1. Hem
  2. /
  3. Kunskapsbank
  4. /
  5. Detta kan vi lära oss av cyberattacken mot Miljödata och Adato
  • Digitalisering
  • HR
  • Nyheter

Detta kan vi lära oss av cyberattacken mot Miljödata och Adato

Publicerad

Författare

I augusti 2025 utsattes Miljödata AB, leverantör av rehabiliteringssystemet Adato, för en cyberattack som slog hårt mot kommuner, regioner och universitet. Många organisationer kunde inte nå kritiska system för sjukfrånvaro och rehabilitering och fick införa manuella rutiner. Attacken väckte oro för läckage av känsliga personuppgifter.   Omkring 250 kunder har anmält incidenten till IMY, däribland 164 kommuner och fyra regioner. Enligt Miljödata kan upp till 76 kunder ha drabbats av informationsförlust, men bevis för datastöld saknas.   Merparten av systemen är nu återställda, men vissa organisationer gör fortsatta kontroller. Externa experter utreder eventuell exponering, och både Miljödata och drabbade kunder genomför interna granskningar. Hittills finns inga bekräftade läckor, men man fortsätter med riskbedömningar, informationsinsatser och manuella rutiner.    

Långsiktiga konsekvenser av attacken

Attacken kan få flera konsekvenser framöver. Säkerhetsrutinerna hos både Miljödata och andra systemleverantörer förväntas skärpas, samtidigt som deras respektive kunder sannolikt kommer att vidta motsvarande åtgärder. Detta kan innebära fler kontroller, förbättrad åtkomststyrning samt regelbundna och mer omfattande säkerhetsrevisioner.   Myndigheter kan komma att genomföra  fördjupade inspektioner, och kunderna kan behöva uppdatera sina interna rutiner för hantering av personuppgifter och incidentrapportering. Operativt innebär attacken fortsatt extraarbete med riskbedömningar, krisplaner och informationsinsatser, och vissa kunder kan överväga alternativa lösningar eller leverantörer.   Juridiskt och ekonomiskt kan krav eller skadestånd uppstå om personuppgifter exponerats, samtidigt som investeringar i IT-säkerhet och incidentberedskap kan bli nödvändiga. Attacken påverkar även förtroendet mellan leverantör och kunder, vilket kan leda till ökade krav på transparens och rapportering.   De flesta konsekvenserna innebär en påfrestning på kort sikt, i form av extraarbete, ökade kostnader, juridiska risker och en ansträngd relation mellan leverantör och kunder. Detta får betraktas som negativa följder. Samtidigt kan attacken på längre sikt föra med sig positiva effekter, såsom höjda säkerhetsnivåer, stärkt regelefterlevnad och en mer transparent och robust samarbetskultur. Sammantaget innebär attacken därför både negativa och positiva konsekvenser, men den långsiktiga nyttan ligger i att incidenten driver fram förbättringar som annars kanske inte hade genomförts.     

Säkerhetskrav att beakta tidigt i upphandlingen av ert nästa IT-system

När man upphandlar nya IT-system är det viktigt att tydligt beakta säkerhet, drift och ansvar redan i kravspecifikationen. Säkerhetskrav kan inkludera efterlevnad av standarder som ISO 27001 och GDPR, kryptering av data i vila och under överföring samt robust åtkomstkontroll och loggning. Leverantörens historik och referenser bör granskas, och avtalet ska reglera ansvar vid incidenter, dataläckage och driftstopp. Riskanalyser och säkerhetstester kan genomföras innan upphandling, och interna krisplaner bör finnas för att hantera driftavbrott. Uppföljning och revision är viktigt för att säkerställa långsiktig trygg drift.   Vid upphandling av molntjänster är det också centralt att förstå skillnaderna mellan SaaS, PaaS och IaaS, eftersom ansvaret för säkerhet och drift varierar. Vid SaaS (software as a service) ansvarar leverantören för hela stacken medan kunden främst ansvarar för användarhantering. Vid PaaS (platform as a service) hanterar leverantören plattformen medan kunden ansvarar för applikation och data, och vid IaaS (infrastructure as a service) ansvarar leverantören för infrastrukturen men kunden för operativsystem, applikationer och dataskydd. Tydligt definierade krav på säkerhet, backup, incidentrapportering och lagkrav minskar risken för problem och säkerställer att molntjänsten kan användas tryggt. Vidare föreslås ett antal konkreta områden att beaktas i kravställan;  

  • Säkerhet: Leverantören ska följa etablerade säkerhetsstandarder som ISO 27001, erbjuda kryptering av data i vila och under överföring samt stöd för multifaktorautentisering. Systemet ska ha loggning och spårbarhet av alla åtgärder, och regelbundna penetrationstester och sårbarhetsskanningar ska genomföras.
  • Drift och tillgänglighet: Tjänsten ska ha redundans för att minimera driftstopp, med dokumenterade backup- och återställningsrutiner. Det ska finnas en tillgänglighetsgaranti enligt SLA (t.ex. 99,5 % uptime) samt rutiner för incidenthantering, katastrofåterställning och återställning efter säkerhetsincident.
  • Efterlevnad och dataskydd: Systemet ska uppfylla GDPR och annan relevant lagstiftning, ha tydliga rutiner för incidentrapportering och säkerställa att data lagras i godkända geografiska områden, exempelvis inom EU. Leverantören ska även kunna bistå med audit- och revisionsunderlag.
  • Avtal och ansvar: Ansvarsfördelningen mellan leverantör och kund ska vara tydlig beroende på tjänstmodell (SaaS, PaaS, IaaS). Leverantören ansvarar för uppdateringar och patchning samt ska säkerställa rutiner för användarhantering och behörighetskontroll.
  • Support och rapportering: Leverantören ska erbjuda dygnet-runt-support vid incidenter och regelbundet rapportera säkerhetshändelser, driftstatus och incidenter. Dokumentation över system- och infrastrukturändringar ska också tillhandahållas.

   

Hur HerbertNathan & Co kan hjälpa er framåt

Adato-attacken visar tydligt att frågor om säkerhet, systemval och beredskap inte kan lämnas åt slumpen. Här kan våra tjänster göra skillnad för kunderna:  

  • Strategi – Vi stöttar organisationer i att skapa en tydlig och långsiktig vision för sitt systemlandskap. Genom att redan från början prioritera säkerhet, regelefterlevnad och robust arkitektur kan vi minska risken för framtida incidenter.
  • Upphandling – Vi hjälper kunderna genom hela upphandlingsprocessen och säkerställer att krav på säkerhet, drift och dataskydd är tydligt definierade. Vårt oberoende gör att vi alltid utgår från kundens behov, inte leverantörens intressen.
  • Implementering – Vi finns med under införandet för att stötta kunderna i att fatta rätt beslut och prioritera de lösningar som ger störst värde, samtidigt som säkerhet och tillgänglighet byggs in från början.
  • Optimering – När systemen är i drift hjälper vi kunderna att kontinuerligt förbättra processer, arbetssätt och tekniska lösningar. På så sätt kan säkerhetsnivån höjas stegvis och resurserna användas effektivt.

  Genom vår expertis från mer 500 uppdrag inom offentlig sektor så hjälper vi med att skapa en mer motståndskraftig, säker och värdeskapande systemmiljö. Kontakta någon av våra konsulter för en kostnadsfri rådgivning, redan idag!

Relaterade artiklar

Fyra personer med blommor och glaspriser står på scen vid en prisutdelning, leende mot kameran.
ERP

Lekolar och Fellowmind vinner Årets Affärssystemprojekt 2025/2026

Läs mer
Trappa med texten "HR Tech Europe", personer går uppför sidorna, taklampor lyser blått.
Digitalisering
HR

Trendspaning från HR Tech Europe 2026

Läs mer
Blå himmel med vita moln och dimma längst ner i bilden.
ERP

IFS håller uppe farten framåt

Läs mer

Denna webbplats använder cookies

Cookies ("kakor") består av små textfiler. Dessa innehåller data som lagras på din enhet. För att kunna placera vissa typer av cookies behöver vi inhämta ditt samtycke. Vi på HerbertNathan & Co Aktiebolag, orgnr. 556763-5478 använder oss av följande slags cookies. För att läsa mer om vilka cookies vi använder och lagringstid, klicka här för att komma till vår cookiepolicy.

Hantera dina cookieinställningar

Nödvändiga cookies

Markera för att samtycka till användning av Nödvändiga cookies
Nödvändiga cookies är cookies som måste placeras för att grundläggande funktioner på webbplatsen ska kunna fungera. Grundläggande funktioner är exempelvis cookies som behövs för att du ska kunna använda menyer och navigera på sajten.

Cookies för statistik

Markera för att samtycka till användning av Cookies för statistik
För att kunna veta hur du interagerar med webbplatsen placerar vi cookies för att föra statistik. Dessa cookies anonymiserar personuppgifter.

Cookies för annonsmätning

Markera för att samtycka till användning av Cookies för annonsmätning
För att kunna erbjuda bättre service och upplevelse placerar vi cookies för att kunna anpassa marknadsföring till dig. Ett annat syfte med denna behandling är att kunna marknadsföra produkter eller tjänster till dig, ge anpassade erbjudanden eller marknadsföra och ge rekommendationer kring nya koncept utifrån vad du har köpt tidigare.

Cookies för personlig annonsmätning

Markera för att samtycka till användning av Cookies för personlig annonsmätning
För att kunna visa relevant reklam placerar vi cookies för att anpassa innehållet för dig

Cookies för anpassade annonser

Markera för att samtycka till användning av Cookies för anpassade annonser
För att visa relevanta och personliga annonser placerar vi cookies för att tillhandahålla unika erbjudanden som är skräddarsydda efter din användardata