IT-attacken i Kalix satte säkerheten på kartan
Foto: Roland Magnusson, Mostphotos
För drygt två år sedan drabbades Kalix kommun av en IT-attack. Det blev också upptakten till ett gigantiskt säkerhetsarbete. ”Vi har fått en helt annan förståelse för hur viktigt det är med säkerheten”, säger John Lindbäck som är driftansvarig på kommunen.
Fredagen den 19 januari drabbades IT-leverantören Tieto Evry av en omfattande IT-attack som påverkade ett stort antal regioner, kommuner, myndigheter och företag. För drygt två år sedan råkade Kalix kommun ut för en liknande attack som slog ut så gott som alla system i kommunen.
– Det är många av de drabbade kommunerna som hört av sig nu, och vi hjälper gärna till med vår erfarenhet. Men helt safe kan man aldrig bli. Alla kan drabbas och det går inte att vara 100 procent säker, säger Fredrik Lind, IT-chef i Kalix kommun.
Hackare krävde lösensumma
Det var i december 2021 som Kalix kommun råkade ut för en ransomware-attack, på liknande sätt som Tieto Evry. Hackare tog sig in i systemen, låste dem och krävde en lösensumma för att låsa upp dem.
Många av kommunens verksamheter drabbades av störningar. För att hindra spridning stängdes alla system ned, även de som inte var hackade.
Konsekvenserna blev märkbara. Lönesystemet påverkades och det fanns inledningsvis en rädsla för att lönen i december inte skulle kunna betalas ut, hemtjänsten kom inte åt sina journaler och medicinlistor, telefoner, intranät och e-post låg nere.
De anställda i kommunen fick helt enkelt börja arbeta manuellt med papper och penna.
Gick en chockvåg genom IT-Sverige
Vid den tiden jobbade Fredrik Lind i en annan verksamhet, men han minns hur nyheten drabbade hela IT-branschen.
– Det gick som en chockvåg genom hela IT-Sverige, säger han.
En som däremot satt mitt i hetluften var John Lindbäck som är driftchef på kommunen.
– Det var kaosartat i början, innan vi visste omfattningen på problemen och hur vi skulle gå till väga för att lösa dem. Men det fanns inte på kartan att vi skulle betala, berättar han.
I stället för att betala lösensumman släckte de ned samtliga servrar och nätverk och inledde ett omfattande återställningsarbete. John Lindbäck berättar att hackarna som tur var inte hade kommit åt deras backup-lösning. Det gjorde att de kunde gå igenom och återstarta systemen successivt.
Samtidigt plockade de in alla enskilda datorer för att säkerställa att de inte var infekterade med någon skadlig kod och se till att uppgradera datorernas säkerhetsprogram. Två veckor efter attacken var de viktigaste systemen uppe igen.
Förbättringar av säkerheten
Parallellt med arbetet med att få upp systemen genomförde de även en rad förändringar för att öka säkerheten. Det handlade om allt från att säkra nätutrustning och sätta upp fler brandväggar till att genomföra nätverkssegmentering.
Det var intensiva veckor där “tre års säkerhetsarbete genomfördes på tre veckor” enligt dåvarande IT-chefen Kenneth Björnfot. Kostnaderna kopplade till IT-attacken och det efterföljande arbetet med att höja säkerheten uppgick enligt Kalix kommun till 2 265 300 kronor.
Trots det tänker John Lindbäck tillbaka på händelsen som något positivt.
– Det fanns många saker som vi pratat om, men som det aldrig hade funnits tid och resurser för att genomföra. Nu när systemen ändå låg nere tog vi chansen att genomföra alla förbättringar, berättar John Lindbäck.
Helt annan förståelse från användarna
Men det absolut viktigaste handlade inte om systemen i sig, utan om det som ofta är IT-systemens akilleshäl – användarna.
Efter attacken har man förändrat rutinerna kring lösenordshantering och använder bland annat Bank-id och tvåstegsautentisering för inloggning i systemen. Dessutom får alla användare utbildning i informationssäkerhet.
– Vissa saker tar längre tid nu, men samtidigt har vi fått en helt annan förståelse för hur viktigt det är med säkerheten, berättar John Lindbäck.
Kalix tog en för laget
Fredrik Lind har jobbat som IT-chef i Kalix kommun sedan i maj förra året. Han berättar att kommunen fått mycket uppmärksamhet, både för hur de hanterade själva attacken men också för hur man valde att kommunicera kring händelsen.
Transparensen kring attacken och att de inte tänkte betala någon lösensumma bidrog också till att händelsen fick enormt stor uppmärksamhet, både i media och från andra kommuner.
– Jag tror att det blev en väckarklocka för många. Kalix tog en för laget, men jag tror att det gjorde att många andra insåg hur viktigt det är att ta IT-säkerheten på allvar, säger Fredrik Lind.
Jobbar mer proaktivt
Han upplever att trycket på IT-säkerhet blivit högre. Hackare är snabba på att utnyttja sårbarheter och försök till attacker sker ständigt, över hela Sverige, i form av överbelastningsattacker, nätfiske och kidnappningsförsök. Utvecklingen går också snabbt. Frågan är inte längre OM det händer, utan NÄR det händer.
Därför behöver man hela tiden jobba med säkerhetsfrågorna – vad skulle kunna vara en säkerhetsmässig risk?
– Vi jobbar med frågan mycket mer proaktivt än tidigare. Nu vill jag inte jinxa det här, men jag törs nog säga att om vi drabbas igen så har vi utformat våra lösningar så att det går att begränsa skadorna och på så vis undvika att de blir omfattande som förra gången, säger Fredrik Lind.
