Dataintrång: Skydda anställda mot bedrägerier – vad gör förvaltningen?

[Tjänsteutlåtande daterat 2026-01-21 Datatintrång mot systemleverantören Miljödata.pdf] Tta Kungsholmens stadsdelsförvaltning Tjänsteutlåtande Direktörens stab Dnr KUNG 2025/430 2026-01-21 Sida 1 (4) K1dst1au a2nn rt ige.2s sl5.t klo alSc iuptkorp hidca oksn lhme 6onl@mstockholm.se Handläggare Till Anne Menes Kungsholmens stadsdelsnämnd Telefon: 08–50808098 2026-02-19 Dataintrånget mot systemleverantören Miljödata Svar på skrivelse Förvaltningens förslag till beslut Kungsholmens stadsdelsnämnd godkänner stadsdelsförvaltningens tjänsteutlåtande som svar på skrivelsen. Sammanfattning Vid stadsdelsnämndens sammanträde 25 september 2025 lämnade Anette Nordvall och Lars Norén, båda Centerpartiet, in en skrivelse angående dataintrånget mot systemleverantören Miljödata där Stockholms stads anställdas personuppgifter läckte. Förvaltningen arbetar proaktivt för att förebygga bedrägeriförsök mot anställda genom styrande riktlinjer, systematiskt informationssäkerhetsarbete och utbildningsinsatser. Arbetet omfattar bland annat informationsklassning av system, tydlig ansvarsfördelning för it-säkerhet, tillämpning av NIS2-direktivet och cybersäkerhetslagen samt rutiner för incidentrapportering. En central del i det förebyggande arbetet är medarbetarnas kunskap och dagliga agerande. För detta finns obligatoriska utbildningar i informationssäkerhet och dataskydd som ska genomföras årligen. Inga särskilda nyckeltal används i nuläget för att mäta framsteg i att förhindra bedrägeriförsök eller cyberattacker. Uppföljning sker i stället genom befintliga strukturer såsom internkontrollplanen, incidentrapporteringssystemet IA samt uppföljning av genomförda utbildningar. Under 2026 kommer särskilda kontroller att genomföras inom områdena informationssäkerhet, välfärdsbrott och otillåten påverkan. Förvaltningen föreslår att stadsdelsnämnden godkänner tjänsteutlåtandet som svar på skrivelsen. Kungsholmens stadsdelsförvaltning Bakgrund HR-avdelningen I en skrivelse från Centerpartiet ställs frågor som avser Fleminggatan 2 dataintrånget mot systemleverantören Miljödata och att Stockholm Box 49039 stads anställdas personuppgifter har läckt. 100 28 Stockholm Växel 08-508 08 000 Fax kungsholmen@stockholm.se start.stockholm Tjänsteutlåtande Dnr KUNG 2025/430 Sida 2 (4) Ärendet Vid stadsdelsnämndens sammanträde 25 september 2025 lämnade Anette Nordvall och Lars Norén, båda Centerpartiet, en skrivelse som avser dataintrånget hos systemleverantören Miljödata där samtliga av Stockholms stad anställdas personuppgifter läckte. Skrivelsen tar upp att vanliga former av online bedrägerier på arbetsplatsen inkluderar nätfiske (phishing), där bedragare använder falska e-postmeddelanden eller meddelanden för att lura mottagare att lämna ut personlig information eller ladda ner skadlig programvara. En annan form är ”smishing”, vilket är nätfiske via textmeddelanden (SMS) i stället för e-post. Därtill förekommer ”spear phishing”, en mer riktad och sofistikerad variant av nätfiske som fokuserar på specifika individer. I dessa fall utger sig bedragaren ofta för att vara någon som mottagaren känner, exempelvis en chef eller kollega. Förebyggande av bedrägeriförsök kräver ett proaktivt arbetssätt och kan mätas genom färre lyckade bedrägerier, starkare och mer effektiva detekteringssystem samt bättre informerade användare som kan identifiera och rapportera potentiella hot. Med anledning av ovanstående vill skribenterna att förvaltningen återkommer med svar på följande: • att förvaltningen redovisar hur de arbetar proaktivt för att motverka bedrägeriförsök mot de anställda. • att förvaltningen redovisar om det finns framtagna nyckeltal som förvaltningen använder för att mäta framstegen i att förhindra bedrägeriförsök och andra cyberattacker. Ärendets beredning Ärendet har betetts på stadsdelsdirektörens stab. Ärendet har behandlats av pensionärsrådet, rådet för funktionshinderfrågor och i förvaltningsgruppen. Synpunkter framgår av respektive protokoll. Förvaltningens synpunkter och förslag I samband med det omfattande it-angreppet som Stockholm stads systemleverantör Miljödata utsattes för under augusti, drabbades även Kungsholmens stadsdelsförvaltnings anställda. De läckta uppgifterna omfattar bland annat personnummer, telefonnummer, adress och anställnings-id. Förvaltningens svar på skrivelsens frågor: 1. Förvaltningen redovisar hur de arbetar proaktivt för att Angående dataintrånget mot motverka bedrägeriförsök mot de anställda. systemleverantören Miljödata och att Stockholms stads samtliga anställdas personuppgifter Tjänsteutlåtande Dnr KUNG 2025/430 Sida 3 (4) Både förvaltningen och Stockholms stad i stort arbetar strukturerat och proaktivt för att förebygga bedrägeriförsök mot anställda genom styrande dokument, tekniska och organisatoriska säkerhetsåtgärder samt utbildningsinsatser. Staden har fastställda riktlinjer för hur anställda ska agera i sitt arbete, bland annat avseende erbjudanden och förmåner. Som huvudregel ska anställda inte ta emot något som kan påverka beslut eller hur arbetsuppgifter utförs. Syftet är att säkerställa opartiskhet och motverka mutor och otillåten påverkan. Vidare finns riktlinjer och rutiner för dataskydd samt hantering av personuppgiftsincidenter. De flesta av stadens it-system förvaltas av stadsledningskontoret eller andra fackförvaltningar, som ansvarar för att systemen har tillräckliga skydd och förebyggande åtgärder för att minska risken för bedrägerier och obehörig åtkomst. Dock ansvarar förvaltningen för sin information och ska tillse att den är skyddad. Det görs genom informationsvärdering och klassning samt att riskanalyser och rutiner tas fram för att säkerställa krav. Förvaltningen informationsklassar sina informationstillgångar, särskilt viktigt vid införande av nya system. Informationssäkerhetsarbetet omfattar både teknisk säkerhet, såsom it-säkerhet, och organisatorisk säkerhet, exempelvis behörighetsstyrning, interna rutiner, instruktioner och riktlinjer. Arbetet stärks även genom tillämpningen av NIS2-direktivet och cybersäkerhetslagen som trädde i kraft den 15 januari 2026 och som innebär att NIS2-direktivet införlivas i svensk lag. Regelverket ställer ökade krav på säkerhet i nätverk och it-system samt på incidentrapportering inom samhällsviktig verksamhet. En grundläggande del i det förebyggande arbetet är medarbetarnas kunskap och dagliga agerande. Ansvaret för säker informationshantering omfattar samtliga medarbetare, förtroendevalda, leverantörer såsom konsulter och entreprenörer samt i viss utsträckning även skolelever. För detta ändamål finns två obligatoriska e-utbildningar: Informationssäkerhet för medarbetare i staden samt Grundkurs i dataskydd. Utbildningarna ska genomföras årligen. Andelen genomförda utbildningar på Kungsholmen har varierat under året, vilket visar på ett förbättringsområde. Att öka deltagandet är en viktig del i det proaktiva arbetet mot bedrägeriförsök. 2. Förvaltningen redovisar om det finns framtagna nyckeltal som förvaltningen använder för att mäta framstegen i att förhindra bedrägeriförsök och andra cyberattacker. Angående dataintrånget mot systemleverantören Miljödata och att Stockholms stads samtliga anställdas personuppgifter Tjänsteutlåtande Dnr KUNG 2025/430 Sida 4 (4) Förvaltningen använder i nuläget inga särskilda nyckeltal specifikt framtagna för att mäta framsteg i att förhindra bedrägeriförsök eller andra cyberattacker. Uppföljning sker i stället genom befintliga styr- och kontrollsystem. I tertialrapporter och verksamhetsberättelse redovisas bland annat arbetet mot välfärdsbrottslighet. Vidare reglerar System för intern kontroll hur arbetet med intern kontroll ska bedrivas, inklusive ansvarsfördelning och rapportering av fel och brister. Risker som bedöms som allvarliga följs särskilt genom internkontrollplanen. Under 2026 kommer bland annat processerna motverka otillåten påverkan, motverka välfärdsbrott samt systematiskt informationssäkerhetsarbete att följas upp genom riktade kontroller och stickprov. Vid identifierade avvikelser vidtas åtgärder. Anställda ska rapportera incidenter i stadens incidentrapporteringssystem IA. Inrapporterade incidenter analyseras och används som underlag för förbättringsåtgärder. Sedan september har tre incidenter inrapporterats och avser ”bluffmejl”/nätfiske. Enligt arbetsmiljöårshjulet går verksamheterna igenom rutin och vad som ska registreras i IA under november månad. Dessutom följs genomförandegraden av de obligatoriska utbildningarna i dataskydd och informationssäkerhet upp, vilka även ingår i de individuella utvecklingsplanerna vid medarbetarsamtal. Därutöver har förvaltningen stöd via CERT Stockholm (Computer Emergency Response Team) som är stadens gemensamma funktion för att förebygga, upptäcka och hantera it-säkerhetsincidenter. Vid en it-säkerhetsincident kan CERT Stockholm ge råd och stöd kring hur situationen kan hanteras. Funktionen identifierar även sårbarheter i produkter, som kan påverka stadens it-miljö eller verksamheter. Förvaltningen föreslår att stadsdelsnämnden godkänner tjänsteutlåtandet som svar på skrivelsen. Ann-Christine Hansson Stadsdelsdirektör Kungsholmens stadsdelsförvaltning Bilaga Skrivelse från Centerpartiet Angående dataintrånget mot systemleverantören Miljödata och att Stockholms stads samtliga anställdas personuppgifter Attesterat av Detta dokument har godkänts digitalt av följande personer: Namn Datum Ann-Christine Hansson, Stadsdelsdirektör 2026-02-02 --- [Angående dataintrånget mot systemleverantören Miljödata och att Stockholms stads samtliga anställdas personuppgifter har läckt.pdf] SDN Kungsholmen 2025-09-28 Ärende 27 Stadsdelsnämndens frågor och skrivelser Anette Nordvall (C) Lars Norén (C) Angående dataintrånget mot systemleverantören Miljödata och att Stockholms stad samtliga anställdas personuppgifter har läckt Så här skriver tidningen Mitt i: ”Angriparen har kommit åt personuppgifter om alla anställda i Stockholms stad," står det i brevet som skickats ut till de anställda. "Möjliga konsekvenser av incidenten är att du riskerar att förlora kontrollen över dina egna personuppgifter och att personuppgifterna används på ett bedrägligt sätt. [...] Vi följer nära den information som staden får från Miljödata och den polisutredning av incidenten som nu pågår," skriver staden. Vanliga onlinebedrägerier på arbetsplatsen inkluderar: ● Nätfiske – när bedragare använder falska e-postmeddelanden eller meddelanden för att lura offer att avslöja personlig information eller ladda ner skadlig programvara. ● Smishing – en typ av nätfiske som använder textmeddelanden (SMS) i stället för e-post. ● Spear phishing – en mer riktad form av nätfiske som fokuserar på specifika individer, ofta genom att utge sig för att vara någon som offret känner, till exempel en chef eller kollega. Förhindrande av bedrägeriförsök sker genom att vara proaktiv och mäts i färre lyckade bedrägeriförsök, starkare detekteringssystem och mer informerade användare som kan känna igen och rapportera hot. Vi vill: -att förvaltningen redovisar hur de arbetar proaktivt för att motverka bedrägeriförsök mot de anställda. -att förvaltningen redovisar om det finns framtagna nyckeltal förvaltningen använder för att mäta framstegen i att förhindra bedrägeriförsök och andra cyberattacker.