Viderebloggen - en blogg om videreutdanning ved NTNU tekst

14. okt, 2021 | Bloggpost, Teknologi og samfunn

Håper ingen havner i samme situasjon

kommunedirektør Ole Magnus Stensrud

Ole Magnus Stensrud er kommunedirektør i Østre Toten kommune. En januardag i 2021 opplevde han at kommunens datasystemer ble angrepet av ondsinnede hackere, noe som medførte mange problemer, mye ekstra arbeid og mørklagte bygninger. Foto: Østre Toten kommune.

Østre Toten ble utsatt for det alvorligste dataangrepet noen kommune har vært utsatt for. 10 000 dokumenter havnet på det mørke nettet, og alle sikkerhetskopier ble slettet. – Skaff dere nødvendig kompetanse på datasikkerhet, oppfordrer kommunedirektør Ole Magnus Stensrud. 

Tekst: Lisbet Jære

Natt til lørdag 9. januar 2021 ble landbrukskommunen Østre Toten ved Mjøsa utsatt for et stort dataangrep. Ingen av de ansatte kom seg inn på kommunens IKT-system, så godt som alle kommunens IKT-tjenester var satt ute av drift og sikkerhetskopiene var slettet. Det så mørkt ut også i bokstavelig forstand, for hackerangrepet medførte at flere av kommunens bygninger ble mørklagte i 25 grader minus. 

Det er vakkert på Østre Toten en fin sommerdag, men det ble fort kaldt og idyllen brast da kommunens IKT-systemer ble utsatt for et hackerangrep i januar 2021. Foto: Østre Toten kommune.

Ønsker å dele erfaringene

– Dette har vært en kjempeutfordring for hele organisasjonen. Til tross for at vi ikke hadde tilgang på noen av våre egne data klarte vi likevel å levere tjenestene våre og det er jeg stolt av, sier kommunedirektør Ole Magnus Stensrud.

Han forteller at de helt fra begynnelsen har valgt å være åpne og ærlig om det som har skjedd. Først og fremst fordi de ønsker å skape tillit til innbyggerne. Ved å dele erfaringene håper de også at andre kommuner og virksomheter kan unngå å havne i samme situasjon.

Var mest opptatt av å digitalisere

Stensrud innrømmer at de havnet i den fella som mange lett gjør; iveren etter å digitalisere og forbedre tjenester kom foran sikkerhet.

– Vi tar selvkritikk på at vi var mest opptatt av å digitalisere, og at datasikkerhet kom som nummer to

KPMG har nylig kommet med en rapport der de har vurdert det som har skjedd, og kommet med anbefalinger til videre arbeid med sikkerhet i Østre Toten.

Flere svakheter med sikkerhetsarbeidet i kommunen er identifisert, men KPMG antar samtidig at tilstanden i sammenliknbare kommuner ligger på omtrent samme nivå som Østre Toten kommune forut for hendelsen.

Hva gikk feil?

Stensrud peker på tre svakheter i sikkerheten. Den første var at når hackerne først kom seg inn i systemet, fikk de tilgang til alle nivå. Her er det mulig å gardere seg ved å dele systemet i soner. Den andre svakheten var at backupen var online, noe som gjorde at alt ble slettet. Den tredje var at de ikke hadde overvåkning av systemene sine. Hadde de hatt det, ville det blitt oppdaget at noen hadde hacket seg inn og forsøkte å få kontroll over informasjonen. I tillegg vil han nevne at de ikke hadde 2-trinnsverdifisering.

– Vi hadde beredskap og sikkerhetsutvalg, det vi manglet var en helhetlig sikkerhetsvurdering.

Ut på det mørke nettet

Sikkerhetsfaren eskalerte da det i slutten av mars ble kjent at over 10 000 av de stjålne dokumenter var blitt lastet opp på det mørke nettet hvor det er fare for at sensitive personopplysninger kan misbrukes av kriminelle. – Vi fant at det var lekket personopplysninger, som konto- og personnummer, eller helseopplysninger for 300 personer. For 60 personer var opplysningene av en slik alvorlighetsgrad at de ble kontaktet direkte via telefon og etterfølgende brev.

– Kommunen må selv ha bestillerkompetanse og kompetanse på IKT-sikkerhet og personvern

– Hvilken kompetanse tenker du spesielt er nødvendig for å unngå det dere ble utsatt for? – Vi har valgt å outsource driften av kommunens IKT-systemer, men kommunen må selv ha bestillerkompetanse og kompetanse på IKT-sikkerhet og personvern. Videre er det viktig at kommunen også selv har kompetanse på tjenesteutvikling ved bruk av digitale verktøy.
I dag er 98 prosent av gjenopprettingen gjennomført i kommunen.

i

TIPS

Ole Magnus Stensruds anbefalinger til andre kommuner:

  1. Ha oppdatert internkontroll og IKT sikkerhet ved å:
    – bruke anerkjente standarder fra nasjonal sikkerhetsmyndighet
    – sikre at det etterleves i praksis (her feilet Østre-Toten)
  2. Gjør risikovurderinger på alle plan. Det trengs en helhetlig risikovurdering, som går på det IKT-tekniske samt risikovurderinger ute i tjenestene, f.eks. hvordan helsetjenesten mottar personsensitiv informasjon, hvordan den behandles, oppdateres og lagres.
  3. Skaff dere kompetanse om IKT-sikkerhet og personvern – også om en har satt ut tjenestene.
  4. Viktig å ha bestillerkompetanse.
i

FAKTA

Kompetanseutvikling i digital sikkerhet

Jobber du med drift og vedlikehold av IT-systemer og frykter hva et ondsinnet dataangrep kan bety? Skaff deg oppdatert kompetanse slik at du bedre kan beskytte din virksomhets IT-systemer mot cyberkriminalitet.

NTNU tilbyr både innføringskurs og fordypningsemner i informasjonssikkerhet. Studietilbudene kan tilpasses både små- og mellomstore bedrifter og større arbeidsplasser.

Center for Cyber and Information Security (CCIS)
Senter for cyber- og informasjonssikkerhet (CCIS) ved NTNU er et nasjonalt senter for forskning, utdannelse og trening i å håndtere kritiske situasjoner knyttet til informasjonssikkerhet. Det er Nordens største forskningsmiljø på området med 120 vitenskapelige ansatte. Senteret holder til på Gjøvik og i Trondheim, og har 33 partnere som jobber med digital sikkerhet i samfunnet. Fra politi, forsvar og andre offentlige instanser, til private selskaper og internasjonale selskaper som IBM. På Gjøvik ligger nyåpnede Norwegian Cyber Range hvor det er mulig å øve seg på å bli eksponert for sikkerhetstrusler.

 

Nyhetsbrev fra NTNU VIDERE gir deg informasjon om videreutdanning og deltidsstudier.

Meld deg på nyhetsbrev

Andre artikler om videreutdanning

Hvordan få til bærekraftig omstilling i praksis

Hvordan få til bærekraftig omstilling i praksis

Bærekraftig omstilling er ikke noe bare en enkelt avdeling på en arbeidsplass kan jobbe med, det må inn i alle ledd, mener Kristine Nørgaard. Hun skriver masteroppgave om bærekraft og innovasjon i Oslobygg.

Videreutdanning ga uante muligheter for både Kristian og arbeidsgiver

Videreutdanning ga uante muligheter for både Kristian og arbeidsgiver

Mange yrkesaktive opplever at behovet for å lære nye ferdigheter øker i takt med endringene i arbeidsmarkedet. Kristian Leversen hadde jobbet i olje- og gassindustrien i flere år, og innså dette behovet samtidig som arbeidsgiveren lyste ut en ny stilling. Videreutdanningsemnet CO2-fangst og hydrogen som energi ga ham mer basiskunnskap og ble også svært verdifullt i hans nye stilling innenfor alternative energikilder og bærekraftige løsninger. 

Videreutdanning kan holde motivasjonen for jobben oppe

Videreutdanning kan holde motivasjonen for jobben oppe

Det at vi har mulighet til å utvikle oss faglig er noe av det viktigste for at vi skal kjenne oss motiverte på jobben. Videreutdanning kan dessuten demme opp for «3-års kløa», mener Henrik Øhrn fra HR Norge.    

www.ntnu.no/videre
E-post: videre@ntnu.no

NTNU VIDERE er videreutdanning og deltidsstudier fra NTNU.
Vi tilbyr kurs av kortere eller lengre varighet på bachelor- og masternivå innen de fleste fagområder. Undervisningen er fleksibel og tilpasset deg som er i arbeidslivet – ofte som en kombinasjon av aktiviteter på nett og intensive samlinger. Ved NTNU blir du undervist av Norges fremste forskere og forelesere.