Incidenten upptäcktes 19 augusti av underleverantören SMS Teknik som krävdes på en lösensumma. Den skulle betalas inom 48 timmar annars skulle allt raderas stod det i meddelandet från den okända gärningspersonen.
SMS Tekniks externa säkerhetsexperter har sedan dess utrett incidenten bland annat genom att sätta upp en så kallad "honeypot" – en fälla – på internet. Metoden fungerade, samma förövare gick till ny attack.
Resultatet av utredningen visar nu att av 11 000 konton var bara tio berörda av attacken. Bodens kommun var inte en av dem. De 19 minuter angriparna hade tillgång till SMS-funktionen i planeringsverktyget Time Care var inte tillräckligt för att ladda ner all data.
Marika Anttila, informationssäkerhetssamordnare i Bodens kommun, andas ut.
– Vi är jättelättade. Vi har ett ansvar att se till att kommunens information inte läcker ut och gör så gott vi kan för att det inte sker – även om uppgifterna var harmlösa och inte innehöll någon hemlig information.
Kommer ni att ändra rutiner för upphandling av externa leverantörer av it-system?
– Nej, vi jobbar redan jättemycket med det sedan några år tillbaka – vilka krav vi ska ställa på leverantörer utifrån it-säkerhet – så jag tycker vi är på god väg. Men man kan alltid behöva fortsätta jobba med det.
Hela tiden kommer nya risker.
– Det är en föränderlig värld när det gäller it-säkerhetsfrågorna och precis som andra kommuner brottas vi med att få pengapåsen att räcka till.
Att ha en helt egen it-miljö utan externa leverantörer i små kommuner kan bli alltför kostsamt konstaterar hon.
– Oftast är det billigare att ta en upphandlad extern molntjänst än att ha allting i huset, men vi försöker ändå ställa rätt krav och även titta på vilken typ av information vi har hos leverantören.
Enligt Johan Thulin, cybersäkerhetsstrateg på Sverige kommuner och regioner, SKR, använder sig i stort sett alla kommuner av externa it-tjänster idag.
Han känner till åtminstone fem kommuner som har hackats senaste året. Incidenterna har varit av varierande allvarlighetsgrad.
– Svenska kommuner blir angripna så gott som dagligen men nästan alla attacker stoppas av deras säkerhetssystem.
Att lägga ut it-tjänster på externa aktörer behöver inte nödvändigtvis försämra säkerheten, även om det innebär att kommunen i någon bemärkelse får sämre kontroll över sin it-miljö.
– Många menar att en stor extern aktör kan lägga ner mer resurser på it-säkerhet än vad kommunen själv kan göra. Det är komplext.
Medvetenheten om it-säkerhet har ökat markant hos både kommuner och andra myndigheter erfar Johan Thulin.
– Men på samma gång har hoten från omvärlden ökat, det är Säkerhetspolisen tydlig med.
Säpo skriver på sin hemsida: "Cyberangreppen sker dagligen mot Sverige och blir alltmer avancerade. Metoder och verktyg för cyberangrepp utvecklas ständigt och hotaktörernas förutsättningar förändras i takt med teknikutvecklingen. Samtidigt har digitalisering, globalisering och den snabba teknikutvecklingen gjort samhället mer sårbart."
Det handlar både om underrättelseverksamhet från främmande makt och om kriminella som utsätter verksamheter för brott.
Enligt ett EU-direktiv som Sverige följer är alla aktörer inom samhällsviktig verksamhet skyldiga att arbeta med cybersäkerhet. Men exakt vilka åtgärder som krävs är inte angivna.
– Det är alltid en avvägning, men också en fråga om hur mycket skattepengar vi ska lägga på det.
Kuriren har sökt SMS Teknik utan framgång.