Det var i månadsskiftet januari-februari som en kommunanställd hittade mejl i sin brevlådas skickat-mapp som hen inte skickat själv och slog larm. Kommunens IT-avdelning upptäckte då att inloggning gjorts på fler mejlkonton av personer som befunnit sig utanför Sveriges gränser. I några fall handlar det om att den anställde själv varit utomlands och kollat sin jobbmejl via mobilen. De övriga rör sig om misstänkta intrång av utomstående, bland dem finns spår som leder till en spelsida i Nederländerna.
– Vi kan inte med säkerhet säga hur de obehöriga fått tillgång till inloggningsuppgifterna. Men en trolig orsak är att de drabbade använt samma inloggning som till sin jobbmejl på andra sajter, och sen har uppgifterna läckt och spridits vidare därifrån, säger Ulf Gustafsson, dataskyddsombud vid kommunledningsförvaltningen.
Den omedelbara åtgärden blev att spärra de elva kontona tills dess att användarna skapat nya och krångligare lösenord. Men förutom att skräppost skickats finns inga tecken på försök att stjäla uppgifter eller attacker för att sänka kommunens IT-system. Några personuppgifter ska inte heller ha röjts, med undantag för att e-postadresser kan ha kopierats från det hackade kontots adressbok.
Enligt Ulf Gustavsson finns det i dag ingen enhetlig policy för hur kommunanställda får använda jobbmejlen privat eller hur komplexa lösenord ska vara. Intrånget har aktualiserat såväl behovet av en policy som att höja kunskapsnivån och säkerhetstänket.
– En första rekommendationen är förstås att inte använda vare sig jobbets mejladress eller lösenord när man registrerar sig på olika sajter på nätet, säger han.
Han jämför det med rådet att man vid nätshopping gärna ska ha ett separat kreditkort som inte är kopplat till lönekontot för att minimera risken för att kontouppgifter hamnar i fel händer.
Men Ulf Gustafsson har förståelse för att många väljer att använda samma inloggning på flera ställen för att enklare komma ihåg dem.
– Javisst, numera behövs ju inloggningar i stort sett överallt, och det är krångligt att hålla reda på alla lösenord.
Kan det hända igen?
– Ja. I en stor organisation som vår är det näst intill omöjligt att säkerställa att alla hanterar sina konton enhetligt. Så förutom att höja kunskapen och medvetenheten hos användarna måste vi säkerställa att IT-avdelningen har den teknik som krävs för att upptäcka intrångsförsök, säger Ulf Gustafsson.