När leverantörskedjan blir den svaga länken: Lärdomar från Miljödata-attacken
I augusti 2025 drabbades den svenska IT-leverantören Miljödata av en ransomwareattack som slog ut HR- och administrativa system i över 200 av Sveriges 290 kommuner. Känsliga personuppgifter för upp till 1,5 miljoner människor läckte – namn, personnummer och anställningsinformation hamnade i fel händer. Bland de drabbade fanns Region Halland, Region Gotland, Örebro universitet och kommuner som Skellefteå, Karlstad och Hässleholm. Attacken är en av de största i Sveriges moderna historia – och en av de tydligaste illustrationerna av hur sårbar den offentliga sektorn är när en enda leverantör faller.
Problemet: när 80 procent av kommunerna delar samma sårbarhet
Miljödatas system används av cirka 80 procent av Sveriges kommunala förvaltningar för att hantera sjukfrånvaro, arbetsskador och annan känslig personalinformation. När angriparen kom in i ett system fick hen tillgång till data från hundratals oberoende organisationer. Det är en koncentrationsrisk som svenska kommuner inte själva har valt – men som de fick betala priset för.
Den nya cybersäkerhetslagen (2025:1506), som trädde i kraft den 15 januari 2026, ställer nu skarpare krav på just leverantörskedjan. Kommuner och regioner omfattas oavsett storlek under sektorn offentlig förvaltning, och måste kunna visa att de ställer relevanta säkerhetskrav på sina leverantörer – och har rutiner för vad som händer när leverantören drabbas.
Vad hade kunnat göra skillnad
Den centrala lärdomen från Miljödata är att traditionell perimetersäkerhet inte räcker. När angriparen är inne i leverantörens system handlar det inte längre om att hålla någon ute – det handlar om att begränsa skadan. Det är här konceptet kryptografisk segmentering blir avgörande.
Synkzones lösning bygger på principen att information krypteras individuellt med AES 256 redan när den skapas, och lagras i isolerade zoner som fungerar som vattentäta skott. Även om en angripare tar sig in i ett system kan hen inte läsa data från andra zoner – varje informationsmängd är skyddad för sig. För en kommun som hanterar känslig personalinformation innebär det att ett intrång hos en leverantör inte automatiskt blir en katastrof för hundratusentals invånare.
Lika viktigt är ägarskapet av krypteringsnycklarna. I en Zero Knowledge-lösning är det bara kunden själv som har nycklarna – inte ens operatören kommer åt informationen i klartext. Det betyder att den som bryter sig in i leverantörens infrastruktur inte får tillgång till läsbar data.
Vad kommuner bör göra nu
- Kartlägg vilka leverantörer som hanterar känslig data – och vilken koncentrationsrisk det innebär.
- Säkerställ att data är krypterad i lagring, transport och delning – inte bara på ytan.
- Inför kryptografisk segmentering så att ett intrång inte sprider sig mellan informationsmängder.
- Kräv Zero Knowledge eller motsvarande där det är möjligt – ingen leverantör ska kunna läsa er data.
- Bygg in återhämtningsförmåga: kan ni återställa drift och data efter ett ransomwareangrepp utan att förhandla?
Miljödata var en väckarklocka. Nästa attack är en fråga om när, inte om. Frågan kommunerna behöver ställa sig är inte hur de håller angriparna ute – utan hur lite skada de kan ta när någon kommer in.
Hur sårbar är er leverantörskedja? Prata med oss.
