Efter it-attackerna – cybersäkerheten undersöks i kommuner

Släckt hemsida och utslagna datorer. Bostäder i Borås är en av flera kommunala verksamheter som utsatts för it-attacker. Nu ska cybersäkerheten i landets kommuner studeras. 

När Peter Garphammar slog på telefonen klockan 06.30 den 7 september möttes han av 50 larmmeddelanden. Hans första tanke var att det kommunala bostadsbolaget drabbats av ett stort strömavbrott eller att en kabel gått av. 

– Men när jag fick tag på vår it-leverantör insåg jag att vi var hackade. Och då tänkte jag att jag nog skulle skynda mig till jobbet, säger han och medger att han, som annars beskrivs som kolugn, blev rejält orolig. 

"Dra ut alla kablar"

Nu gällde det att agera snabbt. En av leverantörens medarbetare tog sig till serverhallen och ryckte ut nätverkskablar och Peter Garphammar gjorde detsamma på de två kontoren i centrala Borås. Övriga fastighetskontor fick information via sms: ”Dra ut alla kablar och rör inte datorerna.”

– Vi visste ju inte om det var någon kryptering som skulle fortsätta att sprida sig, förklarar Peter Garphammar.

– Alla våra femtio servrar låg nere. Förutom att ingen på företaget kunde arbeta på sina datorer, fungerade varken vår hemsida eller tjänster som att boka tvättstuga och öppna med porttelefoner, tillägger Chanette Büchel som är verksamhetsutvecklare inom digitalisering på Bostäder i Borås.

Företaget hade utsatts för en så kallad ransomware-attack. Sådana attacker blir allt vanligare och går ut på att utpressare krypterar och låser offrets datafiler och datorer med hjälp av skadlig kod och sedan begär en lösensumma för att återställa filerna.

Efter attacken har Peter Garphammar och Chanette Büchel inpräntat i alla medarbetare att de aldrig ska klicka på länkar som verkar misstänkta.

187 kommuner utsatta

När SVT Nyheter gjorde en kartläggning 2017 svarade 187 kommuner att de blivit utsatta och så sent som i december drabbades Kalix kommun av en ransomware-attack som slog ut it-systemen. 

Vetenskapsrådet ger nu fem miljoner kronor till Högskolan Väst för ett forskningsprojekt om cybersäkerhet i kommunerna.

Klockan 8.30 den aktuella septembermorgonen hade företagsledningen på Bostäder i Borås sitt första krismöte. Första steget var att meddela hyresgästerna. Via en reservdator uppkopplad på ett mobilnät mejlade man ut ett nyhetsbrev. Man tog också kontakt med lokala medier för att få ut informationen.

– Vi insåg också direkt att vi behövde anlita ett säkerhetsföretag för att få hjälp att reda ut vad som hade hänt och hur vi skulle gå vidare, säger it-chefen Johan Karlsson.

"Var informationen borta?"

 Stämningen var trots allt god på kontoret. Telefonerna fungerade och några medarbetare fortsatte att arbeta med papper och penna. Andra passade på att städa eller att rensa ogräs.

– Den största oron var hur mycket information som gått förlorad. Var våra hyresavtal försvunna? Var informationen om alla objekt borta? Många medarbetare var rädda att de hade förorsakat dataintrånget genom att klicka på någon infekterad länk, berättar Chanette Büchel. 

Till sin lättnad märkte de att de kunde läsa in backuper från fredagen före attacken, vilket innebar att endast ett par dagars arbete var borta. I en av servrarna hittade de också ett utpressningsmejl med uppmaningen ”Please contact us for ransom” – ”Vänligen kontakta oss för lösen”.

– Vi reflekterade aldrig över att ta kontakt med hackarna eller att betala, säger Johan Karlsson.

Klarade sig tack vare backup

Redan ett dygn efter attacken presenterade säkerhetsföretaget en rapport som visade att intrånget skett genom att en robot tagit sig in via en brandvägg efter att den kommit över ett lösenord och ett användarnamn. Rapporten visade också att ingen hade hämtat filer eller gjort förändringar i bostadsbolagets data. 

– Det innebar att vi efter två dagar sakta kunde starta upp våra system igen. Tack vare våra backuper klarade vi oss förhållandevis bra, säger Peter Garphammar. 

Två till tre veckor efter attacken var bostadsbolagets system i stort åter­ställda och i dag finns inga bestående men av intrånget. Men händelsen har gjort ett djupt intryck på företaget. 

Peter Garphammars och Chandette Büchels uppdrag är stort. Bostäder i Borås är kommunens största fastighetsägare med 120 anställda, 6 500 hyresrätter och 300 lokaler.

"Ökade medvetenheten bland medarbetare"

Sveriges Kommuner och Regioner, SKR, bedömer att alla kommuner, regioner och företag förr eller senare kommer att bli utsatta för dataintrång i någon omfattning.  Eftersom attackerna riskerar att slå ut viktiga samhällsfunktioner finns det all anledning att rusta sig genom säkerhetstänkande och utbildning, menar SKR. 

Bostäder i Borås har bland annat gjort om sina brandväggar och satt upp nya regler och portar som reglerar vilka som har åtkomst till vad. Man har skärpt inloggningen med flerfaktorsregistrering och installerat om virusskydd på alla datorer. Backuper har lagts utanför servernätet och varje fredag överförs data från backuperna till ett band på ett separat nät.

– Vi har också ökat riskmedvetandet hos medarbetarna om att de aldrig ska klicka på länkar som verkar misstänkta och att de måste använda sig av säkrare lösenord, säger Chanette Büchel. 

Peter Garphammar instämmer:

– Överhuvudtaget är det bra att vara en mer medveten datoranvändare och tänka sig för innan man klickar runt på länkar och osäkra sidor. Men det är omöjligt att helt försäkra sig mot attacker. Frågan är inte om man blir hackad utan när.