Obehöriga kunde höra samtal till socialtjänsten

Känsliga uppgifter kan ha röjts av Telias bugg i Stockholms stad
Staden har anmält sig själv till Datainspektionen.
Tusentals personer som ringde Stockholms stad under fyra dagar i februari riskerade att få sina röstmeddelanden avlyssnade av obehöriga. Orsaken var en bugg hos Telia.
– Det här är ytterst allvarligt, säger Johanna Engman, it-direktör vid Stockholms stad.

Den 25 februari ringde en person till socialtjänsten hos Årsta-Enskede-Vantör. Till sin förvåning hörde personen ett meddelande spelas upp, från en annan klient som ringt till socialtjänsten. Personen slog genast larm.

En allvarlig bugg

Det visade sig snabbt att incidenten berodde på en allvarlig bugg hos en telefoniserver hos Telia. Under fyra dagar i februari riskerade den som ringde till 35 av Stockholms stads förvaltningar och bolag och talade in ett meddelande, att få sin personliga integritet kränkt. Risken fanns att nästa person som ringde samma nummer fick samtalet uppspelat för sig. Alla stadsdelsförvaltningar är drabbade.

 – Telia gjorde en uppgradering av sin server den 22 februari. Det var i den buggen fanns. Så snart det uppdagades drog Telia tillbaka uppgraderingen och vi påbörjade en utredning om följderna. Den är inte klar än, säger Johanna Engman, it-direktör vid Stockholms stad.

Det här är ytterst allvarligt

Johanna Engman, it-direktör

Buggen fanns hos 730 stadsanställdas telefonnummer. Under de fyra dagarna ringde totalt 2 047 personer till dem, något som TV4 var först med att berätta. Hur många av dem som har hört en annans persons meddelande är ännu inte klarlagt.

– Det enda fallet vi känner till är den person som hörde av sig till oss. Nu försöker vi ta reda på om det finns fler. Det här är ytterst allvarligt. De som ringer Stockholms stad måste kunna lita på att de uppgifter de lämnar är skyddade och säkrade, säger Johanna Engman.

Viktiga samtal kan ha missats

Flera av de 730 medarbetarna arbetar vid stadens socialtjänster. Johanna Engman konstaterar att samtal dit kan vara mycket känsliga. Dessutom finns risken att personer blivit utan hjälp som de har rätt till, på grund av buggen.

– Om någon lyssnar av ett meddelande finns det sedan inte kvar som oavlyssnat meddelande. Därför kan man ha missat personer som sökt hjälp. Det är också väldigt allvarligt, säger hon.

Vi hade önskat att Telia gjort en kontroll av att uppgraderingen var felfri

Johanna Engman, it-direktör

Den 8 mars lämnade Telia en lista över de 730 telefonnumren till Stockholms stad. Den 11 mars hölls ett möte, där Stockholms stads informationssäkerhetsansvariga, Johanna Erlandsson, och företrädare för Telia informerade berörda förvaltningar och bolag. Då delades också listorna med telefonnumren ut.

– Utifrån de listorna har förvaltningarna och bolagen sedan identifierat vilka medarbetare det gäller och kontaktat dem. Nu utreder vi det här vidare. Jag har den övergripande kontakten med Telia och stämmer sedan av med förvaltningarna, säger Johanna Engman.

Riktar kritik mot Telia

Hon är kritisk till att Telia inte säkrade uppgraderingen innan den sjösattes.

– Vi hade önskat att Telia gjort en kontroll av att uppgraderingen var felfri. Det pratar vi om nu, säger Johanna Engman.

Alla 35 förvaltningar och bolag har gjort en anmälan till Datainspektionen om incidenten. I anmälan klassas incidenten som ”mycket allvarlig” eftersom den innebär att drabbade ”förlorar kontrollen över de egna personuppgifterna” och eftersom den gäller ”förlust av konfidentialitet när det gäller personuppgifter som omfattas av tystnadsplikt”.

Vid behov kommer de som ringt in under de fyra dagarna att kontaktas av staden.

Telia vill inte svara

Telia vill inte lämna några uppgifter om vad deras utredning kommit fram till, utan hänvisar till Stockholms stad.

– Stockholms stad är vår kund och vi kan inte gå in på några detaljer. Vi har lämnat över vår tekniska analys till dem och har du några frågor om resultatet får du gå direkt till Stockholms stad, säger Irene Krohn, presschef på Telia.

Fakta

Förvaltningarna som drabbats av buggen

  • Enskede Årsta Vantör stadsdelsförvaltning
  • Utbildningsförvaltningen
  • Hässelby-Vällingby stadsdelsförvaltning
  • Östermalm stadsdelsförvaltning
  • Kyrkogårdsförvaltningen
  • Kungsholmen stadsdelsförvaltning
  • Socialförvaltningen
  • Rinkeby-Kista stadsdelsförvaltning
  • Skärholmen stadsdelsförvaltning
  • Bromma stadsdelsförvaltning
  • Spånga-Tensta stadsdelsförvaltning
  • Trafikkontoret
  • Norrmalm stadsdelsförvaltning
  • Farsta stadsdelsförvaltning
  • Arbetsmarknadsförvaltningen
  • Södermalm stadsdelsförvaltning
  • Fastighetskontoret
  • Skarpnäck stadsdelsförvaltning
  • Hägersten-Liljeholmen stadsdelsförvaltning
  • Kulturförvaltningen
  • Miljöförvaltningen
  • Stadsledningskontoret
  • Svenska bostäder
  • Älvsjö stadsdelsförvaltning
  • Sisab
  • MICASA
  • Serviceförvaltningen
  • Exploateringskontoret
  • Idrottsförvaltningen
  • Stadsbyggnadskontoret
  • SBR (Stockholms Business Region)
  • SHIS Bostäder
  • Stadsarkivet
  • Stockholmshem
  • Stokab
Källa: Stockholms stad