Lärorikt, tråkigt och roligt med it-attack
29 april 2024
Hackerattackerna mot kommuner och regioner blir allt vanligare. I januari var det Bjuvs kommuns tur att drabbas. Attacken har påskyndat säkerhetsarbetet med två år.
Strax efter klockan 10 på lördagsmorgonen den 20 januari ringer det på Dennis Tanderyds jobbtelefon hemma i Perstorp. Han är it-tekniker på EttIT, en gemensam it-avdelning för de fem Skånekommunerna Åstorp, Bjuv, Klippan, Perstorp och Örkelljunga. Den som ringer arbetar på biblioteket i Bjuv. Anledningen är att ingenting fungerade när hon skulle starta biblioteksprogrammet på morgonen.
Fler artiklar om it-säkerhet
→ Hackerattack mot vårdcentralen skärpte rutiner
→ Cyberattacken slog till mot Svenska kyrkan
→ It-chefen i Kalix knäckte hackarna (länk till Chefenifokus.se)
– När jag kopplade upp mig såg jag att det var ett ransomeware på hela hennes dator, alla filer var krypterade. Då tänkte jag att den här helgen försvinner nog, berättar Dennis Tanderyd.
Stäng ner, stäng ner!
Klockan 11 har it-chefen Thomas Nilsson samlat tio it-tekniker på det gemensamma kontoret i Klippan. Då hade de redan hunnit göra en hel del – som att stänga av nätverkskortet till backupen så att inte den också blev smittad.
– Vi pratade med varandra på vägen hit. En av oss satt kvar hemma med en dator så att vi kunde agera allteftersom vi kom på saker som behövde göras – stäng ner det, stäng ner det! Man hann tänka en hel del på den kvarten det tar att köra hit, fortsätter Dennis Tanderyd.
It-avdelningen EttIT har 26 anställda. Nu efter attacken mot Bjuv rekryteras ytterligare tre och om ett par år hoppas it-chefen Thomas Nilsson att de ska vara 35.
Svårt för liten kommun
Små kommuner har svårare att klara säkerheten på egen hand och prislappen kan bli hög om något händer. Tanken med samarbetet i Skåne är att den gemensamma it-avdelningen ska fungera och ha kapacitet som i en stor kommun. De fem kommunerna har sin bas i Klippan men deras servrar är separerade från varandra.
Så är det inte organiserat överallt vilket blivit tydligt på senare tid.
Härjedalen som blev attackerade strax före jul, tvingades ta in externa konsulter för att reparera skadorna. Där ligger kostnaderna på drygt åtta miljoner kronor i dagsläget.
Krävs det att vi arbetar 24/7 så är det så.
Johan Gustavsson, it-tekniker
Och Vellinge drabbades hårt vid attacken mot leverantören Tietoevry, bara dagen före attacken mot Bjuv. En rad verksamhetssystem krypterades med mängder av förlorad data som följd. Bjuv förlorade endast två timmars information.
– För Vellinge handlar det om hundratals, kanske tusentals timmar för att sätta upp nya system och läsa in alla data. För oss tog det 56 timmar att få igång alla system igen så att användarna i Bjuv kunde börja jobba, säger Thomas Nilsson.
Krävs ödmjukhet
EttIT behövde inte heller ta in mer än några timmar av externa konsulter för att säkerställa att backuperna var friska. Thomas Nilsson uppskattar konsulträkningen till 40 000 kronor och den totala kostnaden för helgens jobb till 150 000.
Det som hände den där lördagsmorgonen i januari var att de som attackerade lyckades hitta ett hål i Bjuvs system orsakat av en gammal vpn-lösning som skulle avvecklas och därför inte var fullt uppdaterad.
Om det var tur eller skicklighet som gjorde att kommunen och EttIT inte drabbades lika hårt som Härjedalen och Vellinge är svårt att säga.
– Nästa gång är det kanske vi som åker dit. Man får vara ödmjuk och ha fötterna på jorden. Och jobba med säkerheten hela, hela tiden – för attacker sker dagligen över hela Sverige, säger Thomas Nilsson.
Inte främmande för nattjobb
Säkra backuperna. Uppdatera till de senaste programvarorna och operativsystemen. Minimera administratörsrättigheterna. Ha manuella rutiner som allt slutar att fungera. Och våga satsa på säkerhetslicenserna.
– Visst de kostar mycket pengar men jämfört vad det kan kosta om du drabbas av en riktigt attack så är det billigt, säger Thomas Nilsson.
Vissa känsliga verksamhetssystem, till exempel socialtjänsten och räddningstjänsten, kan behöva säkras ytterligare. Om systemleverantörerna själva kontrollerar systemen dygnet runt, något som blir mer och mer vanligt, ökar säkerheten. Men support dygnets alla timmar, oavsett om den sköts av leverantörerna eller kommunernas it-tekniker, är en kostnadsfråga. Ännu har EttIT inte infört obekväma arbetstider men varken Johan Gustavsson eller Dennis Tanderyd är främmande för det.
– Krävs det att vi arbetar 24/7 så är det så, säger Johan Gustavsson.
Både tråkigt och jäkligt roligt
Efter tre timmars intensivt detektivarbete var felet åtgärdat så att attackerarna inte kunde komma in längre. Johan Gustavsson, som var it-tekniker i Bjuv före sammanslagningen, hade också lite tur.
– Jag råkade ha kvar ett konto som gjorde att vi kunde ta över kontrollen igen, berättar han.
Klockan 17.45 på måndagskvällen kunde teknikerna meddela att allt fungerade igen. Johan Gustavsson tycker att arbetet under helgen gick bra. Rollerna bland de it-tekniker som var på plats satte sig snabbt, de lyckades hitta felet och kunde få igång de flesta system rätt så fort.
– Det svåra var att komma ner i varv efteråt, säger han.
Vi var jättetrötta i huvudet veckovis efteråt, av allt tänkande.
Dennis Tanderyd, it-tekniker
Hotet att något ska hända finns där, det hör till vardagen och inget man kan oroa sig för hela tiden, menar Johan Gustavsson.
– Vi försöker fokusera på säkerheten. Och även om det inte är en händelse jag vill gå igenom igen så skulle jag säga att den här attacken har påskyndat vårt säkerhetsarbete med två år. Det var väldigt lärorikt.
Dennis Tanderyd instämmer i att arbetet efter attacken var utmanande.
– Vi var ju jättetrötta i huvudet veckovis efteråt, av allt tänkande. Men humöret var på topp och trots att det var tråkigt det som hände så hade vi jäkligt roligt.
Gör så här för att öka it-säkerheten
- Säkra backuperna. EttIT har flera olika typer för säkerhets skull.
- Minimera administratörsrättigheterna. En användare ska inte kunna installera vad som helst på sin dator. Inte ens teknikerna på EttIT är admin på sina datorer. Det är också begränsat vilka tekniker som har rättigheter till servrarna.
- Uppdatera program och operativsystem.
- Satsa på säkerhetslicenserna, även om de är dyra. Se dem som en bra hemförsäkring.
- Ha manuella rutiner. Verksamheterna måste kunna använda papper och penna om allt slutar att fungera.
Relaterade artiklar
Drifttekniker: Jämför din lön med andra i din ålder
It-tekniker når som mest en genomsnittlig månadslön på 39 500 kronor under karriären, enligt Medlingsinstitutets lönestatistik. Drifttekniker som jobbar vid värme- och vattenverk tjänar som mest 35 700 kronor i månaden. Se hur din lön står sig i förhållande till kolleger i samma ålder.
Miljö- och hälsoskyddsinspektör: Jämför din lön med andra i din ålder
Miljö- och hälsoskyddsinspektörer når som mest en genomsnittlig månadslön på 41 200 kronor under karriären, enligt Medlingsinstitutets lönestatistik. Se hur din lön står sig i förhållande till kolleger i samma ålder.