Svenska kraftnät använder kakor (cookies) för att förbättra och anpassa ditt besök på vår webbplats. Genom att använda webbplatsen accepterar du användandet av dessa kakor. Läs mer om kakor och hur du avaktiverar dem

Informationssäkerheten i fokus – mer om dataintrånget

På Svenska kraftnäts externa avgränsade filöverföringstjänst, som hackades den 25 oktober, fanns främst information som inte är sekretessbelagd. Viss känslig data om elsystemet samt kontaktuppgifter har dock identifierats. Informationssäkerhetschefen Cem Göcgören betonar vikten av öppenhet – men också behovet av att skydda det som ska skyddas.

Vi har gått igenom den information som fanns på servern där intrånget gjordes. Där finns ingenting som är säkerhetsskyddsklassificerat, alltså som innebär skada för Sveriges säkerhet. Det mesta är inte heller sekretessbelagt utan består av till exempel systemuppdateringar, supportfiler, drivrutiner och historisk data.

Information som vi använder för att samarbeta

De uppgifter som faktiskt är sekretessklassade innehåller information om vårt elsystem som vi använder för att samarbeta med andra aktörer.

– Vi delar data med varandra i vårt dagliga arbete och det behöver vi göra, det är så vi jobbar, säger Cem Göcgören, informationssäkerhetschef.

Vi kommer inte att gå in på några detaljer om vad informationen innehåller, just eftersom den är sekretessklassad. Vi vill vara så transparenta som möjligt, men vi kan inte dela med oss av saker som är belagda med sekretess.

– Det är inte konstigt att en sådan här händelse väcker intresse och nyfikenhet, både från media, branschen och allmänheten. Men vi hoppas på omvärldens förståelse för att vi sätter säkerheten först, säger Cem Göcgören.

Kontaktuppgifter från möten

Bland informationen finns personuppgifter som inte är av känslig natur. Det handlar om exempelvis namn, e-post och telefonnummer till individer som är med på möten och utbildningar.

– Det är typiska kontaktuppgifter till personer som finns med i möteskallelser och på olika sändlistor, säger Cem Göcgören.

Intrånget är anmält som en personuppgiftsincident till Integritetsskyddsmyndigheten, IMY.

Sekretess, säkerhetsskydd och informationsklassning

Svenska kraftnät jobbar metodiskt med att bedöma och klassa information, så att den kan hanteras på rätt sätt. En del av innehållet som förekommer i dataintrånget är sekretessbelagt, men inget är säkerhetsskyddsklassificerat. Här är några begrepp som är bra att ha koll på. 

Sekretessbelagd information: Uppgifter som omfattas av sekretess enligt offentlighets- och sekretesslagen (OSL). De får inte lämnas ut om det kan skada till exempel affärshemligheter eller enskildas integritet.

Säkerhetsskyddsklassificerad information: Uppgifter som rör Sveriges säkerhet och därför omfattas av säkerhetsskyddslagen. Här handlar det om information som kan skada Sveriges säkerhet om den röjs.

Informationsklassning: Den bedömning myndigheten gör av hur viktig informationen är för verksamheten. Den styr vilket skydd som krävs utifrån konfidentialitet, riktighet och tillgänglighet – alltså vilken skada som kan uppstå om informationen hamnar i fel händer, blir manipulerad eller inte finns tillgänglig när den behövs.

Personuppgifter: Regleras av GDPR och dataskyddslagen. De kan ibland även omfattas av sekretess enligt OSL – men inte alltid. Personuppgifter behöver hanteras med omsorg även när de inte är sekretessbelagda.