskäl.”
Hon hänvisar till ett pressmeddelande där Tietoevrys koncernchef Kimmo Alkio lämnar följande kommentar:
”Vi beklagar djupt de utmaningar som denna illvilliga attack har orsakat våra kunder och som en konsekvens även har drabbat många andra grupper och individer. ”
Visa ditt stöd till det informationsarbete Carl genomför
Patreon
Swish
Scanna QR eller skicka till 076-118 25 68. Mottagare är Caroline Norberg.