14. okt, 2021 | Bloggpost, Teknologi og samfunn

Håper ingen havner i samme situasjon

kommunedirektør Ole Magnus Stensrud

Ole Magnus Stensrud er kommunedirektør i Østre Toten kommune. En januardag i 2021 opplevde han at kommunens datasystemer ble angrepet av ondsinnede hackere, noe som medførte mange problemer, mye ekstra arbeid og mørklagte bygninger. Foto: Østre Toten kommune.

Østre Toten ble utsatt for det alvorligste dataangrepet noen kommune har vært utsatt for. 10 000 dokumenter havnet på det mørke nettet, og alle sikkerhetskopier ble slettet. – Skaff dere nødvendig kompetanse på datasikkerhet, oppfordrer kommunedirektør Ole Magnus Stensrud. 

Tekst: Lisbet Jære

Natt til lørdag 9. januar 2021 ble landbrukskommunen Østre Toten ved Mjøsa utsatt for et stort dataangrep. Ingen av de ansatte kom seg inn på kommunens IKT-system, så godt som alle kommunens IKT-tjenester var satt ute av drift og sikkerhetskopiene var slettet. Det så mørkt ut også i bokstavelig forstand, for hackerangrepet medførte at flere av kommunens bygninger ble mørklagte i 25 grader minus. 

Det er vakkert på Østre Toten en fin sommerdag, men det ble fort kaldt og idyllen brast da kommunens IKT-systemer ble utsatt for et hackerangrep i januar 2021. Foto: Østre Toten kommune.

Ønsker å dele erfaringene

– Dette har vært en kjempeutfordring for hele organisasjonen. Til tross for at vi ikke hadde tilgang på noen av våre egne data klarte vi likevel å levere tjenestene våre og det er jeg stolt av, sier kommunedirektør Ole Magnus Stensrud.

Han forteller at de helt fra begynnelsen har valgt å være åpne og ærlig om det som har skjedd. Først og femst fordi de ønsker å skape tillit til innbyggerne. Ved å dele erfaringene håper de også at andre kommuner og virksomheter kan unngå å havne i samme situasjon.

Var mest opptatt av å digitalisere

Stensrud innrømmer at de havnet i den fella som mange lett gjør; iveren etter å digitalisere og forbedre tjenester kom foran sikkerhet.

– Vi tar selvkritikk på at vi var mest opptatt av å digitalisere, og at datasikkerhet kom som nummer to

KPMG har nylig kommet med en rapport der de har vurdert det som har skjedd, og kommet med anbefalinger til videre arbeid med sikkerhet i Østre Toten.

Flere svakheter med sikkerhetsarbeidet i kommunen er identifisert, men KPMG antar samtidig at tilstanden i sammenliknbare kommuner ligger på omtrent samme nivå som Østre Toten kommune forut for hendelsen.

Hva gikk feil?

Stensrud peker på tre svakheter i sikkerheten. Den første var at når hackerne først kom seg inn i systemet, fikk de tilgang til alle nivå. Her er det mulig å gardere seg ved å dele systemet i soner. Den andre svakheten var at backupen var online, noe som gjorde at alt ble slettet. Den tredje var at de ikke hadde overvåkning av systemene sine. Hadde de hatt det, ville det blitt oppdaget at noen hadde hacket seg inn og forsøkte å få kontroll over informasjonen. I tillegg vil han nevne at de ikke hadde 2-trinnsverdifisering.

– Vi hadde beredskap og sikkerhetsutvalg, det vi manglet var en helhetlig sikkerhetsvurdering.

Ut på det mørke nettet

Sikkerhetsfaren eskalerte da det i slutten av mars ble kjent at over 10 000 av de stjålne dokumenter var blitt lastet opp på det mørke nettet hvor det er fare for at sensitive personopplysninger kan misbrukes av kriminelle. – Vi fant at det var lekket personopplysninger, som konto- og personnummer, eller helseopplysninger for 300 personer. For 60 personer var opplysningene av en slik alvorlighetsgrad at de ble kontaktet direkte via telefon og etterfølgende brev.

– Kommunen må selv ha bestillerkompetanse og kompetanse på IKT-sikkerhet og personvern

– Hvilken kompetanse tenker du spesielt er nødvendig for å unngå det dere ble utsatt for? – Vi har valgt å outsource driften av kommunens IKT-systemer, men kommunen må selv ha bestillerkompetanse og kompetanse på IKT-sikkerhet og personvern. Videre er det viktig at kommunen også selv har kompetanse på tjenesteutvikling ved bruk av digitale verktøy.
I dag er 98 prosent av gjenopprettingen gjennomført i kommunen.

i

TIPS

Ole Magnus Stensruds anbefalinger til andre kommuner:

  1. Ha oppdatert internkontroll og IKT sikkerhet ved å:
    – bruke anerkjente standarder fra nasjonal sikkerhetsmyndighet
    – sikre at det etterleves i praksis (her feilet Østre-Toten)
  2. Gjør risikovurderinger på alle plan. Det trengs en helhetlig risikovurdering, som går på det IKT-tekniske samt risikovurderinger ute i tjenestene, f.eks. hvordan helsetjenesten mottar personsensitiv informasjon, hvordan den behandles, oppdateres og lagres.
  3. Skaff dere kompetanse om IKT-sikkerhet og personvern – også om en har satt ut tjenestene.
  4. Viktig å ha bestillerkompetanse.
i

FAKTA

Kompetanseutvikling i digital sikkerhet

Center for Cyber and Information Security (CCIS)
Senter for cyber- og informasjonssikkerhet (CCIS) ved NTNU er et nasjonalt senter for forskning, utdannelse og trening i å håndtere kritiske situasjoner knyttet til informasjonssikkerhet. Det er Nordens største forskningsmiljø på området med 120 vitenskapelige ansatte. Senteret holder til på Gjøvik og i Trondheim, og har 33 partnere som jobber med digital sikkerhet i samfunnet. Fra politi, forsvar og andre offentlige instanser, til private selskaper og internasjonale selskaper som IBM. På Gjøvik ligger nyåpnede Norwegian Cyber Range hvor det er mulig å øve seg på å bli eksponert for sikkerhetstrusler.

NTNU tilbyr både innføringskurs og fordypningsemner i informasjonssikkerhet. Studietilbudene kan tilpasses både små- og mellomstore bedrifter og større arbeidsplasser.

Strekillustrasjon: Vil du investere i din egen utvikling?

Nyhetsbrev fra NTNU VIDERE gir deg informasjon om videreutdanning og deltidsstudier.

Andre artikler om videreutdanning

Populære videreutdanningsstudier

Populære videreutdanningsstudier

Du har sikkert hørt det du også, i festtaler og ved mange andre anledninger, hvor viktig det er at arbeidstakere i Norge får mulighet til å ta etter- og videreutdanning. Har du tenkt på hva du selv kan ta videreutdanning i?

Kommunen trengte mer kompetanse på eiendom

Kommunen trengte mer kompetanse på eiendom

Roar Bratland Erichsen tok master i eiendomsutvikling og forvaltning fordi Bodø kommune ønsket seg mer eiendomskompetanse. Han mener kommuner kan vinne mye på å skaffe seg mer helhetlig kunnskap om eiendom.

Nytt studietilbud kan få sykepleiere med utenlandsk utdanning i jobb

Nytt studietilbud kan få sykepleiere med utenlandsk utdanning i jobb

Mange sykepleiere med utdanning fra utlandet får ikke brukt kompetansen sin fullt ut i Norge. Det er synd, for Norge mangler nesten 7000 sykepleiere, og i 2035 kan mangelen ha økt til 28 000, ifølge beregninger fra SSB. Derfor har NTNU, Trondheim kommune og Statsforvalteren i Trøndelag i fellesskap fått på plass en kompletterende utdanning for sykepleiere som har utdanning fra land utenfor EU eller EØS.

www.ntnu.no/videre
E-post: videre@ntnu.no

NTNU VIDERE er videreutdanning og deltidsstudier fra NTNU.
Vi tilbyr kurs av kortere eller lengre varighet på bachelor- og masternivå innen de fleste fagområder. Undervisningen er fleksibel og tilpasset deg som er i arbeidslivet – ofte som en kombinasjon av aktiviteter på nett og intensive samlinger. Ved NTNU blir du undervist av Norges fremste forskere og forelesere.