Uppgifter om en omfattande läcka av källkod kopplad till IT-leverantören CGI har väckt oro kring säkerheten i Sveriges digitala myndighetssystem. Analys från cybersäkerhetsaktörer pekar på att material som påstås komma från CGI:s interna utvecklingsmiljö har publicerats på nätet av en hotaktör. Den aktuella koden uppges tillhöra CGI:s så kallade E-plattform, en teknisk infrastruktur som används för flera e-förvaltningstjänster i Sverige.
Information om läckan började spridas efter att cybersäkerhetsanalytiker offentliggjorde analyser av ett dataset som sägs ha skickats till säkerhetsforskare av en hotaktör. En teknisk genomgång tyder på att materialet kan härstamma från en intern GitLab-instans hos CGI och innehålla arkitekturdetaljer, mikroservice-komponenter och konfigurationsfiler relaterade till digital offentlig infrastruktur.
Threat Landscape – Sweden e-government source code leak CGI Sverige ByteToBreach
Enligt analyser av det publicerade materialet ska flera typer av känsliga uppgifter förekomma i de läckta filerna. Bland dessa nämns databasanvändare och lösenord, uppgifter kopplade till e-postsystem och SMTP-servrar samt lösenord till kryptografiska keystore- och truststore-filer. Även autentiseringsuppgifter för integrationssystem och konfigurationsdata för digitala signeringslösningar uppges ingå i datasetet.
Materialet ska dessutom innehålla systemkomponenter kopplade till flera centrala funktioner inom digital myndighetskommunikation. Bland dessa nämns kod relaterad till plattformen “Mina Engagemang”, som används för medborgarportaler och ärendehantering i olika offentliga tjänster. Analysen pekar även på komponenter för e-signering och e-ID-lösningar samt identitetsfederation baserad på SAML-standarden och OpenSAML-bibliotek.
En annan del av materialet uppges innehålla konfigurationsfiler kopplade till så kallade SHS-integrationer, ett integrationslager som används för säker informationsöverföring mellan svenska myndigheter. Om dessa uppgifter är aktuella kan de ge en detaljerad bild av hur digital kommunikation mellan offentliga system är uppbyggd.
Cyberaktören bakom publiceringen har i vissa analyser kopplats till gruppen ByteToBreach. Gruppen förekommer i hotaktörsdatabaser och har tidigare associerats med publicering av stulen data från organisationer i flera länder. En profil över gruppens aktivitet och tidigare incidenter finns sammanställd i säkerhetsplattformen VECERT Analyzer.
VECERT Analyzer – Threat actor profile ByteToBreach
Det finns dock fortfarande betydande osäkerhet kring hur aktuell och komplett den publicerade informationen är. Cybersäkerhetsexperter betonar att läckt källkod eller konfigurationsfiler inte automatiskt innebär att produktionssystem är komprometterade. För att en angripare ska kunna utnyttja sådan information krävs i regel ytterligare sårbarheter eller giltiga autentiseringsuppgifter.
Samtidigt kan exponering av teknisk arkitektur och konfigurationsfiler innebära risker även utan direkt systemintrång. Sådan information kan användas av angripare för att kartlägga systemstruktur, identifiera svaga punkter och planera mer riktade attacker mot organisationer som använder plattformen.
Den aktuella incidenten sätter fokus på en bredare säkerhetsutmaning inom digital offentlig infrastruktur. I många länder drivs centrala myndighetstjänster av privata IT-leverantörer som utvecklar och underhåller system åt offentlig sektor. Detta skapar komplexa leveranskedjor där säkerheten i en leverantörs miljö kan få konsekvenser för ett stort antal organisationer.
Europeiska unionens cybersäkerhetsmyndighet ENISA har i flera rapporter pekat ut leveranskedjeattacker som ett av de snabbast växande hoten mot digital infrastruktur. En angripare kan i vissa fall få tillgång till många organisationer genom att kompromettera en enda leverantör eller programvarukomponent.
ENISA – Threat Landscape Report
Även i Sverige har myndigheter lyft behovet av stärkt säkerhet i digitala leveranskedjor. Myndigheten för samhällsskydd och beredskap betonar att organisationer behöver ha kontroll över säkerheten hos externa leverantörer som hanterar kritiska system eller känslig information. Detta innefattar riskanalyser, säkerhetsgranskningar och rutiner för incidenthantering.
MSB – Cybersäkerhet och informationssäkerhet
Den ökande digitaliseringen av offentlig service innebär samtidigt att fler samhällsfunktioner är beroende av komplexa IT-miljöer. System för digital identifiering, elektroniska signaturer och myndighetsportaler används i dag i stor omfattning för att hantera allt från myndighetsärenden till företagsregistreringar och kommunal service.
Om tekniska komponenter i dessa system exponeras kan konsekvenserna därför bli betydande, särskilt om flera organisationer använder samma plattform eller integrationslösning. Säkerhetsexperter framhåller därför vikten av snabb teknisk analys, rotation av autentiseringsuppgifter och noggrann genomgång av systemloggar när uppgifter om läckor uppstår.
I nuläget pågår fortfarande granskning av det material som påstås ha publicerats. Flera cybersäkerhetsorganisationer uppger att de analyserar datasetet för att fastställa dess äkthet, aktualitet och potentiella påverkan på produktionsmiljöer.
Så länge denna tekniska verifiering inte är färdig är det svårt att bedöma incidentens fulla konsekvenser. Händelsen har dock redan aktualiserat frågor om säkerheten i den digitala infrastruktur som ligger till grund för många av Sveriges offentliga e-tjänster.
Sammanfattning
Uppgifter om en läcka från CGI:s e-förvaltningsplattform har väckt oro kring cybersäkerheten i Sveriges digitala myndighetssystem. Analys tyder på att källkod, konfigurationsfiler och autentiseringsuppgifter kan ha publicerats av en hotaktör som i vissa analyser kopplas till gruppen ByteToBreach. Materialet uppges innehålla komponenter relaterade till medborgarportaler, e-signering och integrationssystem mellan myndigheter. Den fullständiga omfattningen av incidenten är ännu inte tekniskt verifierad, men händelsen belyser riskerna i digitala leveranskedjor och beroendet av externa IT-leverantörer inom offentlig sektor.
Källförteckning
Threat Landscape – Sweden e-government source code leak CGI Sverige ByteToBreach
VECERT Analyzer – Threat actor profile ByteToBreach
Aftonbladet – CGI Sverige uppges vara hackade och flera myndigheter berörs
Göteborgs-Posten – Uppgifter om hack mot statligt IT-system
Omni – Känslig information kan ha läckt från svenskt IT-system
ENISA – European Union Agency for Cybersecurity Threat Landscape
MSB – Cybersäkerhet och informationssäkerhet
CGI Sverige – Digitala lösningar för offentlig sektor
BankID – Information om tjänstens funktion och säkerhet
International Cyber Digest – rapport om läckan av svensk e-förvaltningskod
EU NIS2-direktivet – stärkt cybersäkerhet i samhällsviktiga tjänster
Myndigheten för digital förvaltning (DIGG) – Sveriges digitala offentliga tjänster
Europol – Cybercrime Threat Assessment
National Cyber Security Centre – Supply chain cyber security guidance