Kalix kommundirektör om cyberattacken: ”Kanske behövs en elitstyrka?”

CYBERHOT De hoppades få lite andrum efter två års pandemi. I stället fick de en cyberattack som skulle placera Kalix kommun mitt i världspolitiken.
Kommundirektör Maria Henriksson berättar om hur de hanterade mardrömmen – och vad andra bör tänka på.

Kalix kommundirektör om cyberattacken: ”Kanske behövs en elitstyrka?”
Kalix kommundirektör Maria Henriksson drar viktiga lärdomar om cyberattacker.

När PwC frågade 4 500 vd:ar från 89 olika länder om framtiden svarade en övervägande del att de ser cyberattacker som största hotet.

Någonting är fel

Du är inloggad som prenumerant hos förlaget Pauser Media, men nånting är fel. På din profilsida ser du vilka av våra produkter som du har tillgång till. Skulle uppgifterna inte stämma på din profilsida – vänligen kontakta vår kundtjänst.

En som vet hur det är att befinna sig mitt i stormens öga efter en cyberattack är Maria Henriksson. När Kvalitetsmagasinet pratar med henne har det gått två månader efter ransomewareattacken mot Kalix kommun och det har just blivit känt att åklagaren lagt ner brottsutredningen med motiveringen ”Brottet har begåtts på distans från utlandet och bevisning finns inte tillgänglig här. Det finns inte förutsättningar för internationell rättslig hjälp.”

FAKTA Kalix kommun

Antal invånare: Cirka 15 800.

Antal kommunalt anställda: 1 575 (2019).

Ligger i: Norrbottens län.

Att man i kommunen haft sina aningar om varifrån attacken styrts är klart. Men kommundirektören får inte spekulera.

– Förundersökningen är dessutom sekretessbelagd. Men det hade varit så himla intressant att veta mer! säger hon.

Betala uteslöts direkt

Inte undra på det. Sedan den 16 december har attacken präglat extremt mycket av kommunens arbete.

Vi hade ju ingenting – inte ens en dator att föra loggbok på.

Hon satt i möte med chefen för sociala enheten den 15:e december och konstaterade att det skulle bli skönt med julledighet efter två tuffa pandemiår. 03.00 morgonen därpå kom de första larmen. Hemtjänsten kunde inte logga in sitt system. När andra yrkesgrupper kom till jobbet blev vidden av attacken tydligare.

– Det var en total overklighetskänsla! Jag skulle vilja kunna visa den stora whiteboard som vi hade på det första krisledningsmötet då den var helt tom. Sedan fick vi fotografera av tavlan med de olika uppdragen. För vi hade ju ingenting – inte ens en dator att föra loggbok på, säger Maria Henriksson.

Vana vid att jobba i stab

Där och då togs snabbt beslut om att inte betala någon lösensumma. Kommunen ska inte förhandla med kriminella. Man beslöt också att vara transparent med angreppet. Det fanns ingen annan väg eftersom alla kommunikationsvägar stängts av. Politiker, medborgare och medarbetare måste få veta vad som hänt. Alltså valde man att gå via media.

Trots att angreppet skulle visa sig vara väldigt utbrett har Maria Henriksson låtit samlad ända sedan start.

– Det har känts hanterbart hela tiden. Men det beror mycket på att vi efter två år med pandemin är tränade på att jobba i stab. Vi planerade på både lång och kort sikt och fick snabbt en bild av vad som var den största risken. Det kunde till exempel vara en ny vårdtagare som vi inte hunnit få koll på ännu och som skulle kunna falla mellan stolarna. Det var självklart att liv och hälsa skulle gå först.

Fick jobba med penna och papper

Trovärdigheten till kommunens arbete står och faller med medborgarnas trygghet, slår Maria Henriksson fast. Samtidigt var det viktigt att se över politikernas utrustning snabbt för att värna demokratin.

Fakta

Drabbade verksamheter hjälper varandra

Det blir allt fler organisationer som väljer att öppet berätta om attacker de utsatts för. Hit hör bland annat Coop som drabbades i somras.

Nyligen publicerade Röda Korset ett dokument med detaljer om vad som hände under attacken mot organisationen.

I somras attackerades även den irländska sjukvården. Även de har valt att beskriva skeendet i detalj för att andra ska kunna ta hjälp av erfarenheterna.

Om vanan av stabsarbete var till hjälp nu så hade pandemin i sig bidragit till sårbarheten, då man fått lätta lite på säkerheten för att politiker och medarbetare skulle kunna jobba på sina datorer hemifrån.

I avsaknad av digitala hjälpmedel åkte papper, penna och postit-lappar fram. Att planera på gammaldags vis skulle visa sig fungera fint även nu. Papperskorgar vittjades på bemanningsscheman som någon i hemvården skrivit ut. Alla tänkbara anteckningar som kunde hjälpa till att lägga vardagspusslet utnyttjades.

När vi satte upp en ny hemsida hackades den också.

När även regionen gick upp i stabsläge kunde kommunen få tillgång till exempelvis medicinlistor för kommunens sköraste.

Stort medialt tryck

Att man inte riktigt kommit i hamn med kommunens e-arkiv gjorde också att det ännu fanns analog information att tillgå. Kort sagt, det blev en stressövning som hette duga.

– Jag hade inte kunnat arrangera en övning där vi hade kunnat öva på det här viset. Vi hade ju ingen hemsida, inget intranät, ingenting. När vi satte upp en ny hemsida hackades den också. Vi satte upp två till för att vara på den säkra sidan, säger Maria Henriksson.

Genom Kalix-tv fick de möjligheten att nå ut till kommuninvånarna när alla andra kanaler låg nere.

– Men vi hade ingen aning om att vi skulle blåsa av stolen av allt medialt intresse! Det finns ju bara två personer på vår kommunikationsenhet i Kalix.

Drogs in i världspolitiken

Det stormade extra mycket när överbefälhavare Micael Bydén uttalade sig om den ryska militära upptrappningen och konstaterade att konsekvenserna av cyberattacker kan bli förödande, vilket i Göteborgs-Posten kopplades ihop med attacken i Kalix.

– Det var inte så kul när Putin gick ut och sa att Sverige provocerar. Det är inte vår sak som kommun att prata storpolitik.

Maria Henriksson
”Jag trodde nog att vi hade en elitstyrka”, säger Maria Henriksson.

Maria Henriksson har som kommundirektör hanterat tuffa krissituationer tidigare. Men cyberattacken har varit en av de tuffaste hittills, menar hon.

– Å andra sidan fick vi så mycket hjälp. Medborgarna förstod att de måste skriva brev på vanligt sätt till oss, ingen var sur. Vi lyckades hålla uppe bibliotek och simhall – även om man fick bada gratis. Medarbetarna har verkligen visat på kreativitet för att lösa situationen. Och det var tur på sätt och vis att det hände under julen när skolan hade lov.

Upptäckte grava brister

Flera säkerhetskonsulter hörde också av sig och sa sig kunna lösa allt på 48 timmar. Maria skrattar lite. En kommun med krav på säkerhetsupphandlingar kan inte jobba så. De hade tät dialog med Noa, Polisens nationella ledningsgrupp, som gav rådet att samarbeta med de stora systemleverantörerna i första hand.

Vi upptäckte att förvaltningarna fått ha lite ’fritt valt arbete’ kring hur it-miljön ska se ut.

Det gjorde de och som tur var kom en handfull proffs som inte drog sig för att jobba oavsett om det var jul eller nyår. Och det skulle snart visa sig att it-miljön inte riktigt var i det skick som kommunen hoppats på, även om investeringar gjorts.

– Vi upptäckte saker som att förvaltningarna fått ha lite ”fritt valt arbete” kring hur it-miljön ska se ut. Har man inte tyckt sig ha tid att byta datorer eller system så har det inte gjorts. Har man inte haft tid att lära sig nya system har man fortsatt jobba i de gamla. Vi hade så många svagheter ute i organisationen. Det fanns servrar som ingen kom ihåg hur de hade kommit dit. Det blir livsfarliga gömställen. Det vi kan se nu är att vi borde tagit ett helhetsgrepp på hela organisationen tidigare, säger Maria Henriksson.

Behövs en elitstyrka?

Man har hela tiden jobbat i en utvidgad krisledningsgrupp, ISG, där även it, HR och ekonomi ingått. När det var som mest intensivt hade de möten två gånger om dagen. Nu är det inte riktigt lika ofta längre, men Maria Henriksson gissar att de kommer att fortsätta i den här formen fram till sommaren. För även om det allra mesta är på plats igen finns fortfarande saker som väntar på att åtgärdas. Flera attacker har gjorts sedan i december, men hittills står säkerheten pall.

På frågan om vilket stöd som andra myndigheter gett lyfter Maria Henriksson fram Noa. Men SKR och MSB då? Maria Henriksson ler lite och konstaterar att Kalix kommun snarare är den som kommer till SKR för att berätta om sina erfarenheter än vice versa.

– Jag tror att de står lika frågande som vi till hur vi som kommun praktiskt hanterar en så stor händelse. Vi kanske behöver en elitstyrka för det här, jag trodde nog att det fanns. Vi hade behövt ta del av erfarenheter som hade kunnat hjälpa oss i det akuta hanterandet. Och hur hanterar vi det när det börjar bli internationell politik av det? En kommun kan inte stå för det.

Många fler har drabbats

Ingen annan kommun har hört av sig till Kalix om attacken. Men att fler drabbats på ett eller annat sätt är ingen hemlighet. Däremot råder tystnaden.

– Vår informationschef kontaktades av en högt uppsatt tjänsteperson inom en organisation som ifrågasatte att vi gick ut och berättade. Hen sa att vi skulle förstöra. Det visade sig sedan att den organisationen också blivit utsatt. Kanske hade de betalat sig ur situationen. Jag funderar på om det är mycket mer vanligt att man gör så, säger Maria Henriksson.

Experter gissar på att en lösensumma för en kommun av Kalix storlek skulle kunna landa på 10–15 miljoner. Att hyra in konsulter för att reda i cyberröran och höja säkerheten har hittills kostat Kalix cirka 2,5 miljoner, utöver de egna medarbetarnas arbete.

– Skulle vi betalat vet vi inte ens om de hade lyckats återställa systemen. Och vi hade i bästa fall varit på ruta ett igen – men utan den höjning av säkerheten som vi har nu. Nu är vi i ett betydligt bättre läge, säger Maria Henriksson.

På tre veckor gjorde Kalix förstärkningar som annars skulle tagit tre års tid.

Viktigaste lärdomarna i Kalix enligt Maria

  1. Utbilda medarbetarna. Medarbetarna är svagaste länken. Det är viktigt att verkligen gå till botten med vikten av att byta ut lösenord regelbundet och att två-faktor-autentisering. Men inse att det är svårt att få engagemanget för säkerheten innan man verkligen vet vad man riskerar att förlora och hamna i. Vi hade en övergripande medvetenhet om säkerhetsrisker, men hade inte arbetat ut den bland medarbetarna tillräckligt.
  2. Jobba igenom it-styrningen. Kalix har bra förutsättningar nu. Vi vet mer, har ett bättre säkerhetsläge och vi vet att vi behöver snäppa upp säkerheten ytterligare. Men vad är en it-utbildning i dag? Vilken kompetens är det vi har? Alla behöver hänga med!
  3. Kolla leverantörsavtal. Se till att ha ett avtal med en stor leverantör som kan hjälpa till i händelse av ett allvarligt angrepp. Ordinarie it-personal har inte erfarenhet eller numerär att klara en attack av vår omfattning. Vi hade turen att två stora hjälpte till.
  4. Utveckla säkerhet ihop. Säkerställ ihop med leverantörerna att inte allt lägger ner i händelse av en attack. Det kan handla om en enkel backup i ett system utanför det ordinarie som ska klara typ 48 timmar vid något så enkelt som ett strömavbrott.
Kvalitetsmagasinet

Kvalitetsmagasinet Premium

Full tillgång till strategiska artiklar och smarta verktyg för bland annat verksamhetsutveckling, kvalitetssystem och ledarskap.