En novembermorgon 2023 vaknade Sverige upp till nyheten att Svenska kyrkan drabbats av ett omfattande cyberangrepp. Det var en attack som skakade om organisationen i sina grundvalar. Hackare hade lyckats bryta sig in i kyrkans digitala system, stulit miljontals filer och dessutom läckt dem på darknet.
Det skulle bli början på en kamp för att hantera de tekniska, men inte minst de mänskliga konsekvenserna av attacken.
Inledningsvis fanns det ingen (förutom möjligen förövarna själva) som förstod omfattningen av skadorna. Snart stod det emellertid klart att angreppet hade nått långt djupare än någon trott. Verksamheter och personal anställda av Svenska kyrkan över hela landet drabbades, och snart blev det tydligt att man befann sig mitt i en av de mest utmanande IT-kriserna i svensk historia.
Ingen står skyddad mot cyberbrottsligheten
Den största delen av de läckta uppgifterna kom från över 3 000 arbetsdatorer vilket motsvarade cirka 10 procent av kyrkans totala antal datoranvändare. Cirka 85 procent av filerna bedömdes vara skräp eller systemfiler, men många filer innehöll känsliga personuppgifter som namn, personnummer, kontaktuppgifter, medlemskap i Svenska kyrkan och i vissa fall även civilstånd. Även porträttbilder på ideellt anställda fanns bland uppgifterna, och för kandidater till kyrkliga val förekom uppgifter om kyrkopolitisk åsikt.
Den 22 januari 2024 gick Svenska kyrkan ut och informerade allmänheten om incidenten och snart blev både Integritetsskyddsmyndigheten (IMY) och polisen inkopplade för att hantera det inträffade. Enligt uppgifter från SVT hade Svenska kyrkan blivit “varnade” av MSB (Myndigheten för skydd och beredskap) för att vara särskilt sårbara, men valde att agera först när det var alldeles för sent. Svenska kyrkan gick senare ut och bekräftade att varningen “hamnat mellan stolarna”.
Att just Svenska kyrkan drabbades väckte många frågor. Som en av Sveriges äldsta och mest förtroendeingivande organisationer väcktes en undran över hur dess IT-system så relativt enkelt kunde angripas. Attacken visade att ingen är immun mot moderna cyberhot, oavsett storlek eller samhällsroll. Under samma period inträffade en liknande attack mot Kyrkornas världsråd, vilket visade att hoten mot religiösa institutioner och deras data var både omfattande och globala.
“Allt vi sa kunde riskeras att användas mot oss av angripare”
Per Starke, chef på Kyrkokansliet i Uppsala med ansvar för digitalisering och samverkan, blev intervjuad av fackförbundet Visions tidning angående angreppet. Enligt honom informerade ledningen om händelseförloppet så fort man hade möjlighet till det, trots den mycket prekära situationen som inkluderade en hel del känsliga uppgifter.
– Allt vi sa kunde riskeras att användas mot oss av angripare. Hade vi talat om vissa saker, hade vi inte kunnat få ut angriparna ur systemet.
Utbildning i informationssäkerhet stärker organisationer
Genom samarbete med cybersäkerhetsexperter kunde Svenska kyrkan till slut identifiera och avlägsna angriparna från systemen. Man betalade aldrig någon lösensumma.
Senare skulle FBI avslöja att den internationellt ökända hackergruppen Blackcat låg bakom attacken. Genom tillslag mot Blackcats nätverk gjordes flera beslag, vilket bidrog till att försvaga gruppens kapacitet. Svenska kyrkan var en av cirka 1 000 drabbade över hela världen som utsatts för ransomware-attacker av gruppen, som på det sättet fått in flera hundra miljoner dollar i utbetalade lösensummor.
I intervjun med Vision medgav Per Starke att mer arbete kunde göras för att stärka Svenska kyrkans säkerhetsarbete och kort därefter gjordes en omfattande extern utvärdering av hanteringen av attacken. Efteråt stärktes IT-säkerheten, och omfattande analyser och anmälningar till myndigheter gjordes för att minimera framtida risker. Det skulle dock ta lång tid att reparera de skador som förövarna åstadkommit.
Per Lagerström, kommunikationschef på Junglemap, menar att angreppet på Svenska kyrkan flyttade gränsen för hur sårbara, även idéburna organisationer kan vara för cyberhot. Han understryker vikten av kontinuerlig utbildning i informationssäkerhet för att stärka organisationers motståndskraft.
– Jag vet att den här attacken fick många inom civilsamhällets organisationer att reagera. Det blev ett ganska brutalt uppvaknande och exempel på att alla typer av organisationer kan drabbas, säger han.
Vad attacken innebär för Svenska kyrkan på sikt är svårt att sia om. Klart är att attacken skadade institutionens förtroende, men angreppet visade också att ingen går säker när det gäller sofistikerade cyberbrott. Enligt uttalanden från Svenska kyrkan är beredskapen högre om liknande attacker skulle inträffa i framtiden.
“Det händer ibland att vi anställda blir påminda om det som hände, då kan man se att det svartnar i mångas ögon”
Annika Lindfors, som jobbar som assistent på Svenska kyrkans pastorsexpedition i Helsingborg, minns tillbaka på händelsen.
– Vi satt med vigslar, dop och begravningar. Och i och med angreppet kunde vi inte se några bokningar i vårt system, och ingen kunde heller boka in något nytt. Just begravningar är lite känsligt, förr hamnade en bokningsbekräftelse bara digitalt, men numera tar vi en kopia som hamnar i pärmen. Vi slänger den i enlighet med GDPR, men vi är åtminstone förberedda på ett annat sätt idag.
Så här ett år senare menar hon att Svenska kyrkan lämnat angreppet bakom sig, även om de ökat medvetenheten bland de anställda:
– Det värsta har lagt sig, men det som hände finns fortfarande i våra bakhuvuden. Man blir ju såklart varse många saker som man borde gjort annorlunda då, men jag brukar säga “ingenting ont som inte för något gott med sig”. Det var smärtsamt för oss och det tog lång tid innan vi landade på fötterna igen. Samtidigt har det som hände öppnat ögonen hos människor. Att cyberangrepp kan drabba precis vem som helst.
Hon fortsätter:
– Idag tänker vi lite oftare “låt oss spara en kopia”. Och vi har en bättre överblick över hur vi arbetar idag, mot för ett år sen. Det händer ibland att vi anställda blir påminda om det som hände, då kan man se att det svartnar i mångas ögon, avslutar hon.
Representanter från Svenska kyrkans betonar vikten av kontinuerlig övervakning och utveckling av säkerhetsrutiner, man har också under hela 2024 haft en löpande dialog med polisen.
Behöver ni stärka medvetenheten i er organisation? Junglemap erbjuder utbildningar i informationssäkerhet för anställda och chefer som gör det enklare att förstå och hantera cyberhot i vardagen – oavsett storleken på er organisation.
