2023-10-06

Analysen av personuppgiftsincidenten visar grönt

Analysen av attacken sommaren 2023 är nu genomförd. Bedömningen är att ingen enskild person behöver göra något i det här läget, även om vissa personuppgifter för studenter, anställa och övrigt verksamma har läckt.

Under sommaren blev universitetets it-miljö utsatt för en attack där information från två av universitetets system delades på internet. Åtgärder har vidtagits för att säkra universitetets it-miljö och problemutredningar genomförs för att analysera ytterligare insatser som minskar risken att liknande intrång sker i framtiden.

En utförlig analys av den information som stals och sedan delades på internet efter attacken är nu genomförd. Det har krävts mycket bearbetning och tid för att bedöma materialet och bekräfta att majoriteten av information i som läckt inte utgör någon risk.

Läs mer om attacken i tidigare artikel på medarbetarportalen.

På vilket sätt kan jag vara drabbad?

En stor del anställda och övrigt verksamma vid universitetet är representerade i läckaget. Personuppgifter som identifierats är för- och efternamn, användarnamn och e-postadresser samt personnummer.

Det har inte återfunnits några känsliga personuppgifter i det läckta materialet. Det finns heller ingen indikation om att attacken genomfördes med syfte att inhämta personuppgifter om medarbetare eller studenter. Läs om skillnaden mellan personuppgifter och känsliga personuppgifter på medarbetarportalen.

Vad behöver jag göra?

Du som användare av universitetets system behöver inte göra något. Universitetsförvaltningen har hanterat intrånget och arbetar med flera åtgärder för att förhindra ytterligare attacker.

Vart kan jag vända mig om jag vill veta mer?

Universitet följer de lagar och förordningar som styr personuppgifter. Läs gärna universitetets dataskyddspolicy om du vill veta mer om hanteringen av personuppgifter.

Om du vill veta vilka personuppgifter som eventuellt rör dig i det material som tillgängliggjorts kan du kontakta itsupport@uu.se.

För specifika frågor om GDPR i samband med detta läckage går det bra att kontakta universitetets dataskyddsombud på dataskyddsombud@uu.se.

Vad händer nu?

Arbete pågår bland annat med att skynda på planerade säkerhetsåtgärder som till exempel införandet av multifaktorsautentisering på ytterligare system. Multifaktorautentisering innebär att användare måste använda minst två olika bevis för att logga in till it-systemen. Det kan också bli aktuellt att begränsa yttre åtkomst till universitetets känsligare it-system.

En problemutredningsgrupp arbetar vidare med att analysera ytterligare åtgärder som kan minska risken att liknande intrång sker i framtiden. Universitetet har även möjlighet att anlita extern kompetens för att komplettera det interna arbetet och konsultera bedömningen av attacken och föreslagna åtgärder.

Peter Waites

Filtrering