Cyberangrepp mot Svenska kyrkan

UPPDATERAT 2024-01-22

Svenska kyrkans webbplats fungerar igen

Svenska kyrkans webbplats, som legat nere sedan cyberangreppet i november, fungerar nu som vanligt igen. Formulär, kalenderhändelser och sökfunktioner är åter i gång. Det kan dock dröja ett tag innan all information är uppdaterad. 

- Svenska kyrkans webbplats är ett viktigt nav i kommunikationen med medlemmar och allmänhet. Det är en lättnad att den nu är i full funktion igen, säger Pia Dahlén, kommunikationschef för Svenska kyrkan på nationell nivå.

UPPDATERAT 2024-01-22

Information om personuppgiftsincident

Svenska kyrkan har den 22 januari gått ut med information om en personuppgiftsincident i samband med cyberangreppet i november förra året. Svenska kyrkan har hittills inga uppgifter om att angriparen var ute efter personuppgifter eller att informationen har missbrukats, men vi är skyldiga att informera om händelsen.

Angriparen har inte tagit sig in i Svenska kyrkans medlemsregister, men kan ha fått åtkomst till en begränsad mängd information från ett antal andra it-system och arbetsdatorer.

Personuppgifter i Svenska kyrkans it-miljö berör kyrkans personal, medlemmar, förtroendevalda och bidragsgivare. Efter analys konstaterar Svenska kyrkan att den obehöriga parten kan ha fått åtkomst till uppgifter om:

• personer som haft kontakt med kyrkan i olika ärenden, till exempel medlemsfrågor, boka lokal, dop, vigsel eller begravning
• personer som kontaktat kyrkan i egenskap av huvudman för begravningsverksamheten
• vuxna som deltar i kyrkans verksamhet, som körer, musikensembler eller föräldragrupper
• barn som deltar i kyrkans barnverksamhet
• ideella medarbetare
• kandidater till kyrkoval
• tidigare anställda i Svenska kyrkan

Berörda personuppgifter är namn, kontaktuppgifter, personnummer, medlemskap i Svenska kyrkan och i vissa fall även civilstånd. För ideella medarbetare kan även porträttbilder finnas bland personuppgifterna. För kandidater i kyrkliga val finns uppgifter om kyrkopolitisk åsikt (nomineringsgrupp). För den som fått utbetalningar från Svenska kyrkan förekommer kontouppgifter.

Detta har Svenska kyrkan gjort och gör

Cyberangreppet var en så kallad ransomware-attack, där angriparen tar kontroll över organisationens system och begär en lösensumma för att låsa upp dem.

När Svenska kyrkan upptäckte incidenten vidtogs omedelbart åtgärder för att skydda it-system och data. Det innebar bland annat att kyrkan stängde ned all åtkomst till berörda system, bytte samtliga lösenord.

Svenska kyrkan anlitade även cybersäkerhetsexperter som hjälpte till att begränsa, åtgärda och utreda incidenten. Svenska kyrkan har även ett fortsatt nära samarbete med säkerhetsexperterna för att identifiera och införa ytterligare säkerhetsåtgärder i syfte att förhindra liknande dataintrång i framtiden.

Incidenten har anmälts till Integritetsskydds­myndigheten och polisen strax efter angreppet.

Information via webb och lokala anslag

Information till allmänheten offentliggörs bland annat på Svenska kyrkans webbplats och genom anslag i församlingen lokalt. I de fall där personuppgifterna är särskilt integritetskänsliga, har eller kommer kyrkan att informera drabbade personligen.

UPPDATERAT 2024-01-08

Fortsatt arbete med att återställa system
Under jul- och nyårshelgerna har det intensiva arbetet fortsatt med att återstarta Svenska kyrkans många olika system. Funktioner som har stor betydelse för församlingarnas arbete har prioriterats.

I nuläget är det en stor del av system kring ekonomi, fakturering, lön och begravning som åter fungerar, men inte allt. Dessa system är fortsatt prioriterade.

En komplexitet som gör att arbetet tar tid är att det handlar om många system med inbördes beroenden och många användare och att flera tester behöver utföras.

Det finns ännu ingen prognos om när allt kommer att vara återställt. 

- Mycket arbete är gjort, men mycket återstår, säger Per Starke, chef för Gemensamma funktioner på kyrkokansliet i Uppsala.

UPPDATERAT 2023-12-28

Kyrkornas världsråd drabbat av cyber-angrepp
Den 26 december utsattes Kyrkornas världsråds it-system för ett ransomware-angrepp. Angriparna kräver betalning för att inte dela material och skada systemen. Analyser visar att det inte finns några kopplingar till angreppet på Svenska kyrkans it-system.

Kyrkornas världsråd har inte gått med på kraven och systemen stängdes ned samma dag. It-personal arbetar för att återställa alla system, som under årens lopp har skyddats av alltmer avancerade säkerhetssystem.

Kyrkornas världsråd fortsätter att vidta nödvändiga åtgärder för att skydda sin säkerhet och har informerat den schweiziska polisen och andra relevanta schweiziska myndigheter.

Svenska kyrkan är i kontakt med Kyrkornas världsråd för stöd och råd i arbetet med att återta kontrollen över it-systemen.

UPPDATERAT 2023-12-21

Information om personuppgiftsincident
Idag har alla som har en svenskakyrkan.se-adress fått ett mejl om att deras personuppgifter kan ha påverkats under cyberangreppet den 23 november. Det rör anställda och förtroendevalda i Svenska kyrkan. 

Mejlet innehåller information om vad som har hänt, vilka slags personuppgifter det rör sig om och hur Svenska kyrkan har agerat. Det innehåller även tips på vad man själv kan göra för att skydda sina personuppgifter framöver.  För närvarande känner vi inte till att personlig information har missbrukats på något sätt av den obehöriga parten.

Svenska kyrkan är enligt lag skyldig att informera om att personuppgifter kan ha berörts under en personuppgiftsincident.

Det är ett begränsat antal personer som blivit drabbade men vi kan inte med säkerhet veta exakt vem eller vilka personuppgifter som har exponerats. Därför får alla användare samma information.

UPPDATERAT 2023-12-20

FBI har gjort tillslag mot angriparen
Svenska kyrkan kan nu bekräfta att det är den så kallade Blackcat-gruppen som ligger bakom det cyberangrepp som Svenska kyrkan utsatts för. Gruppen är en av världens största när det gäller cyberbrottslighet. FBI har gjort ett tillslag i Blackcat-gruppens datornätverk och gjort flera beslag. Svenska kyrkan hör till de över 1000 drabbade över hela världen som utsatts för ransomware-attacker av Blackcat-gruppen, som på det sättet fått in flera hundra miljoner dollar i lösensummor. Svenska kyrkan har inte svarat på krav och har inte betalat lösensumma. Gruppen använder sig av en mängd metoder för att bryta sig in i systemen. Bland de angripna finns förutom Svenska kyrkan företag, skolor, sjukvård, regeringar, försvarsindustri, och system som stöder kritisk infrastruktur. På grund av den globala omfattningen av brottsligheten pågår nu parallella polisutredningar mot gruppen i flera olika länder. Svenska kyrkan polisanmälde angreppet omedelbart.

UPPDATERAT 2023-12-19

Angående medierapportering om att kyrkan reagerade för sent på sårbarhetsvarning
18/12 sände SVT Rapport ett inslag om att kyrkan reagerade för sent på en varning om sårbarhet i ett av systemen Svenska kyrkan använder.

SVT Rapport pekar på att ett mejl har skickats från Myndigheten för samhällsskydd och beredskap (MSB) till Svenska kyrkan.

Då Svenska kyrkan uppmärksammades på detta, kan vi idag efter efterforskningar bekräfta att vi har tagit emot ett mail den 15/11 från MSB/Cert.se. Mycket olyckligt har detta mejl skickats till fel mottagare inom organisationen.

Svenska kyrkan arbetar aktivt dagligen med att ta om hand om olika typer av säkerhetsvarningar och uppdateringar för att säkra kyrkans it-miljö. Detta arbete har successivt utvecklats sedan kyrkan digitaliserades i början av 1990-talet. Svenska kyrkan utsätts för flera angrepp varje dag, som vi avvärjer.

Svenska kyrkan har sedan tidigare en dialog med MSB och åtgärder har vidtagits för att säkerställa att framtida varningar hamnar rätt.

Svenska kyrkan arbetar fortsatt intensivt med att hantera konsekvenserna av det angrepp vi utsatts för och fokus nu är att kunna återstarta systemen så att vår verksamhet kan ske som vanligt igen.

UPPDATERAT 2023-12-15

Svenska kyrkans centrala IT-miljö säkrad
Svenska kyrkan har nu återtagit kontrollen över sin centrala it-miljö. Obehörig kod är bortrensad och hela miljön är ren. Fokus nu är på uppstart av de 500 system som legat nere sedan angreppet den 23 november. Systemen startas ett i taget utifrån en prioritetsordning, där begravning, lön och ekonomisystem ligger främst.

– Det är mycket glädjande att vi nu har en säker central it-miljö.  Vi fortsätter nu arbetet med att starta upp samtliga system, med stort fokus på säkerhet, säger Per Starke, chef för Gemensamma funktioner på kyrkokansliet i Uppsala.

UPPDATERAT 2023-12-13

Personuppgifter
Det står nu klart att personuppgifter har blivit tillgängliga utanför Svenska kyrkans kontroll efter intrånget i kyrkans it-miljö den 23 november. Svenska kyrkan tar detta på största allvar och det pågår en grundlig utredning för att få klarhet i vilka personuppgifter det handlar om.

Vi vet ännu inte exakt vilka uppgifter som påverkats men vår fortsatta utredning kommer att visa detta. 

Ett prioriterat arbete och analys pågår kring vilka personuppgifter som berörs. Det går i dagsläget inte att säga när analysen är klar. 

UPPDATERAT 2023-12-11

Begravningsverksamheten
Svenska kyrkan får frågor kring hur begravningsverksamheten påverkas av cyberangreppet. Bilden är att på de allra flesta platser i landet fungerar verksamheten så här långt utan större svårigheter. De problem som finns, och som har uppmärksammats i medier, gäller främst gravsättning i familjegravar.  

De församlingar som under angreppet inte har tillgång till den så kallade gravboken där det framgår hur tidigare gravsatta kistor och urnor är placerade, kan inte gräva i familjegravar utan att riskera att skada det som tidigare gravsatts. Detta är dock för närvarande inget utbrett problem. På många håll i landet finns lösningar, exempelvis genom att gravboken finns analogt tillgänglig. 

Gravsättningar i nya gravplatser, och i olika typer av minneslundar påverkas inte av angreppet.

UPPDATERAT 2023-12-08

Svenska kyrkan och personuppgifter
Vi vet i nuläget inte om några personuppgifter har exponerats i samband med cyberangreppet. Vi tar detta på största allvar och gör en grundlig utredning för att få klarhet. De viktigaste systemen har varit skyddade.

– Det pågår ett arbete med stöd av experter på cyberförsvar för att ta reda på vilken information hackarna har tagit del av. Detta arbete är ännu inte färdigt, säger Per Starke, chef för gemensamma funktioner på kyrkokansliet.

Svenska kyrkan på nationell nivå har även gjort en anmälan till Integritetsskyddsmyndigheten (IMY). Intrånget är också anmält till polisen.

– När det gäller själva angreppet, brottet, är det en polissak och det råder förundersökningssekretess. Därför kan vi inte säga något om just det. Vi gör allt vi kan för att minska skadan, fortsätter Per Starke.

Det finns inte några tecken på att detta skulle vara ett brott av ideologiska eller religiösa motiv. Utan att det handlar om en så kallad ransomware-attack, där en lösensumma begärs. Svenska kyrkan kommer inte betala ut någon lösensumma.

Nu arbetas intensivt med att återskapa systemen.

UPPDATERAT 2023-12-05

Löner betalas ut i december
Alla anställda i Svenska kyrkan kommer att få sin lön utbetald i december. Löneutbetalningarna har hög prioritet i arbetet med skademinimering och lösningar finns för att säkra detta.

Från löneservice i Uddevalla, till vilket en dryg tredjedel av Svenska kyrkans församlingar är anslutna, kommer lön att betalas ut vid ordinarie utbetalningstillfälle i december. Löneservice har alternativa vägar att hantera utbetalningen på.

UPPDATERAT 2023-11-28

Det är nu fastställt att torsdagens cyberangrepp rör sig om en så kallad Ransomware-attack. Det har kommit in krav men Svenska kyrkan kommer inte att bemöta dem.
- Vi kan inte ge några ytterligare detaljer om detta av säkerhetsskäl, säger Pia Dahlén, kommunikationschef för Svenska kyrkan på nationell nivå.

UPPDATERAT 2023-11-25 

Svenska kyrkan har nu gjort en polisanmälan med anledning av torsdagens cyberangrepp. Det intensiva arbetet med att minimera skadeverkningarna fortsätter. Effekterna av angreppet bedöms bestå under några veckor. 

Nationella nivåns krisledning fortsätter under helgen arbetet med att minimera skadeverkningarna och analysera vad som hänt.

Svenska kyrkan har polisanmält händelsen och under lördagen lämnas en anmälan in till Integritetsskyddsmyndigheten (IMY).

Krisledningen bedömer att krisen är långvarig och kommer att pågå flera veckor. Parallellt med skademinimeringen påbörjas arbetet med att återupprätta drabbade system.

Uppdaterad information publiceras i Svenska kyrkans pressrum på Via TT.

UPPDATERAT 2023-11-24

Svenska kyrkan drabbades i går torsdag av en allvarlig driftsstörning. Det kan nu bekräftas att det rör sig om ett cyberangrepp.

Det som i nuläget kan konstateras är att flera system blivit drabbade. Fokus ligger nu på att undersöka vad som hänt och minimera eventuella skador. Ett antal system har stängts ner av säkerhetsskäl.

UPPDATERAT 23-11-23 16:30

På svenskakyrkan.se visas en kopia av webbplatsen, vilket gör att all information är åtkomlig, men den uppdateras inte och sökfunktioner fungerar inte. Tjänsten Jourhavande präst fungerar som vanligt.