Försöken till dataintrång ökar. Foto: Alexander Hannervall.

Kommunens e-postadresser hackade

Av Alexander Hannervall & Mikaela Arnroth
De senaste åren har antalet försök till dataintrång hos Huddinge kommun ökat. Trots förebyggande arbete har kommunala e-postadresser hackats. Nytt i Flempans egen granskning visar att lösenord och personlig information hamnat i fel händer.

Kommunanställda hanterar dagligen känslig information via e-post. En undersökning som genomfördes 2017 visade att Sveriges kommuner var dåliga på IT-säkerhet. Av de organisationer som medverkade hamnade kommunerna långt ner. Sårbarhetsanalyser gjordes inte tillräckligt ofta, personal saknade ofta relevant kompetens och de fick även dåligt betyg för hur de hanterade information.

 

Arne Göransson är IT-säkerhetsansvarig på Huddinge kommun och menar att en del av ansvaret ligger hos de anställda.

 

Det förebyggande arbetet handlar om att informera anställda om hur de får använda sina e-postkonton. De får inte använda dem till något annat än att skicka och ta emot e-post. Det finns riktlinjer som de anställda bör följa, säger Arne Göransson.

 

Men riktlinjerna, som går att se på hemsidan är otydliga. Där kan man läsa att kommunalt anställda faktiskt får använda sina e-postadresser till andra saker än e-post. Det är tillåtet att använda sin adress som inloggning till tjänster så länge det är kopplat till arbetet.

 

– Det finns gråzoner och det är svårt att avgränsa vilka tjänster som får användas. Det gäller att de anställda följer riktlinjerna och det viktigaste är att de inte återanvänder lösenord, säger Boel Norell Winlund, IT-strateg på Huddinge kommun.

 

200 miljoner lösenord läckta

Nytt i Flempan har med hjälp av ett datainsamlingsprogram granskat 40 e-postkonton knutna till Huddinge kommun. Av 40 konton visade det sig att tio av dem utsatts för minst ett dataintrång var. Ett konto förekom i så många som fyra fall. De flesta av intrången har gjorts möjliga genom att kommunalt anställda använt e-posten för att registrera sig på tjänster som Adobe och Dropbox. Båda dessa tjänster har varit utsatta för attacker som berört över 200 miljoner lösenord. Utöver lösenord har information som namn, adresser och födelsedatum läckt. Ett av de tio hackade kontona är Huddinge kommuns huvudadress, huddinge@huddinge.se, som förekommer i tre intrång.

 

Grafen visar i blått Huddinge kommuns domän. I gult visas de e-postkonton som utsatts. De ljusröda visar de intrång som gjorts genom olika externa tjänster. Till exempel representerar Adobe en cirkel och Dropbox en. De mörkröda representerar de attacker som inte gått genom externa tjänster utan direkt mot Huddinge kommuns domän.

 

En person knuten till en av de hackade e-postadresserna menar att kommunens riktlinjer måste bli tydligare.

– Jag upplever att jag inte fått tillräcklig information för att veta vad som gäller, säger kontoinnehavaren.

 

Nytt i Flempan har via ett forum haft kontakt med aktiva hackers. De har fått kommentera hur sårbar de upplever Huddinge kommuns domän. Precis som Arne Göransson var dessa eniga om att sårbarheten oftast har att göra med hur enskilda anställda hanterar e-post och lösenord. 

 

– Enligt min erfarenhet så spelar det ingen roll om det är en random unges hemsida eller Pentagons databas. Högt uppsatta inom FBI har blivit hackade för att de använt sina födelsedagar som lösenord på Facebook, skriver hackern ‘’Terminal’’.

 

– Man skulle kunna anta att dessa institutioner har strikta riktlinjer för hur man använder sin e-post på ett säkert sätt. Men det har dem inte. Men det spelar ingen roll, de är idioter som jag antar förtjänar att bli hackade, skriver hackern ‘’trw’’.
 

De flesta av intrången har varit delar av väldigt stora attacker på externa tjänster. Sannolikheten att någon skulle vara ute efter just Huddinge kommuns e-postkonton är liten. Men det är lättare än man tror att komma åt kontona, och konsekvenserna skulle innebära att sekretessbelagd information kommer ut.