Listan: Företagen som har drabbats av Tietoevry-attacken

Natten mot lördagen föll Tietoevry offer för utpressnings­trojanen Akiras våld. Akira är en så kallad dubbel­utpressnings­trojan, vilken både stjäl och utpressnings­krypterar filerna som den kommer över. Utpressnings­krypteringen gör att systemen blir oåtkomliga och att data kan gå förlorad. Stulna filer leder till risk för att känsliga uppgifter läcker på nätet.

Observera att vi ännu inte vet om någon data har stulits vid just det här tillfället. Vi vet däremot att data har utpressnings­krypterats och gått förlorad (se avsnittet om Vellinge).

Skärmdump av Akiras webbplats.
Akiras webbplats torsdagen 25:e januari 2024.

Hur lång tid det kommer ta att återställa systemen är oklart. Tietoevry skriver idag i ett pressmeddelande att ”med tanke på incidentens karaktär och antalet kundspecifika system som ska återställas kan återställningsprocessen fortfarande sträcka sig över flera dagar, till och med veckor”.

Bekräftat drabbade organisationer

Tietoevry är en tjänste­leverantör till många stora organisationer. Attacken mot Tietoevry fick därför snabbt ringar på vattnet och konsekvenser som märktes runt omkring i samhället.

Följande lista summerar organisationerna som jag har bekräftat att har drabbats av driftsstörningar till följd av just Tietoevry-attacken. Jag utelämnar medvetet mindre organisationer som enbart har påverkats i begränsad skala och saknar nationellt intresse.

Listan kan innehålla kunder som enbart har påverkats indirekt. När Tietoevry upptäckte attacken kan de ha ”dragit ur sladden” till icke-påverkade system i syfte att skydda dem. Som utomstående åskådare går det inte att se skillnad på system som har tagits ur drift för att de har blivit utpressnings­krypterade och system som har tagits ur drift i preventivt syfte.

Anticimex

Skadedjurs­bekämparen Anticimex skickade under tisdagen ut ett pressmeddelande där de skrev att driftsstörningen begränsade Anticimex möjlighet att boka in nya kundbesök samt kundernas möjlighet att logga in i kundportalen.

Torsdag eftermiddag (2024-01-25) ligger kundportalen fortfarande nere.

BMW och Mini

Några av IT-systemen som bilmärkena BMW och Mini förlitar sig på gick ned i samband med attacken. I ett nyhetsbrev som BMW skickade ut på onsdagen skrev bil­tillverkaren att de för närvarande inte kunde skicka ut fakturor eller utföra kontrakts­ändringar. De skrev även att kundportalen ”Mina sidor” låg nere.

Torsdag eftermiddag (2024-01-25) ligger kundportalen fortfarande nere.

Filmstaden

Biografkedjan Filmstaden drabbades hårt men lyckades ändå hålla sina biografer öppna. Inledningsvis kunde de dock varken sälja biljetter eller ta betalt för snacks. Det dröjde till på lördags­eftermiddagen innan Filmstaden började kunna ta betalt och då enbart med Swish.

Skärmdump av Filmstadens webbplats. En notis visar texten: ” En IT-incident hos en av våra leverantörer gör att det inte går att köpa biljetter på hemsidan eller i appen”.
Filmstadens webbplats torsdagen 25:e januari 2024.

Torsdag eftermiddag (2024-01-25) är det fortfarande enbart möjligt att köpa biljetter på plats på biograferna med betalning via Swish (ingen försäljning via webb eller app).

Filmstadens biografer är sedan många år tillbaka kontantfria biografer.

Granngården

Detaljhandels­kedjan Granngården tillhör med sina drygt 100 butiker de omsättnings­mässigt värst drabbade Tietoevry-kunderna (procentuellt). På lördagen stod Granngårdens försäljning still. Granngården kunde varken öppna sina butiker eller sälja produkter via webben. Det dröjde till några timmar in på tisdagen innan butikerna kunde slå upp dörrarna igen.

Granngårdens butiker är sedan 2022 kontantfria butiker.

Skärmdump av Granngårdens webbplats. En notis visar texten: ”Våra butiker & E-handel håller idag 20/1 stängt p.g.a. tekniska problem”.
Granngårdens webbplats lördagen 20:e januari 2024.

Torsdag eftermiddag (2024-01-25) är webbutiken fortfarande stängd och Granngården uppger att de har ”störningar i sin operationella verksamhet”.

Loomis

Kontanthanterings­bolaget Loomis meddelade under måndagen att de påverkades på flera vis. I en varnings­notis på Loomis webbplats framgick det att de hade svårt att ge information om sina tjänster och saknade sannolikt möjlighet att fakturera för utförda tjänster. Därutöver varnade de för att data skulle kunna ha läckt.

Det finns en risk för att information vi har i vårt affärssystem om ert bolag kan ha kommit obehöriga till del, men det är inte bekräftat. Det kan innefatta information om bankkonto för utbetalning, företrädare med person­nummer och deras roll, kontakt­personer, fakturor, avtal och liknande dokumentation.

Loomis, 2024-01-22

Torsdag eftermiddag (2024-01-25) ligger varningen kvar på Loomis webbplats.

Läkartidningen

Läkartidningens webbplats gick ned i samband med attacken. Redaktionen började då publicera sina artiklar på en reservwebbplats i väntan på lösning.

Torsdag eftermiddag (2024-01-25) är den ordinarie webbplatsen fortfarande otillgänglig.

Mediq

Sjukvårds­leverantören Mediq tappade anslutningen till Tietoevry i samband med attacken (jag missade att dokumentera den exakta innebörden av detta).

Mediq uppger på sin webbplats att deras anslutning återupprättades under onsdagen men att det kvarstår arbete innan Mediq blir fullt operativt igen. Mediq uppmanar sina kunder att ringa eller mejla in ordrar. Folkbladet rapporterar samtidigt (2024-01-23) att Mediqs lagersystem ligger nere och att de därför inte kan leverera varor. Samma artikel i Folkbladet anger detta som skäl till att Region Västerbotten gick upp i stabsläge.

På torsdag kväll (2024-01-25) är Mediqs webbutiker, förskrivnings­portal och patient­portal fortfarande oåtkomliga.

Munters

Klimatkontroll­bolaget Munters offentlig­gjorde sina preliminära resultat­siffror i förväg. Detta gjorde de på grund av risk för att informationen hade läckt. På måndags­morgonen skickade Munters ut ett pressmeddelande där de skrev att det till följd av utpressnings­attacken inte kunde ”säkerställas att information avseende Munters preliminära resultat /…/ förblivit konfidentiell”.

Naturvetarna

Fackförbundet Natur­vetarnas webbplats gick ned i samband med attacken, och under tisdagen meddelade Naturvetarna mig att det enbart var just webbplatsen som påverkades. Deras övriga system fungerade utan anmärkning.

Torsdag eftermiddag (2024-01-25) är Naturvetarnas webbplats fortfarande otillgänglig.

Primula/Statens servicecenter

HR- och lönesystemet Primula används av över 100 myndigheter (se lista hos Sveriges Radio). Systemet gick ned i samband med attacken och ligger fortfarande nere, vilket gör att avvikelser inte kan rapporteras. Statens servicecenter som ansvarar för Primula uppger att januari­lönerna ändå kan betalas ut som planerat (se pressmeddelande).

Torsdag eftermiddag (2024-01-25) visar stickprovs­kontroller att lönesystemet fortfarande är otillgängligt.

Umeå Universitet driftar Primula i egen regi och har därför inte påverkats av drift­sstörningen hos Tietoevry. Detta framgår av en nyhetsartikel på Umeå Universitets webbplats. Tack till ”Roger” som tipsade om detta.

Region Blekinge

Region Blekinge publicerade på tisdagen ett pressmeddelande om att de hade aktiverat reservresurser och en regional händelsestab. I pressmeddelandet framgick att driftsstörningen påverkade regionens ”informations­överföringsverktyg som används för samverkan vid utskrivning från Blekinge­sjukhuset, psykiatrin, primärvården och länets kommuner”.

På en informationssamlingssida skriver regionen idag att ”obehöriga på ett olagligt sätt kan ha kommit åt personuppgifter som finns i ett av Region Blekinges vårdplanerings­system” samt att ”regionen för närvarande inte har tillgång till vissa patient­uppgifter” (informationen uppdaterades 2024-01-24).

Region Sörmland

Region Sörmland publicerade på tisdagen ett pressmeddelande om att flera system var påverkade och att de utredde omfattningen. Bland annat påverkades deras ”informations­överföringsverktyg som används för samverkan vid utskrivning från sjukhusen, psykiatrin, primärvården till länets kommuner. På onsdagen följde regionen upp med ett nytt pressmeddelande om att de hade gick upp i stabsläge.

Region Uppsala

Region Uppsala publicerade under söndagen ett pressmeddelande om att störningar påverkade deras ekonomisystem och sjukvårdens journalsystem. Under måndagen publicerade de ytterligare ett pressmeddelande om att de hade tvingats gå över till reservrutiner men att störningarna inte påverkade invånarna.

Region Västerbotten

Region Västerbotten gick under måndagen upp i stabsläge. Detta framgick av ett pressmeddelande som regionen skickade ut samma dag. Där stod även att flera av regionens system påverkades av driftsstörningen, däribland systemet för utskrivning av patienter och systemet för beställning av förbruknings­inventarier.

Under tisdagen skickade regionen ut ett nytt pressmeddelande med budskapet att driftsstörningen var begränsad till de två nämnda systemen.  

Leverantören av förbrukningsinventarier är i sin tur direkt drabbade av utpressnings­attacken (se Mediq). Detta uppger Folkbladet.

Rusta

Detaljhandels­kedjan Rustas webbplats gick ned i samband med attacken. På måndagen skickade Rusta ut ett pressmeddelande som tillkännagav att även lager­försörjningen påverkades. Rustas drygt 200 butiker har däremot kunnat ha öppet som vanligt bortsett från att antalet kassor som tar emot betalkort har begränsats.

Rustas butiker tar emot kontanter och på söndagen uppmanade Rusta sina kunder att ta med kontanter för säkerhets skull (se kommentar på Facebook).

Torsdag eftermiddag (2024-01-25) är Rustas webbplats fortfarande otillgänglig.

Skärmdump av Rustas webbplats som visar felmeddelandet ”Soon up and running again”.
Rustas webbplats torsdagen 25:e januari 2025.

Stadium

Detaljhandels­kedjan Stadiums webbplats gick ned i samband med attacken. Stadiums 190 butiker verkar däremot inte ha drabbats och bolaget har inte skickat ut något pressmeddelande om övriga störningar. Av ett officiellt svar på Facebook att döma verkar dock Stadiums kundservice påverkas av drift­sstörningen.

Stadiums butiker tar emot kontanter.

Torsdag eftermiddag (2024-01-25) är Stadiums webbplats fortfarande otillgänglig.

Svenska retursystem

Distributionsjätten Svenska retursystems webbplats och kundsystem gick ned i samband med attacken. I ett telefonsvarar­meddelande, avlyssnat i tisdags, meddelade Svenska retursystem att flera av deras system var påverkade och att de inte kunde ta emot mejl. De hänvisade i stället beställningar till en tillfällig Outlook-mejladress.

Torsdag eftermiddag (2024-01-25) har den publika webbplatsen kommit upp igen men kundportalen ligger fortfarande nere.

Obs! Svenska retursystem har valt att inte besvara mina förfrågningar gällande koppling till Tietoevry-attacken. Jag baserar därför kopplingen på information som jag hittade i deras senaste årsredovisning. I den står att ”vår intention är att vårt samarbete med Tietoevry ska fungera som ett partnerskap där vi betraktar dem som vår egen IT-avdelning för drift, support och infrastruktur”. I årsredovisningen skriver de också att Tietoevry har haft dessa uppdrag i flera år.

Swedavia

Vid lunchtid på torsdagen tillkännagav Swedavia att deras interna ekonomisystem IFS påverkas. Swedavia skriver i ett pressmeddelande att drifts­störningen påverkar hanteringen av leverantörs­betalningar med längre handläggnings­tider som följd. Swedavia poängterar att ”drifts­störningen har en begränsad påverkan på Swedavias verksamhet och påverkar inte flygplatsernas operativa drift eller resenärerna”.

Systembolaget

Systembolaget drabbades i liten utsträckning. Under lördagen gick det inte att beställa varor via deras webbutik och enligt System­bolagets kommentar till Svenska Dagbladet fungerade inte heller sökfunktionen på deras webbplats. På söndags­kvällen meddelade Systembolaget att webbplatsen var åter i full drift (se notis på Systembolagets webbplats).

Tradedoubler

Annonsbolaget Tradedoubler offentlig­gjorde sina preliminära resultatsiffror i förväg. Detta gjorde de på grund av risken för att informationen hade läckt. På måndags­morgonen skickade Tradedoubler ut ett pressmeddelande där de skrev att de på grund av utpressnings­attacken inte kunde ”säkerställa att information förblivit konfidentiell”.

Unionens a-kassa

Unionens a-kassas publika webbplats gick ned i samband med attacken. Medlemswebben ”Mina sidor” som används för tidsrapportering och ersättnings­ärenden påverkades däremot inte.

Torsdag eftermiddag (2024-01-25) är Unionens a-kassas publika webbplats fortfarande otillgänglig.

Vellinge kommun

Vellinge kommuns webbplats låg nere hela lördagen och det dröjde till långt inpå söndagen innan kommunen fick upp en reservwebbplats. Under onsdagen publicerade Vellinge kommun en uppdaterings­notis där de tillkännagav att ”en lång rad system är krypterade och låsta efter attacken” samt att de ”betraktar detta som förlorad information och data”.

I en kommentar till SVT meddelade Vellinge kommun att inte bara deras databaser hade blivit utpressnings­krypterade utan även deras säkerhets­kopior.

Torsdag eftermiddag (2024-01-25) är Vellinge kommuns ordinarie webbplats fortfarande otillgänglig. Vellinge kommun skriver att ”det kommer att ta lång tid att få en helt funktionell verksamhet”.

Bekräftat orelaterade driftsstörningar

Följande kunders driftsstörningar har bekräftats sakna koppling till attacken mot Tietoevry.

Orelaterat: Bjuvs kommun

Natten mot måndagen blev både Tietoevry och Bjuvs kommun attackerade med Akira-utpressnings­trojanen. Detta var dock två skilda attacker. På onsdagen meddelade IT-chefen för IT-samarbets­organisationen där Bjuvs kommun ingår att de visste hur Akira kom in i deras miljö men att inget tydde på någon koppling till Tietoevry (se Linkedin-inlägg).

Orelaterat: Ica

Under måndagen blev Icas och Ica-bankens webbplatser oåtkomliga. Ica meddelade mig att driftsstörningen saknade koppling till attacken mot Tietoevry.

Orelaterat: Polisen

Polisens publicerings­system gick ner under lördagen. DN rapporterade att det inte fanns några indikationer på kopplingar till attacken mot Tietoevry.

Orelaterat: Örkelljunga kommun

Örkelljunga kommun publicerade på söndagen en uppmaning till sina medarbetare om att inte logga in på sina datorer (se arkivversion av det numera raderade inlägget). Detta visade sig vara en försiktighets­åtgärd som lyckligtvis var överflödig.

Uppmaningen publicerades med anledning av attacken mot samarbetskommunen Bjuv, vilken visade sig vara Akira-relaterad men sakna koppling till Tietoevry.

Mer information

Tietoevry publicerar löpande mer information om utpressnings­­attacken. Du hittar deras pressmeddelanden i Tietoevrys nyhetsrum.

Jag rekommenderar också alla att titta på TV4:s intervju med Patrik Fältström. På åtta minuter lyckas han summera situationen på ett lättförståeligt vis. Intervjun spelades in tisdagen 23:e januari.

Här följer slutligen ett urval av de artiklar där jag kommenterar situationen, sorterade efter publiceringsdatum, för er som vill följa utvecklingen.

Ändringar

  • 2024-01-25 17:25: Region Sörmland tillagda efter tips från Jan.
  • 2024-01-25 17:35: Region Blekinge tillagda efter tips från David.
  • 2024-01-25 18:05: Mediq tillagda efter tips från Tobias.
  • 2024-01-25 19:55 Kompletterande information tillagd gällande kopplingen mellan Region Västerbotten och Mediq efter tips från ”maswan”.
  • 2024-01-25 20:15 Swedavia tillagda efter tips från Tobias.
Denna artikel är publicerad under CC BY 4.0-licens, med undantag för citat och bilder där en annan fotograf är angiven.

Kommentarer

Delta i diskussionen. Logga in med ditt befintliga konto på Nikka Systems Academy eller skapa ett nytt konto helt gratis.

Kommentar