På kvällen den 24 september konstaterades att Göteborgsregionens kommunalförbund (GR) haft intrång i delar av sin driftsmiljö hos leverantören Infracom. Drabbade system hade utsatts för en ransomware-attack, där data krypterats. Efter driftlarmen kontaktades Göteborgsregionen för att säkerställa att larmet inte var självförvållat, och inom loppet av en timme stängdes samtliga servrar ned, för att minimera skadan.
Händelsen har polisanmälts och även rapporterats till MSB. Ingen lösensumma har utbetalats till angriparna.
Följande system fanns på de servrar där intrånget skedde:
- Indra: Används för antagningen till gymnasieskolan samt för övergångsinformation mellan skolorna.
- Elevinformation (Elin): Används för att säkerställa korrekt information gällande Göteborgsregionens ungdomar och gymnasieelever, så att rätt underlag finns för att hantera interkommunala ersättningar, bidrag till fristående skolor, samt stödja hemkommunernas arbete med att uppfylla det kommunala aktivitetsansvaret (KAA). Systemet ger även underlag till regional statistik.
- Praktikplatsen.se: Ett verktyg där utbildningsanordnare samordnar all praktik och kontakter på ett ställe. Elever och studenter söker själva sina praktikplatser och arbetsgivare kan enkelt följa vilka som kommer till dem.
- Läromedelsbeställning (bok och digital licenshantering): Ett system där skolor i Göteborgsregionen beställer läromedel.
- QlikSense: Ett visualiseringsverktyg som används på olika sätt. Hanterar statistik från olika system, bland annat Indra och Elin. Används även som en ekonomisk databas (Vera) som tar fram ekonomiska prognoser och underlag till fakturering gällande yrkesutbildningar för vuxna i Göteborgsregionen.
Eftersom extern part har haft tillgång till servrarna finns en risk att personuppgifter kan ha läckt. Driftsleverantörens bedömning är dock att sannolikheten är låg att personuppgifter har läckts utifrån den korta tid som incidenten pågick. Driftsleverantörens antaganden är att motiven bakom intrånget är ekonomiska skäl (att pressa på pengar), inte att tillskansa sig uppgifter.
Personuppgifter i de olika systemen varierar beroende på uppdraget och ändamålet med behandlingen. Några exempel på personuppgifter som finns i systemen är: namn, kontaktuppgifter, personnummer, skola, hemort. Flera av personuppgifterna är skyddsvärda och rör barn under 18 år. Det finns även känsliga personuppgifter såsom etniskt ursprung (betyg i modersmål) och hälsa (t.ex. anpassad grundskola eller gymnasieskola, f.d särskola).
Göteborgsregionen har undersökt förekomsten av skyddade personuppgifter i systemen och kan konstatera att sådana inte förekommer i undersökta system. Ett system, Praktikplatsen.se, undersöks fortfarande. Om skyddade personuppgifter skulle upptäckas underrättas den samverkanspart som berörs omgående.