Líkt og komið hefur fram í fréttum varð Strætó fyrir fjandsamlegri netáras frá erlendum árásaraðilum í lok desember.  Árásaraðilarnir  náðu að brjóta sér leið inn í kerfi Strætó og afrita gögn og upplýsingar sem þar eru að finna.

Upplýsingar uppfærðar 5. janúar 2022

Viðkomandi árásaraðilar hafa krafið Strætó um greiðslu en hótað því að leka viðkomandi gögnum verði Strætó ekki við kröfum árásaraðilanna. Í samræmi við leiðbeiningar netöryggissveitar Íslands mun Strætó ekki verða við þeim kröfum. Persónuvernd hefur verið tilkynnt um málið og er Strætó í stöðugum samskiptum við stofnunina vegna þess.

Rannsókn málsins stendur enn yfir og gripið hefur verið til umfangsmikilla ráðstafana til að loka á aðgang umræddra aðila og takmarka áhrif á réttindi og frelsi þeirra einstaklinga sem Strætó vinnur upplýsingar um. Má þar nefna lokun á aðgangi tilgreindra IP talna og tilgreindra aðganga að kerfum Strætó sem og endurræsingu á lykilorðum þeirra aðila sem aðgang hafa í umrædd kerfi.

Þau kerfi sem árásaraðilarnir hafa fengið aðgang að eru eftirfarandi:

  • Launakerfi Strætó þar sem finna má tengiliðaupplýsingar, reikningsupplýsingar og launaupplýsingar núverandi og fyrrverandi starfsfólks Strætó
  • Mannauðskerfi Strætó þar sem finna má tengiliðaupplýsingar, ráðningarsamninga og önnur mannauðstengd gögn fyrrverandi og núverandi starfsfólks Strætó
  • Málaskrá Strætó þar sem finna má afrit af erindum og fyrirspurnum frá almenningi, tengiliðaupplýsingar forsvarsmanna birgja, samstarfsaðila og verktaka, sem og afrit af umsóknargögnum umsækjenda um störf
  • Netkerfi Strætó þar sem finna má upplýsingar um hljóðupptökur símtala sl. 90 daga áður en árásin átti sér stað

Ekkert bendir til þess að árásaraðilarnir hafi eða geti misnotað þessar upplýsingar, en ekki er hægt að útiloka að upplýsingarnar verði birtar opinberlega af hálfu umræddra aðila.

Strætó harmar að þessi innrás hafi átt sér stað og unnið er hörðum höndum við að klára rannsókn málsins og munu uppfærðar upplýsingar birtast hér á heimasíðu Strætó eftir því sem rannsókninni miðar áfram.

Tekið skal fram að Strætó vinnur jafnframt með persónuupplýsingar sem svokallaður vinnsluaðili fyrir hönd annarra aðila, svokallaðra ábyrgðaraðila.  Hvað varðar mögulegan aðgang árásaraðila að þeim upplýsingum munu viðkomandi ábyrgðaraðilar tilkynna hlutaðeigandi aðilum um slíkan öryggisbrest, eftir því sem við á.

Nánari upplýsingar um öryggisbrest þennan veitir persónuverndarfulltrúi Strætó, Sigurður Már Eggertsson, í gegnum netfangið personuvernd@straeto.is.

Sigurður Már Eggertsson