Läcka på darknet påstås röja källkod och nycklar från myndighetsplattform, uppgifter pekar mot CGI Sweden och system för identitetshantering medan CERT-SE utreder

En datamängd som påstås innehålla källkod, lösenord och kryptografiska nycklar från en plattform som används av svenska myndigheter har lagts ut på den kriminella delen av nätet, enligt SVT och Aftonbladet. Materialet uppges ha stulits från CGI Sverige, ett it-konsultbolag som driver system för digitala tjänster åt flera myndigheter. CERT-SE, den nationella funktionen för incidenthantering under Myndigheten för samhällsskydd och beredskap, uppger att man känner till uppgifterna och analyserar dem.

Det påstådda läckaget är mindre intressant som en enskild kupp än som en påminnelse om hur Sverige byggt den ”digitala staten” som en kedja av beroenden: myndigheter köper tjänster, leverantörer lägger ut drift och utveckling i flera led, och säkerheten granskas ofta i efterhand. Enligt Aftonbladet har Dagens Nyheter gått igenom materialet och uppger att det innehåller källkod för ett system för identitetshantering och, separat, uppgifter som sägs omfatta lösenord och krypteringsnycklar. Om detta stämmer handlar den omedelbara risken inte bara om prestigeförlust utan om en lång svans av möjliga angrepp: inloggningsuppgifter som återanvänds på andra ställen, signeringsfunktioner som missbrukas och sårbarheter som hittas snabbare när genomförandet nu ligger öppet.

Skatteverket säger till Aftonbladet att man försöker verifiera uppgifterna och söker kontakt med CGI. BankID uppger att man följer händelsen men betonar att BankID i sig inte har angripits och att tjänsten fortsatt är säker att använda. SVT hänvisar till it-säkerhetsexperten Anders Nilsson, som säger att läckan framstår som äkta utifrån det han kunnat granska. I samma rapportering framgår också att ett it-säkerhetsföretag som arbetar åt Myndigheten för samhällsskydd och beredskap har inlett arbete med ärendet.

Den ekonomiska logiken är välkänd i offentlig upphandling: leverantören får betalt för drifttid och funktioner, medan den nedströms kostnaden för ett säkerhetshaveri – att medborgare exponeras, akuta saneringsinsatser, anseendeskador och åratal av skärpt försvar – hamnar på myndigheter och i slutändan skattebetalare. Avtal kan ange kontroller, men prövningen kommer vid incidenten, när kunden inte enkelt kan byta system och när ”verifiering” blir första offentliga svar eftersom varken staten eller leverantören vill bekräfta skadeomfattningen för tidigt.

För myndigheterna är nästa steg praktiskt snarare än retoriskt: att fastställa vad som faktiskt tagits, om några nycklar fortfarande är giltiga och vilka myndigheter som är beroende av de berörda komponenterna. Allmänheten märker i regel först något om tjänster stängs ned, inloggningar begränsas eller nya säkerhetsfrågor och kontroller dyker upp.

På fredagsmorgonen beskrev myndigheter fortfarande läckan som en obekräftad uppgift, samtidigt som man mobiliserade incidenthanteringsgrupper för att ta reda på om den är verklig.