Lyssna

Nyhet / Publicerad 22 januari 2024 / Ändrad 20 maj 2024

Information om personuppgiftsincident

Svenska kyrkan vill informera dig om en personuppgiftsincident som skedde i samband med att kyrkan utsattes för ett cyberangrepp i november 2023.

Syftet med informationen är att berätta vad som hänt och vilka åtgärder kyrkan vidtagit. Vi ger även generella tips på vad du kan göra själv för att skydda dina personuppgifter.

Svenska kyrkan har hittills inga uppgifter om att angreppet syftade till att komma över personuppgifter eller att några personuppgifter missbrukats. Angriparen har inte tagit sig in i Svenska kyrkans medlemsregister, men kan ha haft tillgång till en begränsad mängd information från andra it-system och arbetsdatorer.  

Uppdatering 7 maj 2024

Den 6 maj fick Svenska kyrkan kännedom om att en kriminell aktör har meddelat att ett okänt antal filer som stals i samband med cyberangreppet den 23 november kommer att publiceras om inte en lösensumma betalas innan den 21 maj. Svenska kyrkan står fortsatt fast vid att inte betala någon lösensumma. Det är fråga om samma angrepp och samma data som vi informerat om tidigare och det är också samma åtgärder som vi skriver om här nedan som är lämpliga att överväga. 

Detta har hänt

Den 23 november 2023 upptäckte Svenska kyrkan att en obehörig part fått tillgång till ett antal it-system och arbetsdatorer. Den obehöriga parten spred en skadlig kod i systemen, krypterade data och laddade ner filer. Kyrkan anlitade ett team av säkerhetsexperter. De konstaterade att det rörde sig om en ransomware-attack, där angriparen tar kontroll över organisationens system och begär en lösensumma för att låsa upp dem.   
 
Personuppgifter i kyrkans it-miljö berör kyrkans personal, medlemmar, förtroendevalda och bidragsgivare. Efter analys konstaterar Svenska kyrkan att den obehöriga parten kan ha fått åtkomst till uppgifter om  

  • personer som kontaktat kyrkan i olika ärenden, till exempel medlemsfrågor eller för att boka lokal, dop, vigsel eller begravning 
  • personer som haft kontakt med Svenska kyrkan i egenskap av huvudman för begravningsverksamheten
  • vuxna som deltar i kyrkans verksamhet, som körer, musikensembler eller föräldragrupper  
  • barn som deltar i kyrkans barnverksamhet  
  • ideella medarbetare  
  • kandidater till kyrkliga val  
  • tidigare anställda i Svenska kyrkan.

Berörda personuppgifter är namn, kontaktuppgifter, personnummer, medlemskap i Svenska kyrkan och i vissa fall civilstånd. För ideella medarbetare kan porträttbilder finnas bland personuppgifterna. För kandidater till kyrkliga val förekommer även uppgift om kyrkopolitisk åsikt (nomineringsgrupp). För den som fått utbetalningar från Svenska kyrkan förekommer kontouppgifter. 

Detta har kyrkan gjort och gör

När Svenska kyrkan upptäckte incidenten vidtogs omedelbart åtgärder för att skydda it-system och data. Det innebar bland annat att kyrkan stängde ned all åtkomst till berörda system, bytte samtliga lösenord och återinstallerade de drabbade arbetsdatorerna. Teamet av experter hjälpte till att begränsa, åtgärda och utreda incidenten. Arbetet fortsätter för att identifiera och införa ytterligare säkerhetsåtgärder för att förhindra liknande dataintrång i framtiden.

Incidenten har rapporterats till Integritetsskyddsmyndigheten och polisen.  

Generella tips på hur du skyddar dina personuppgifter

Cyberangrepp och stöld av personuppgifter är tyvärr inte ovanligt. Den som till exempel kommer över personnummer kan försöka använda informationen för bedrägeri och identitetsstöld. Känsliga uppgifter som kyrkopolitisk åsikt kan få spridning och kanske missbrukas. Här är några tips på vad du själv kan göra för att skydda dina personuppgifter: 

  • Betrakta oväntade meddelanden där du ombeds ge ut inloggningsuppgifter, ekonomisk eller annan personlig information som bedrägeri.
  • Undvik att klicka på länkar eller ladda ner bilagor från oväntade e-postavsändare eller misstänkta e-postmeddelanden.  
  • Spärra obehörig adressändring hos Skatteverket och obehörig vidaresändning eller lagring av post hos Adressändring. Detta för att ingen annan än du ska kunna ändra din adress.
  • Registrera digital brevlåda (exempelvis Kivra) för att få snabb information om kreditupplysning. Kreditupplysning sker som oftast vid fakturaköp och kan vara en indikator på att någon använder dina personuppgifter.  
  • Kontakta polisen vid misstanke om försök till brott. 

Kontakt

Har du frågor eller synpunkter är du välkommen att vända dig till din församling. För allmänna frågor kan du vända dig till Svenska kyrkan via e-post: ciso@svenskakyrkan.se alternativt skicka brev till Rättsavdelningen, Trossamfundet Svenska kyrkan, 751 70 Uppsala. Du kan även läsa vanliga frågor och svar på Svenska kyrkans webbplats.  

Frågor och svar

Varför kommer ni med ny information så här långt efter angreppet?

Det har kommit till Svenska kyrkans kännedom att angriparen publicerat krav på ersättning för att inte publicera information man har kommit över. Detta gjordes den 6 maj 2024. För närvarande vet vi inget mer. Vi offentliggör detta omedelbart i förhoppningen att personer vars personuppgifter kan vara berörda vidtar åtgärder för att skydda sig mot den eventuella skada som offentliggörande av uppgifterna skulle kunna medföra. 

Varför har det tagit två månader att informera oss drabbade om incidenten?

Utredningen efter cyberangreppet har tagit tid. Vi behövde ta reda på vad som hänt i många it-system som finns hos en mängd olika delar av kyrkan. I december informerade vi anställda vars personuppgifter kan ha hamnat i orätta händer. Nu informerar vi allmänheten då vår stora informationskanal Svenska kyrkans webbplats är igång igen.

Vad innebär det att angriparen ”kan” ha fått åtkomst till personuppgifter?

Utredningen efter angreppet visar vilka it-system som angriparen har varit inne i och försökt hämta information. Kyrkan informerar om vad det är möjligt att angriparen har fått tag på – även om vi inte säkert vet att hen har det.

Vad kan angriparen göra med mina personuppgifter?

Om man har uppgifter om någon annan kan det vara lättare att låtsas vara den personen och försöka göra bedrägerier av olika slag. Om det dessutom finns information som är väldigt känslig för den enskilde kan angriparen försöka sig på utpressning.

Varför har kyrkan gjort en lista över vad jag själv kan göra för att skydda mina personuppgifter? Vad händer om jag inte gör det?

Kyrkan vill tipsa om några generella åtgärder som du kan göra för att skydda dig och dina personuppgifter. Eftersom det tyvärr inte är ovanligt med cyberangrepp är det bra att bli påmind om vad man kan göra för att skydda sig. Om du inte vidtar åtgärder är du mer oskyddad.

Vad gör Svenska kyrkan för att undvika att angriparen utnyttjar mina personuppgifter?

Vi har varit noga med att begränsa vilka uppgifter vi har om personer och att skydda dem både med tekniska och med organisatoriska åtgärder. Vi förstärker också detta skydd nu i ljuset av vad vi lärt oss efter kontakten. Men vi kan dessvärre inte göra något för att undvika att uppgifter som tagits från oss utnyttjas.

Vilka system har angriparna tagit sig in i?

Angriparen har angripit Svenska kyrkans centrala datahall. Av säkerhetsskäl avslöjar vi inte exakt vilka system vi använder för olika processer och inte heller vilka angriparen tagit sig in i. Vi har dock kunnat utesluta de system som hanterar Svenska kyrkans medlemsregister.

Är Svenska kyrkans datasystem skyddade nu eller kan liknande hända igen?

Våra system hade ett gott skydd och det bidrog till att cyberangreppet kunde avbrytas snabbt. Svenska kyrkans it-miljö har nu fått ett ännu bättre skydd. När det gäller it-säkerhet är det hela tiden en fråga om att upptäcka nya hot och hitta sätt att skydda sig mot dem. Potentiella angripare söker på samma sätt efter nya sårbarheter och sätt att utnyttja dem. Vi arbetar för att förbättra säkerheten kontinuerligt.