Information från två av universitetets IT-system har publicerats öppet på internet efter en hackerattack under sommaren. Efter attacken har olika åtgärder genomförts för att öka säkerheten. Foto: Gettyimage.

2023-08-14

Hackerattack mot universitetet under sommaren

Under sommaren har universitetet blivit utsatta för en hackerattack. Information från två av universitetets system har delats på internet. Åtgärder har vidtagits för att säkra universitetets IT-miljö och berörda personer har blivit kontaktade. Artikeln uppdaterad med frågor och svar i faktarutan den 21 augusti 2023.

– Så långt vi har hunnit analysera innehållet är det mesta av informationsläckaget ofarligt ur IT-säkerhetssynpunkt, men vissa personuppgifter så som användarnamn, för- och efternamn och i vissa fall mer känslig information har identifierats i materialet, säger Per-Olof Andersson, tillförordnad IT-direktör.

Primärt är det personer på universitetsgemensam IT som är berörda, men i det läckta materialet finns förnamn, efternamn och användarnamn för andra personer vid universitetet samt några personer utanför universitetet. Händelsen har rapporterats till universitetets dataskyddsombud, Myndigheten för samhällsskydd och beredskap (MSB) och är även polisanmäld.

Se gärna över dina säkerhetsrutiner

– Anställda och övriga verksamma behöver inte vidta några speciella åtgärder med anledning av incidenten. Men som alltid är det viktigt att välja bra lösenord, att hantera lösenordet på ett säkert sätt och aldrig dela det med någon annan. Det är också viktigt att hålla sin dator uppdaterad och att endast använda den för arbetsrelaterade uppgifter. Spel och andra programvaror som används på fritiden hör inte hemma på arbetsdatorn, säger Per-Olof Andersson.

Läs mer i faktarutan nedan om hur du själv kan bidra till en säkrare IT-miljö.

Hackerattacken skedde den 10 juli och Uppsala universitet fick den 14 juli information från Sunets säkerhetscenter att information från två av universitetets system: ärendehanteringssystemet Jira respektive dokumentationsverktyget Confluence, fanns tillgängligt för nedladdning på internet. Båda systemen används i huvudsak av universitetets IT-avdelning. Sunet tillhandahåller bland annat uppkoppling till internet för Sveriges alla lärosäten.

Kapat användarkonto vägen in

Attacken spårades snabbt till ett kapat användarkonto som spärrades och den yttre åtkomsten till berörda system begränsades. För att säkra IT-miljön har sedan administratörskonton på IT-avdelningen fått byta lösenord. Analys pågår för att försöka fastställa hur kontot kunde kapas.

Nedladdningen av materialet har gjorts från en IP-adress från Ryssland och delningen av materialet på internet har enligt information från Sunets säkerhetscenter gjorts av en rysk aktör.

Efter attacken har en grupp arbetat med att kontrollera om det har kommit ut någon kritisk information. Bedömningen är i nuläget att universitetets IT-miljö är säkrad efter de åtgärder som genomförts efter attacken. Gruppen fortsätter dock sin analys och om någon enskild medarbetare visar sig ha påverkats kommer den direkt att bli kontaktad för nödvändiga åtgärder.

Vilka konsekvenser kan attacken få?

– En uppföljningsgrupp kommer att analyser ytterligare åtgärder när incidenten är avslutad för att minska risken att liknande intrång sker i framtiden. Möjliga åtgärder inkluderar att skynda på införandet av multifaktorsautentisering och VPN-krav på ytterligare system. Som en konsekvens kan det också bli aktuellt att begränsa yttre åtkomst till känsliga IT-system inom universitetet.

Multifaktorautentisering innebär att användare måste använda minst två olika bevis för att logga in till IT-systemen. Det kan till exempel vara både lösenord och ett fysiskt inloggningskort.

Anders Berndt

Frågor och svar

Frågor och svar publicerades den 21 augusti 2023.

Vad är det som har hänt?

Under sommaren har universitetet blivit utsatt för en hackerattack. Ett användarkonto kapades och information från ärende- och dokumentationssystem som används av universitetsgemensam IT delades ut på internet.

Pågår den här hackerattacken fortfarande?

Nej. Det konto som kapats och använts för att komma åt systemen stängdes omedelbart och universitets IT-miljö säkrades. Specifikt begränsades åtkomsten till de drabbade systemen.

Kan mina personuppgifter ha läckt?

Primärt är det personer på universitetsgemensam IT som är berörda. De drabbade systemen är inte till för att lagra konto- eller personuppgifter, men i det läckta materialet finns trots detta ett antal förnamn, efternamn och användarnamn på andra anställda och studenter vid universitetet samt några personer utanför universitetet. Inga känsliga personuppgifter har läckt. Läs om skillnaden mellan personuppgifter och känsliga personuppgifter på medarbetarportalen.

När och hur får jag veta om just mina uppgifter har läckt?

Analys av materialet pågår fortfarande, men om någon enskild person visar sig ha påverkats mer specifikt kommer de kontaktas direkt. Information till alla berörda kommer skickas ut när analysen av materialet är klar.

Måste jag byta mina lösenord?

Inte specifikt på grund av denna incident, men det är alltid en god vana att regelbundet uppdatera sin dator, byta ut sina lösenord och hantera dem säkert.

Kan mina forskningsdata eller annan information jag har lagrad på universitetet ha läckt?

Analys av materialet pågår fortfarande, dock är de berörda systemen i huvudsak till för administration inom universitetets IT-avdelning, inte lagring av forskningsdata.

Påverkar hackerattacken studenterna vid universitetet på något sätt?

Än så länge har analysen av innehållet visat att det mesta av informationsläckaget är ofarligt, men vissa personuppgifter som användarnamn och för- och efternamn på anställda och studenter har identifierats i materialet. Inga känsliga personuppgifter har läckt. Läs om skillnaden mellan personuppgifter och känsliga personuppgifter på medarbetarportalen.

Vad händer nu? Vad gör universitetet åt situationen?

Arbete pågår bland annat med att skynda på planerade säkerhetsåtgärder som till exempel införandet av multifaktorsautentisering och VPN-krav på ytterligare system. Multifaktorautentisering innebär att användare måste använda minst två olika bevis för att logga in till IT-systemen. Det kan också bli aktuellt att begränsa yttre åtkomst till universitetets känsligare IT-system. En uppföljningsgrupp kommer att analysera ytterligare åtgärder när incidenten är avslutad för att minska risken att liknande intrång sker i framtiden.

Kan den läckta informationen göra universitetet mer känsligt för en framtida hackerattack?

Arbete pågår med att bedöma den samlade risken i det läckta materialet, dock är universitetets IT-miljö säkrad av de utökade åtgärder som redan införts.

Vad kan jag som anställd göra för att skydda mina och andras uppgifter?

Med god IT-hygien kommer vi långt. Håll din dator och telefon uppdaterad, var försiktig med dina lösenord och var uppmärksam när du klickar på länkar i e-postmeddelanden och på nätet – vet du vart de leder? Läs mer om hur du skapar en säkrare IT-vardag på medarbetarportalen.

Attacken sägs komma från Ryssland, vad har det för innebörd?

Försök till den här typen av intrång sker dagligen och ofta från andra länder. I detta fall var det en rysk dator och IP-adress som låg bakom intrånget, men ingenting kring incidenten i övrigt relaterar specifikt till Ryssland.

Filtrering