{"id":660050,"date":"2022-03-30T15:00:01","date_gmt":"2022-03-30T14:00:01","guid":{"rendered":"https:\/\/pulse.microsoft.com\/?p=660050"},"modified":"2023-03-16T13:25:46","modified_gmt":"2023-03-16T12:25:46","slug":"fa1-cyberattacken-mot-kalix-kommun","status":"publish","type":"post","link":"https:\/\/pulse.microsoft.com\/sv-se\/work-productivity-sv-se\/government\/fa1-cyberattacken-mot-kalix-kommun\/","title":{"rendered":"Cyberattacken mot Kalix kommun"},"content":{"rendered":"

\u201dIngenting gick att anv\u00e4nda. Det gick inte ens att skriva ut papper fr\u00e5n skrivarna. V\u00e5r hemtj\u00e4nstpersonal hade inte tillg\u00e5ng till journaler, ingen kom undan\u201d<\/p>\n

Mitt i natten den 16:e december drabbades Kalix kommun av en cyberattack.<\/p>\n

\u00c4ldreomsorgen var de f\u00f6rsta som uppt\u00e4ckte felet. Pl\u00f6tsligt kunde de inte l\u00e4ngre logga in i sitt journalsystem. N\u00e4r teknikerna kom till jobbet p\u00e5 morgonen f\u00f6r att unders\u00f6ka driftproblemet s\u00e5g de att hela databasen var ur funktion. N\u00e5gon hade tagit sig in i n\u00e4tverket, kommit \u00e5t servrarna och slagit ut dem. Det enda som hade l\u00e4mnats kvar \u00e5t teknikerna var ReadMe-filer:<\/p>\n

Ni har blivit krypterade<\/em><\/p>\n

Blackout<\/h2>\n

Det bor omkring 16 000 inv\u00e5nare i Kalix. Kommunen har \u00f6ver 1600 anst\u00e4llda. Ett utslaget kommunalt IT-system f\u00e5r konsekvenser f\u00f6r samtliga.<\/p>\n

\u2013<\/span> En attack av det h\u00e4r slaget p\u00e5verkar allt i en kommun. \u00c4ven fastigheters v\u00e4rme och ventilation. Men det som f\u00f6rst m\u00e5ste hanteras \u00e4r ju liv och h\u00e4lsa, ber\u00e4ttar Maria Henriksson, kommundirekt\u00f6r i Kalix.<\/p>\n

Journaler och medicinlistor kunde inte n\u00e5s och hemtj\u00e4nstpersonal fick anv\u00e4nda sig av papper och penna. Timanst\u00e4llda m\u00e5ste g\u00e5 till banken och handm\u00e4ssigt skriva p\u00e5 l\u00f6nedokument f\u00f6r att f\u00e5 sin l\u00f6n. Ungef\u00e4r som n\u00e4r man gick till l\u00f6nekontoret och fick ett kuvert med pengar i.<\/p>\n

Detta var en ransomware-attack, vilket betyder att den drabbade m\u00e5ste betala en l\u00f6sensumma f\u00f6r att stoppa krypteringen. Kommunen v\u00e4grade g\u00e5 den v\u00e4gen.<\/p>\n

\u2013<\/span> Det \u00e4r utpressning p\u00e5 h\u00f6g niv\u00e5. Och det \u00e4r verkligen viktigt att vi inte st\u00f6ttar den h\u00e4r typen av brottslighet genom att betala, s\u00e4ger Maria Henriksson.<\/p>\n

\"konferens\"<\/p>\n

F\u00f6rsta steget<\/h2>\n

N\u00e4r teknikerna f\u00f6rstod att det r\u00f6rde sig om ransomware drog de i g\u00e5ng det stora larmet. Konsulter ins\u00e5g allvaret och omdisponerade direkt sina resurser. Under de f\u00f6rsta 48 timmarna beh\u00f6vde man agera snabbt.<\/p>\n

\u2013<\/span> Vi fick st\u00e4nga ned all internet, allting, och bli en isolerad \u00f6. Hela n\u00e4tverket var en brottsplats. Och f\u00f6rsta dagarna gick \u00e5t till att samla ihop bevis, ber\u00e4ttar Kalix kommuns stabsansvarige Kenneth Bj\u00f6rnfot.<\/p>\n

Det beh\u00f6vdes en plan. Nu var det br\u00e5ttom f\u00f6r IT-arbetslaget att f\u00e5 systemen i drift.<\/p>\n

\u2013<\/span> Vi gick p\u00e5 h\u00f6ga adrenalinp\u00e5slag p\u00e5 IT naturligtvis. Vi var lediga jul- och ny\u00e5rsafton. Annars var det tidig morgon till sena kv\u00e4llar f\u00f6r att snabbt komma upp p\u00e5 banan. Tiden var en kritisk faktor h\u00e4r \u2013 vi var tvungna att jobba snabbt men \u00e4nd\u00e5 metodiskt och s\u00e4kert, f\u00f6rklarar Kenneth Bj\u00f6rnfot som i sin befattning ansvarar f\u00f6r information, IT och upphandlingar i kommunen.<\/p>\n

Microsoft Sverige involverades i IT-arbetslaget bara n\u00e5gon dag efter att krypteringen uppt\u00e4ckts. I samlad trupp antog IT-teamet uppdraget att f\u00f6rst och fr\u00e4mst ta kontroll \u00f6ver milj\u00f6n och \u00e5terg\u00e5 till normall\u00e4get. Samtidigt uppenbarades effekterna av angreppet i fler delar av det kommunala arbetet.<\/p>\n

 <\/p>\n

Kommunen och medborgarna<\/h2>\n

Av de verktyg som kommunikationsavdelningen normalt sett har till sitt f\u00f6rfogande fungerade inte m\u00e5nga. Internt var det e-posten som drabbades v\u00e4rst. Sedan st\u00e4ngdes hemsida och intran\u00e4t ned av s\u00e4kerhetssk\u00e4l.\u00a0Att kunna kommunicera var vitalt f\u00f6r att undvika misstro och ryktesspridning \u2013 och transparens mot media var det enda s\u00e4ttet.<\/p>\n

\u2013<\/span> Transparensen \u00e4r sj\u00e4lvklar \u2013 och n\u00f6dv\u00e4ndig. Det handlar om trov\u00e4rdighet gentemot kommunmedborgarna, menar Reine Sundqvist, kommunens kommunikationschef.<\/p>\n

\u2013<\/span> Samtidigt som man \u00e4r \u00e4rlig blottar man sig. N\u00e5gon har tagit sig in i Kalix system, hur \u00e4r det m\u00f6jligt \u00f6verhuvudtaget? Men det \u00e4r m\u00f6jligt.<\/p>\n

Som p\u00e5 kommunikationsavdelningen fick anst\u00e4llda i kommunen hitta nygamla s\u00e4tt att arbeta. \u00c4ldreomsorgen fick till exempel kikh\u00e5l in till regionens medicinlistor.<\/p>\n

\u2013<\/span> N\u00e4r du inte kan komma in i systemet, vad g\u00f6r du d\u00e5? D\u00e5 tar du fram det d\u00e4r hj\u00e4rtat och g\u00f6r allt du kan f\u00f6r att se till att v\u00e5ra medborgare f\u00e5r den servicen de har r\u00e4tt till. Det \u00e4r sv\u00e5rt att s\u00e4tta ord p\u00e5 vilket enormt jobb alla medarbetare har gjort, s\u00e4ger Reine Sundqvist.<\/p>\n

V\u00e4gen tillbaka<\/h2>\n

Detta hj\u00e4rta gav IT-arbetslaget den trygghet de beh\u00f6vde f\u00f6r att \u00e5terst\u00e4lla l\u00e4get. N\u00e4sta del av planen var att s\u00e4kra upp systemen igen. F\u00f6rst beh\u00f6vde man se till att flera m\u00e5naders dokumentation inte f\u00f6rsvunnit i avgrunden. Man beh\u00f6vde kolla hur backupsystemen m\u00e5dde och om de hade p\u00e5verkats av attacken.<\/p>\n

Det hade de inte.<\/p>\n

\u2013<\/span> Och d\u00e5 fick vi ett lugn i maggropen. Vi kunde andas ut och planera p\u00e5 att komma tillbaka med f\u00f6rh\u00f6jd s\u00e4kerhet, ber\u00e4ttar stabschefen Kenneth Bj\u00f6rnfot.<\/p>\n

Servrarna gick nu att anv\u00e4nda igen och man p\u00e5b\u00f6rjade resan mot ett nytt s\u00e4kerhetssystem \u2014 rutiner, designa om n\u00e4t, ladda in helt nya skyddsprogramvaror p\u00e5 pc-sidan och p\u00e5 serversidan. Microsoft bidrog med st\u00f6d och v\u00e4gledning till IT-medarbetarna och anlitade konsulter.<\/p>\n

\u2013<\/span> Programvaran Teams anv\u00e4nde vi dygnet runt i en m\u00e5nad. Tillsammans med konsulterna fr\u00e5n Microsoft och andra. Den har varit guld v\u00e4rd. Vi har som hela tiden haft ett p\u00e5g\u00e5ende arbetsm\u00f6te digitalt. Den st\u00e4ngdes aldrig. Vi var in d\u00e4r hela tiden och skrev i loggarna och chattarna d\u00e4r vi kunde l\u00e4sa vad som h\u00e4nt, vad som gjorts och vad som beh\u00f6vde g\u00f6ras, f\u00f6rklarar Kenneth Bj\u00f6rnfot.<\/p>\n

\"Kommunhus\"<\/p>\n

En Microsoft-centrerad s\u00e4kerhetsl\u00f6sning<\/h2>\n

Kommunen hade l\u00e4nge planerat f\u00f6r s\u00e4kerhetsh\u00f6jande \u00e5tg\u00e4rder. Men Kenneth menar att tiden aldrig funnits f\u00f6r att st\u00e4nga ned alla system och bygga upp p\u00e5 nytt. Ransomware-angreppet tvingade fram den tidsluckan. N\u00e4r incidenten intr\u00e4ffade s\u00e5g kommunen ocks\u00e5 att de befintliga skydden uppenbarligen inte r\u00e4ckte till.<\/p>\n

\u2013<\/span> Det finns andra leverant\u00f6rer men vi m\u00e4rkte att de systemen inte fungerade som vi hade hoppats. S\u00e5 d\u00e4rf\u00f6r har vi bytt, s\u00e4ger han, och idag arbetar kommunen med ett nytt, mer sammanh\u00e4ngande skydd.<\/p>\n

\u2013<\/span> Vi har t\u00e4nkt g\u00f6ra det l\u00e4nge men har inte f\u00e5tt den tiden. Nu \u00e4r det gjort. P\u00e5 tre-fyra veckor gjorde vi tre \u00e5rs utvecklingsarbete n\u00e4r det g\u00e4ller IT-s\u00e4kerhet.<\/p>\n

Ute p\u00e5 andra sidan<\/h2>\n

Med mycket m\u00f6da, heroism och uppoffringar fr\u00e5n kommunens medarbetare kunde allts\u00e5 hemtj\u00e4nsten \u00e4nd\u00e5 leverera sina tj\u00e4nster. Folk kunde f\u00e5 sin l\u00f6n. P\u00e5verkan var inte \u00f6desdiger f\u00f6r dem som anv\u00e4nder kommunens tj\u00e4nster. Och samh\u00e4llet i stort hann aldrig fullt k\u00e4nna av problemet. Reine Sundqvist upplever ocks\u00e5 att f\u00f6rtroendet f\u00f6r kommunen till och med har st\u00e4rkts efter attacken.<\/p>\n

\u2013<\/span> Det skapades en v\u00e4rme och k\u00e4rlek till Kalix kommun bland medborgarna som \u00f6nskade att vi skulle l\u00f6sa detta, ber\u00e4ttar kommunikationschefen.<\/p>\n

\u2013<\/span> Vart man \u00e4n gick s\u00e5 pratades det om oss. \u2019Bra Kalix, st\u00e5 p\u00e5 er, vilket jobb ni g\u00f6r!\u2019<\/p>\n

Om IT-arbetslagets insats h\u00e5ller Reine inte tillbaka orden:<\/p>\n

\u2013<\/span> De var ju v\u00e5ra hj\u00e4ltar helt \u00e4rligt. De jobbade ju fasiken dygnet runt med att l\u00f6sa ett problem som r\u00f6r inte bara Kalix utan hela Sverige.<\/p>\n

Kenneth sj\u00e4lv tillskriver framg\u00e5ngarna \u201ddet v\u00e4l genomf\u00f6rda arbetet som gjordes \u2013 och att man var s\u00e5 v\u00e4ldigt alert fr\u00e5n f\u00f6rsta dagen\u201d. \u00c4ven ur ett cybers\u00e4kerhetsperspektiv kom kommunen ut starkare p\u00e5 andra sidan.<\/p>\n

\u2013<\/span> Vi har m\u00e4rkt senare att de investeringar vi nu g\u00f6r i Defender-programvaran fungerar p\u00e5 ett utomordentligt s\u00e4tt. Vi f\u00e5r larm n\u00e4r n\u00e5t suspekt p\u00e5g\u00e5r p\u00e5 serverniv\u00e5 och PC- och klientniv\u00e5er i v\u00e4ldigt god tid. Vi kan agera innan n\u00e5t allvarligt \u00e4r p\u00e5 v\u00e4g att h\u00e4nda. S\u00e5 det har blivit bra s\u00e5 mycket b\u00e4ttre, konstaterar han.<\/p>\n

Idag har kommunens IT-milj\u00f6 betydligt fler s\u00e4kerhetssp\u00e4rrar. Tidigare till\u00e4t kommunen enklare inloggningar av ren bekv\u00e4mlighet. Men Kalix kommun har l\u00e4rt sig att aldrig mer l\u00e5ta bekv\u00e4mlighet g\u00e5 f\u00f6re s\u00e4kerhet.<\/p>\n

\"Kalix<\/p>\n

_______________________________________________________________________<\/p>\n