Brottsplats nätet

Nätattacker utgör ett allt större hot mot samhället. I USA misstänks att presidentvalet påverkats och i Sverige ­varnar myndigheterna för att el- och vattenförsörjning kan slås ut. I kommunerna är säkerheten ibland så svag att tonåringar utan svårighet kan ta sig in i systemen.

Klockan 18.25 den 9 december 2013 bankade det på dörren hemma hos familjen Sundqvist i Baggböle utanför Umeå. Men ingen hann öppna. De fem männen slet själva upp dörren och klev in i köket där 16-åriga Erik Sundqvist och hans mamma satt och åt middag.

– Vilka datorer finns i huset och var är de, frågade en av de civilklädda poliserna.

Erik Sundqvist blev chockad och rädd. Men han förstod vad det handlade om.

Erik Sundqvist gick första terminen på tekniska programmet på Dragonskolan i Umeå. Sex dagar innan razzian i Baggböle satt han uttråkad på en samhällskunskapslektion.

Han hade redan tidigare hittat säkerhetsluckor i skolans IT-system och hade kontaktat tekniska nämnden och berättat. Visst hade de lyssnat, men luckorna hade inte täppts till och nu kände han sig irriterad över att ingen hade tagit honom på allvar. Erik Sundqvist hade skrivit klart sin inlämningsuppgift och medan han väntade på att lektionen skulle ta slut kollade han runt i elevdatorn. Plötsligt hittade han en serviceteknikers inloggningsuppgifter som måste ha lagrats på hans dator av misstag. Han testade att logga in och såg att det fungerade.

– Jag blev ganska chockad och tänkte att något måste ha gått väldigt fel om det lagras administratörsuppgifter på elevdatorerna, säger han.

Erik Sundqvist hade nu samma behörighet som en servicetekniker. Det innebar att han i princip kunde komma åt alla uppgifter i hela Umeå kommuns administrativa nät. Han hade även tillgång till socialtjänstens journalsystem med ytterst känsliga personuppgifter om omhändertagna barn, missbruk och försörjningsstöd.

IT-brottssektionen på Rikskriminalspolisen konstaterar senare i sin utredning att dataintrånget var ”väldigt omfattande och berörde i stort sett hela kommunens IT-infrastruktur”. Förundersökningen visar också att Erik Sundqvist varit inne i databasen där alla anställdas lösenord finns. Polisens tekniker kan dock inte bevisa att han tankat ut lösenorden. Och han säger själv att han inte gjorde något inne i systemet.

– Inte så mycket mer än en inloggning för att se vart det gick att komma in. Jag var nyfiken och samtidigt ville jag att systemet skulle vara säkert. Det fanns ju uppgifter från skolan om mig själv där också, säger han.

Sverige är ett av världens mest digitaliserade länder. Att boka biljetter, betala räkningar och sköta myndighetskontakter online är numera en självklarhet för de flesta. Men i takt med att allt mer kan utföras på nätet, och att kommunala tjänster och programmerade system som styr allt ifrån trafikljus till vattenverk är uppkopplade, ökar också sårbarheten. IT-attacker mot företag och myndigheter har blivit vardagsmat, och kommunerna är inte förskonade.

Strax före jul skickade MSB, Myndigheten för samhällsskydd och beredskap, ut ett brev till landets kommuner med ett rakt besked: öka beredskapen mot cyberattacker.

Hur ofta kommuner attackeras och vilka störningar det lett till är inte kartlagt. Däremot rapporterar statliga myndigheter sedan i våras alla allvarliga IT-incidenter till MSB. Syftet är att få en samlad bild av it-störningar och utröna hur man kan skydda sig mot till exempel it-attacker som påverkar viktiga samhällsfunktioner. Hittills har det lämnats drygt 200 rapporter, varav 30–40 procent är attacker utifrån.

– Det finns ingen anledning att tro att det ser annorlunda ut på den kommunala sidan, säger Richard Oehme, chef för cybersäkerhet vid MSB.

Och MSB:s undersökningar visar också att många kommuner borde förbättra arbetet med IT-säkerhet för att kunna skydda sig mot hackare. En enkät från i fjol visar att över 40 procent av kommunerna inte gör någon riskanalys och att en ännu större andel, 70 procent, inte arbetar systematiskt med informationssäkerhet. 

Richard Oehme är övertygad om att it-attackerna mot kommuner kommer att öka.

– Ja, vi ju är helt beroende av informationsteknologi och elektronisk kommunikation och samtidigt finns det brister i säkerheten.

Revisionsföretaget PWC har under de senaste åren gjort simulerade hackerattacker mot ett 30-tal kommuner för att testa informationssäkerheten. De konstaterar att de vanligaste bristerna är att chefer och medarbetare är för omedvetna om riskerna, att det behövs mer och bättre utbildning om cybersäkerhet. Samt att det ibland krävs tekniska förbättringar av systemen.

Ett annat sätt att testa säkerheten är att anlita så kalla bug bounty hunters, hackare som mot betalning letar luckor i storföretagens system. Linus Särud, som pluggar teknikvetenskap på gymnasiet i Linköping och har varit krönikör i datatidningen Techworld, var 14 år när hittade säkerhetsbrister i Googles system. Han mejlade företaget och påpekade bristerna och fick i slutändan 20 000 kronor av företaget som tack. 

– Det var en riktig adrenalinkick att hacka Google som nästan var mer värd än pengarna jag fick, säger han.

Förutom Google har även Facebook, Spotify och Dropbox särskilda bug bountyprogram. Idén börjar sprida sig även till andra företag som inte bara har verksamhet på internet, till exempel banker.

Linus Särud, som även jobbar på ett it-företag som testhackar andra företags websidor, tror dock inte att kommunerna har nått en så hög säkerhetsnivå att de skulle kunna ha bug bountyprogram.

– Jag tror att man skulle hitta så många säkerhetsluckor att kommunerna inte skulle klara av att hantera alla tips. Det kräver rätt mycket att sköta det på ett bra sätt så att det fungerar, säger Linus Särud, som samtidigt tycker att både företag och kommuner är dåliga på att lyssna på hackers som påpekar brister i it-systemen.

– Kommuner och företag skulle kunna få stor hjälp att fixa sårbarheten om de lyssnade och visade uppskattning. Det behöver inte alltid handla om pengar, ofta kan det räcka med ett tydligt tack.

Så vad är det för risker vi pratar om? En av de känsligaste verksamheterna i samhället är kommunernas vattenförsörjning. Peter Nagy ansvarar för IT-säkerheten på NSVA, Nordvästra Skånes vatten och avlopp.

– Det värsta scenariot är att någon med onda avsikter tar sig in i vårt driftsystem och stoppar vattentillförseln till våra kunder, säger han.

Han målar också upp en ännu kusligare situation där någon hackar sig in i systemet obemärkt och håller en låg profil i väntan på rätt tillfälle att kunna sälja uppgifterna till terrorister eller andra som vill sabotera.

– Det skulle kunna vara uppgifter på hur vår infrastruktur ser ut och var det är lämpligast att förgifta vattnet, säger Peter Nagy.

Enligt Peter Nagy är användarna av det egna it-systemet, det vill säga personalen, det allvarligaste hotet mot säkerheten. Slarv med lösenord och att man inte tänker sig för innan man öppnar misstänkt e-post kan få allvarliga konsekvenser.

– Jag brukar likna det vid att vi bygger upp höga murar med säkerhetsåtgärder. Om någon lämnar dörren på vid gavel är det ändå lätt att ta sig in.

I vilken utsträckning det förekommer attacker mot kommunala verks styrsystem är oklart. MSB lägger locket på, alla uppgifter i incidentrapporteringen som en tänkbar angripare skulle kunna nyttja sekretessbeläggs.

Men med jämna mellanrum dyker det upp rapporter om händelser. För ett par år sedan gick en hackare in i ett fastighetssystem i Motala och sänkte värmen för 700 hushåll, på ett äldreboende och i ett köpcentrum. I höstas försvann varmvattnet i en bostadsrättsförening i Linköping sedan någon gått in och mixtrat i systemen.

Angrepp mot styrsystemen är ett allvarligt hot mot säkerheten. Men i den kommunala vardagen är det överbelastningsattacker och försök till utpressning som sätter it-avdelningarna på prov.

– Det största gisslet nu är så kallade ransomware, en skadlig kod som kapar dina filer, säger Stephen Dorch, informationssäkerhetssamordnare på regionförbundet i Kalmar som startat ett kommunalt nätverk för informationssäkerhet, KIS-nätverket, där 140 kommuner är representerade.

Ransomware kommer in via länkar i e-post, det låser filer och följs i regel av ett meddelande där användaren uppmanas betala för att få sina filer tillbaka, allt ifrån några hundralappar till tiotusentals kronor. Enligt kartläggningar från datasäkerhetsföretagen Kaspersky Lab och Symantec ökade antalet ransomwareattacker mot företag och organisationer med 300 procent i fjol.

– Det handlar om miljardbelopp. Både privatpersoner och företag som lever på transaktioner betalar för att få tillbaka informationen. Kommuner utsätts också men vi betalar aldrig några pengar till utpressarna, det vore helt befängt. Med bra rutiner för felsökning och återläsning av data från backup minimeras risken att kommuner drabbas av informationsförlust, säger Stephen Dorch.

2016 gjordes 7 396 polisanmälningar om dataintrång i Sverige, en ökning med 12 procent jämfört med året innan. I flera fall handlar det om att någon utan behörighet tagit sig in i journaler eller andra personregister, men det finns också exempel på attacker mot kommuners IT-system.

Sandviken är en av de kommuner som fått känna på en överbelastningsattack där mängder av datorer samordnas och skickar så mycket data mot en server att nätverket slås ut. Sådana så kallade ddos-attacker är vanliga, men till skillnad mot de flesta andra fall lyckades man i Sandviken spåra upp förövaren.

– Det kommer ju små försök till attacker hela tiden, men inte i den här omfattningen. Den var gigantisk, säger Mattias Westin, nätverkstekniker i Sandvikens kommun, och beskriver händelserna i februari för knappt två år sedan.

– Internettrafiken började gå på knäna, sedan stod det still. Det var så mycket trafik till oss att vår internetleverantörs hela kapacitet fylldes, alla bredbandskunder drabbades.

Attackerna återkom vid lunchtid hela veckan och varade ungefär en timme.

– Då hade jag ingen förhoppning om att komma någonvart i att få reda på vem som låg bakom attackerna. Trafiken kom ju från hela världen.

Det var först när Mattias Westin började granska ett angrepp som tidigare gjorts mot kommunens webserver som det lossnade. I loggarna som registerat vad som hänt såg han att datortrafiken kom från det interna nätets ip-adresser.

– Jag började nysta upp vilken dator det kom ifrån och vem som använt den och vad han gjort, vilka websidor han besökt, vid de tidpunkter attackerna inträffade. Bland annat var det just sidor där man kan beställa ddos-attacker.

Ett år senare åtalades en 16-årig skolelev för att ha beställt attackerna samt för att ha hackat en lärares dator. Han dömdes till samhällstjänst.

Även i Umeå får dataintrånget rättsliga följder. I samband med razzian i Baggböle anhålls Erik Sundqvist. I två dygn sitter han inlåst i en cell på polishuset. Han får inte prata med någon annan än sin advokat.

Drygt ett år senare dömdes Erik Sundqvist för dataintrång till 35 timmars samhällstjänst. Kommunen stämde honom på 487 485 kronor i skadestånd och motiverade det höga beloppet med att det blev dyrt att byta ut alla lösenord och att säkra upp systemet. Men tingsrätten avslog kravet. Hela affären slutade med ett mindre skadestånd på 25 000 kronor.

– Det är klart jag ångrar det. Men jag hoppas det har varit till nytta och att de har säkrat upp systemet, säger Erik Sundqvist som i dag jobbar som programmerare på ett IT-konsultföretag i Umeå.

Som tur var för Umeå kommun fick dataintrånget 2013 inte några allvarliga konsekvenser. Det kunde ha varit betydligt värre om någon som ville skada kommunen kommit lika långt in i systemet som Erik Sundqvist.

– Det är klart vi bedömde det här som allvarligt, någon var ju inne i vårt system, säger Tomas Forsberg, IT-chef i Umeå kommun.

Hur ser du på att en 16-årig kille som Erik Sundqvist kunde ta sig in så lätt?

– IT-säkerhet är som att jobba med ett rörligt mål. Det handlar hela tiden om en balans att ligga på rätt risknivå. Säkerheten ska vara på en tillräckligt hög nivå för att inget allvarligt ska inträffa samtidigt som systemet ska vara lätt att använda. Det går aldrig att stänga ute alla hot.

Tomas Forsberg jobbade inte i Umeå kommun när Erik Sundqvist tog sig in i IT-systemet och vet inte varför hans varningar inte togs på allvar. Om han fick liknade signaler i dag skulle han i alla fall reagera och vidta nödvändiga åtgärder.

– Om någon kommer till oss och påpekar att det finns en lucka är vi ju inte dummare än att vi tätar till den. Det händer att elever och andra gör det. Men vi anlitar inte hackers utan låter säkerhetsbolag och revisionsföretag testa oss med intrångsattacker.

Hur ska ni värja er mot hackers i framtiden?

– Kommunerna kommer att tvingas lägga mer och mer pengar på informationssäkerhet. Tyvärr tror jag att det är en framtidsbransch.