Information om säkerhetsincident i vår IT-miljö
Den 19 november 2020 fick vi kännedom om en säkerhetsbrist i våra IT-system. Säkerhetsbristen innebar att vissa interna filytor var felaktigt tillgängliga för användare av Nackademins nätverk. Filytorna har med andra ord inte legat öppna på Internet. IT-systemet har varit, och är fortsatt, säkert från externa besökare via Internet.
Säkerhetsbristen upptäcktes av ett antal studenter i samband med ett ”labb” på en av våra IT-säkerhetsutbildningar, som informerade oss om säkerhetsbristen. Vi åtgärdade säkerhetsbristen omedelbart samma dag efter kontakt med vår driftleverantör. Vi anmälde incidenten till Datainspektionen enligt GDPR och har därefter vidtagit åtgärder, inklusive en noggrann s.k. forensisk utredning, för att få en tydlig bild över eventuella brister i våra IT-system och för att åtgärda dessa. Vi tar naturligtvis detta på största allvar och beklagar det inträffade.
De filytor som var felaktigt tillgängliga innehöll i huvudsak information om studenter. Den information som funnits på de aktuella filytorna har innefattat bl.a. identifierande information (namn), personnummer, kontaktinformation, klasslistor, närvarouppgifter, schema, betyg (i förekommande fall), samt vissa studentuppgifter av personlig karaktär (i förekommande fall).
Utöver de studenter som upptäckte och rapporterade säkerhetsbristen till oss finns i dagsläget inga tecken på att någon obehörig faktiskt har tagit del av informationen på de aktuella filytorna. Trots detta vill vi uppmana alla att i möjligaste mån vara extra vaksam på om era personuppgifter förekommer i oväntade sammanhang.
Tillsammans med vår driftpartner har vi sedan upptäckten prioriterat åtgärder och genomfört en genomlysning och uppföljning av vår IT-miljö. En liknande brist ska inte kunna uppstå igen.
Om du har frågor vänligen kontakta:
Nackademin AB
Peter Hampus, CIO Nackademin
+46 (0) 707 45 44 25
peter.hampus@nackademin.se