– Alle er et mål for digitale angrep
For tre år siden ble Østre Toten utsatt for et av norgeshistoriens største dataangrep. Nå advarer kommunedirektøren mot å ta lett på den digitale beredskapen.
– Det er stor forskjell på et dataangrep og det å miste tilgang til data. Det kan få langt flere konsekvenser enn du har sett for deg.
I januar 2021 ble Østre Toten utsatt for det som hittil er det verste digitale angrepet mot en norsk kommune.
Kommunaldirektør Ole Magnus Stensrud mottok beskjeden om angrepet lørdag morgen, og skjønte raskt at det var alvorlig. Alle systemene var nede. Nettet også.
– Vi leverer mer enn 200 tjenester, og det meste styres via digitale løsninger. Helsetjenester, byggesøknader, skole- og kulturarrangement. Vi satte umiddelbart krisestab for å kartlegge hva som hastet mest av tiltak.
Alt som handlet om liv og helse havnet øverst på prioriteringslisten. Gjennom helgen ble det jobbet på spreng for å ha en driftsplan klar til mandag morgen.
– Nødprosedyrene fungerte – men vi måtte planlegge lenger fram i tid. Alle syke måtte få pleien og medisineringen de trengte. Østre Toten har 15 000 innbyggere. Ingen kunne bli glemt, selv om vi ikke hadde tilgang til systemene våre.
– Vi måtte rett og slett planlegge hvordan vi skulle drifte en kommune med penn og papir, forteller Stensrud.
– Visste ikke hvor dataene befant seg
Angrepet mot landbrukskommunen ved Mjøsa var et såkalt løsepengevirus.
I skjul hadde angriperne lykkes i å ta seg inn bak brannmurene. Her ble sikkerhetskopier gradvis slettet, før alle data ble kryptert. Senere oppdaget kommunen også at sensitiv informasjon var lekket på nettet.
– Trolig var vi et tilfeldig mål der hackere hadde fått tilgang gjennom en falsk e-post eller ved å få tak i en ansatts brukernavn og passord på nettet, sier Stensrud.
På den måten kunne hackerne skaffe seg nye tilganger og ta seg videre i nettverket – før de til slutt kunne låse alt fra e-postkontoer til saksbehandlingssystemer.
Slik fungerer et løsepengevirus
- Hackere vet at de fleste virksomheter er avhengig av data og datasystemer.
- Derfor er løsepengevirus, der hackere låser datasystemet ditt og krever penger for å låse det opp, en så utbredt angrepsmetode.
- Økosystemet rundt cyberkriminalitet er så proft at det i dag finnes personer som kontinuerlig leter etter svakheter i datasystemer over hele verden.
- Har du en sårbarhet i systemet, er med andre ord risikoen stor for at du før eller siden vil bli angrepet.
– Noe av det verste var at vi ikke visste hvor dataene våre befant seg. E-poster kunne være lekket, personnummer, helsedata …
Det vanlige ved slike angrep er at angriperne laster ned sensitive data, før de deretter krever løsepenger og eventuelt legger data ut til salgs for høystbydende på det mørke nettet.
– Vi måtte være ærlige på hva vi visste og ikke visste. Det handlet om å få den daglige driften tilbake til normalen – men det handlet også om tillit, forteller Stensrud.
– Alle bør ha en digital beredskapsplan
Heldigvis hadde kommunen nødprosedyrer for mange av de mest kritiske prosessene. På sykehjemmet visste de derfor hvordan de kunne skrive ut medisiner og få tilgang til nødvendig informasjon dersom systemet var nede.
– Vi hadde noen nødplaner. Likevel var vi ikke forberedt på et så omfattende angrep. Alt ble i utgangspunktet styrt via IKT-systemer. En periode visste vi ikke engang hvilke dører som var åpne og låst til enhver tid.
Som kommune er Østre Toten i dag pålagt av den nye digitalsikkerhetsloven å overholde strenge digitale sikkerhetskrav. Stensrud mener alle virksomheter bør forberede seg på hvordan man håndterer et digitalt angrep.
– Alle er et mål i dag. Så lenge du bruker systemer som er koblet til nettet, kan du hackes. Konsekvensene kan fort bli langt større enn du ser for deg.
Dette er den nye digitalsikkerhetsloven
- 2023 fikk Norge sin første lov om digital sikkerhet.
- Loven innebærer at alle virksomheter som tilbyr en samfunnsviktig tjeneste eller en digital tjeneste andre er avhengig av plikter å overholde digitale sikkerhetskrav og varsle om alvorlige digitale hendelser.
- Loven kommer i tillegg til personopplysningsloven og EUs personvernforordning (GDPR), som gjelder for alle norske virksomheter.
Skader for over 30 millioner
Det tok over et halvt år før saksbehandlingssystemet og pasientjournalsystemet var oppe igjen på Østre Toten. Åtte måneder etter dataangrepet var fortsatt ikke alle programmene funksjonelle.
– Ved hjelp av en backup angriperen ikke hadde funnet, fikk vi etter hvert igjen rådataene våre. Likevel brukte vi tid på å sjekke at disse ikke var manipulert eller at de inneholdt virus. I tillegg måtte dataene lastes inn på nytt i systemene.
Til sammen endte det digitale angrepet mot Innlandskommunen opp med å gjøre skader for over 30 millioner kroner.
I dag har Østre Toten lagt om den digitale driften helt. Blant annet har de satt ut de viktigste IKT-oppgavene til en ekstern leverandør. I tillegg har kommunen innført tofaktorautentisering på alle systemer.
– For oss er det ikke noe alternativ. Vi er nødt til å ta den digitale beredskapen på alvor.
– Vi arrangerer jevnlig en digital beredskapsuke der vi har fokus på alt fra å låse PC-en når vi går fra den, til å ha sikre passord. Den generelle bevisstheten rundt cybersikkerhet er på et helt annet nivå nå, avslutter Stensrud.
Du kan høre mer om hvordan angrepet mot Østre Toten artet seg, og høre flere råd fra kommunaldirektør Ole Magnus Stensrud i vårt 10-minutters (og helt gratis) digitale kurs om hvordan du kan beskytte deg mot cyberangrep. Her er en videosmakebit – du kan se flere i kurset:
Vil du lære mer om hvordan beskytte deg?
Introkurs
Hvordan beskytte deg mot cyberangrep?
Det finnes idag mange former for cyberkriminelle, og de har ulike forutsetninger og motiver. Her kan du lære mer om hvordan du kan styrke din digitale sikkerhet.
