Case, Cybersäkerhet, Uncategorized

Sidodörren in: Vad SATS-läckan säger om delad fillagring

Bild på gym med serverhall

SATS skyddade rätt system. Fel information läckte ändå.

Den 14 mars 2026 bröt sig en ransomwaregrupp som kallar sig ”The Gentlemen” in i den nordiska gymkedjan SATS IT-miljö. Inledningsvis beskrevs intrånget som begränsat. Företaget meddelade att det centrala medlemssystemet, där betalkort och lösenord lagras, inte var påverkat. Men under de följande veckorna förändrades bilden helt.

Bankkontonummer, löneuppgifter och sjukskrivningsunderlag började publiceras på darknet. SATS bekräftade att obehöriga kommit åt personuppgifter för både medlemmar och anställda – en av de mest integritetskränkande dataläckorna i Sverige på senare år.

Var attacken faktiskt skedde

Det intressanta med SATS-fallet är inte att huvudsystemet hackades. Det gjorde det inte. Angriparna tog sig in via något helt annat: en server som användes för delad lagring av interna administrativa dokument kopplade till bokföring och HR. Med andra ord ett ”sidoutrymme” där företaget hanterade information som inte ansågs vara kärnsystem, men som i praktiken innehöll några av de mest känsliga uppgifter en organisation kan ha om sina anställda och kunder.

Det är ett mönster som upprepas i attack efter attack. Det är sällan kassasystemet eller den hårdast skyddade kunddatabasen som faller först. Det är fillagringen, ekonomisystemet, intranätet eller HR-portalen – platser där information samlats över tid utan att någon ställt sig frågan vad som egentligen ligger där, eller vem som kan komma åt det.

Varför ”icke-kritiska” system är så farliga

De flesta organisationer har en uppfattning om vilka system som är viktiga och måste skyddas hårt: medlemsdatabaser, betalsystem, journalsystem, ärendehantering. Runt dessa system byggs ofta en betydande säkerhetsinfrastruktur. Men sedan finns alla de andra platserna där information faktiskt hamnar – mejlbilagor, delade nätverksmappar, Sharepoint-bibliotek, ekonomisystem och lönefiler. För angriparen är det här guldgruvan, just för att den inte är lika väl bevakad.

I SATS fall innehöll den administrativa fillagringen tillräckligt med information för att bygga mycket trovärdiga bedrägeriförsök: personnummer kombinerat med bankkonto och uppgifter om någons hälsotillstånd. Det är en kombination som gör ID-kapning enkel och som dessutom är permanent skadlig. En läckt diagnos eller sjukskrivningshistorik går inte att återkalla.

Den falska tryggheten i att ha skyddat ”det viktiga”

SATS hade rimligtvis investerat i att skydda det de uppfattade som sina mest skyddsvärda system. Och de hade rätt i att medlemsdatabasen var det som först skulle hamna i fokus om en angripare ville stjäla betalningsinformation. Problemet är att angripare inte alltid följer den logik försvararna utgår från. Ofta tar de den lättaste vägen in, och därifrån letar de efter värdefull information var den än finns.

Det betyder att frågan ”vad är våra mest skyddsvärda system?” är fel fråga. Den rätta frågan är: var ligger vår mest skyddsvärda information, inklusive den vi inte tänkt på?

Vad kryptografisk segmentering förändrar

Synkzones grundprincip är att information krypteras individuellt vid skapelsetillfället och lagras i isolerade zoner. Det får två konkreta konsekvenser för ett scenario som SATS.

För det första: en server med delad lagring av administrativa dokument behandlas inte som ”en stor hög med filer”, utan som en samling individuellt krypterade objekt där varje informationsmängd är skyddad för sig. Angriparen som bryter sig in i servern ser krypterade filer hen inte kan läsa – inte ett öppet arkiv med löneuppgifter och sjukintyg.

För det andra: HR-data, ekonomiunderlag och projektdokumentation kan hanteras i separata zoner med olika åtkomstkontroll. En kompromettering av en zon påverkar inte de andra. Det innebär att även om någon kommer åt bokföringssystemet, behöver det inte automatiskt också innebära åtkomst till anställdas hälsouppgifter.

Lägg till Zero Knowledge-arkitektur, där bara kunden själv äger krypteringsnycklarna och inte ens leverantören kommer åt informationen, samt Synkzones egenutvecklade ransomware-skydd som kan rensa en smittad klient och återställa filer utan att lösen behöver betalas. Tillsammans bildar det en grund som är dimensionerad för exakt den typ av attack SATS drabbades av.

Fem frågor varje organisation borde ställa sig

  • Var ligger våra mest känsliga personalfiler, och är de skyddade på samma nivå som vår kunddatabas?
  • Vem har åtkomst till bokförings- och HR-data idag? Skulle vi märka om någon obehörig läste filerna?
  • Om någon kom in i vår delade fillagring imorgon, vad skulle de hitta och vad skulle skadan bli?
  • Är våra administrativa system isolerade från varandra, eller hänger de ihop så att ett intrång ger åtkomst till allt?
  • Har vi en plan för återhämtning efter ransomware som inte förutsätter att vi betalar lösen?

SATS-attacken är en påminnelse om att cybersäkerhet inte handlar om att skydda ”de viktiga systemen”, utan om att skydda informationen var den än råkar ligga. För organisationer som hanterar känsliga personuppgifter om medlemmar, kunder eller anställda är det inte en akademisk distinktion.

Det är skillnaden mellan en hanterbar incident och en förtroendekris.

Testa Synkzone idag