Håper ingen havner i samme situasjon

Ole Magnus Stensrud er kommunedirektør i Østre Toten kommune. En januardag i 2021 opplevde han at kommunens datasystemer ble angrepet av ondsinnede hackere, noe som medførte mange problemer, mye ekstra arbeid og mørklagte bygninger. Foto: Østre Toten kommune.
Østre Toten ble utsatt for det alvorligste dataangrepet noen kommune har vært utsatt for. 10 000 dokumenter havnet på det mørke nettet, og alle sikkerhetskopier ble slettet. – Skaff dere nødvendig kompetanse på datasikkerhet, oppfordrer kommunedirektør Ole Magnus Stensrud.
Tekst: Lisbet Jære
Natt til lørdag 9. januar 2021 ble landbrukskommunen Østre Toten ved Mjøsa utsatt for et stort dataangrep. Ingen av de ansatte kom seg inn på kommunens IKT-system, så godt som alle kommunens IKT-tjenester var satt ute av drift og sikkerhetskopiene var slettet. Det så mørkt ut også i bokstavelig forstand, for hackerangrepet medførte at flere av kommunens bygninger ble mørklagte i 25 grader minus.

Det er vakkert på Østre Toten en fin sommerdag, men det ble fort kaldt og idyllen brast da kommunens IKT-systemer ble utsatt for et hackerangrep i januar 2021. Foto: Østre Toten kommune.
Ønsker å dele erfaringene
– Dette har vært en kjempeutfordring for hele organisasjonen. Til tross for at vi ikke hadde tilgang på noen av våre egne data klarte vi likevel å levere tjenestene våre og det er jeg stolt av, sier kommunedirektør Ole Magnus Stensrud.
Han forteller at de helt fra begynnelsen har valgt å være åpne og ærlig om det som har skjedd. Først og fremst fordi de ønsker å skape tillit til innbyggerne. Ved å dele erfaringene håper de også at andre kommuner og virksomheter kan unngå å havne i samme situasjon.
Var mest opptatt av å digitalisere
Stensrud innrømmer at de havnet i den fella som mange lett gjør; iveren etter å digitalisere og forbedre tjenester kom foran sikkerhet.
– Vi tar selvkritikk på at vi var mest opptatt av å digitalisere, og at datasikkerhet kom som nummer to
KPMG har nylig kommet med en rapport der de har vurdert det som har skjedd, og kommet med anbefalinger til videre arbeid med sikkerhet i Østre Toten.
Flere svakheter med sikkerhetsarbeidet i kommunen er identifisert, men KPMG antar samtidig at tilstanden i sammenliknbare kommuner ligger på omtrent samme nivå som Østre Toten kommune forut for hendelsen.
Hva gikk feil?
Stensrud peker på tre svakheter i sikkerheten. Den første var at når hackerne først kom seg inn i systemet, fikk de tilgang til alle nivå. Her er det mulig å gardere seg ved å dele systemet i soner. Den andre svakheten var at backupen var online, noe som gjorde at alt ble slettet. Den tredje var at de ikke hadde overvåkning av systemene sine. Hadde de hatt det, ville det blitt oppdaget at noen hadde hacket seg inn og forsøkte å få kontroll over informasjonen. I tillegg vil han nevne at de ikke hadde 2-trinnsverdifisering.
– Vi hadde beredskap og sikkerhetsutvalg, det vi manglet var en helhetlig sikkerhetsvurdering.
Ut på det mørke nettet
Sikkerhetsfaren eskalerte da det i slutten av mars ble kjent at over 10 000 av de stjålne dokumenter var blitt lastet opp på det mørke nettet hvor det er fare for at sensitive personopplysninger kan misbrukes av kriminelle. – Vi fant at det var lekket personopplysninger, som konto- og personnummer, eller helseopplysninger for 300 personer. For 60 personer var opplysningene av en slik alvorlighetsgrad at de ble kontaktet direkte via telefon og etterfølgende brev.
– Kommunen må selv ha bestillerkompetanse og kompetanse på IKT-sikkerhet og personvern
– Hvilken kompetanse tenker du spesielt er nødvendig for å unngå det dere ble utsatt for? – Vi har valgt å outsource driften av kommunens IKT-systemer, men kommunen må selv ha bestillerkompetanse og kompetanse på IKT-sikkerhet og personvern. Videre er det viktig at kommunen også selv har kompetanse på tjenesteutvikling ved bruk av digitale verktøy.
I dag er 98 prosent av gjenopprettingen gjennomført i kommunen.
TIPS
Ole Magnus Stensruds anbefalinger til andre kommuner:
- Ha oppdatert internkontroll og IKT sikkerhet ved å:
– bruke anerkjente standarder fra nasjonal sikkerhetsmyndighet
– sikre at det etterleves i praksis (her feilet Østre-Toten) - Gjør risikovurderinger på alle plan. Det trengs en helhetlig risikovurdering, som går på det IKT-tekniske samt risikovurderinger ute i tjenestene, f.eks. hvordan helsetjenesten mottar personsensitiv informasjon, hvordan den behandles, oppdateres og lagres.
- Skaff dere kompetanse om IKT-sikkerhet og personvern – også om en har satt ut tjenestene.
- Viktig å ha bestillerkompetanse.
FAKTA
Kompetanseutvikling i digital sikkerhet
Jobber du med drift og vedlikehold av IT-systemer og frykter hva et ondsinnet dataangrep kan bety? Skaff deg oppdatert kompetanse slik at du bedre kan beskytte din virksomhets IT-systemer mot cyberkriminalitet.
NTNU tilbyr både innføringskurs og fordypningsemner i informasjonssikkerhet. Studietilbudene kan tilpasses både små- og mellomstore bedrifter og større arbeidsplasser.
Center for Cyber and Information Security (CCIS)
Senter for cyber- og informasjonssikkerhet (CCIS) ved NTNU er et nasjonalt senter for forskning, utdannelse og trening i å håndtere kritiske situasjoner knyttet til informasjonssikkerhet. Det er Nordens største forskningsmiljø på området med 120 vitenskapelige ansatte. Senteret holder til på Gjøvik og i Trondheim, og har 33 partnere som jobber med digital sikkerhet i samfunnet. Fra politi, forsvar og andre offentlige instanser, til private selskaper og internasjonale selskaper som IBM. På Gjøvik ligger nyåpnede Norwegian Cyber Range hvor det er mulig å øve seg på å bli eksponert for sikkerhetstrusler.
Nyhetsbrev fra NTNU VIDERE gir deg informasjon om videreutdanning og deltidsstudier.
Andre artikler om videreutdanning
40 år med Praktisk prosjektledelse
NTNU har et av Europas største utdannings- og forskningsmiljø innen prosjektledelse. Videreutdanningsemnet Praktisk prosjektledelse ble tilbudt første gang for 40 år siden som svar på store kostnadsoverskridelser i utbyggingsprosjekter på norsk sokkel.
Gjør det enklere å holde stø kurs som prosjektleder
Det er mye som kan gå skeis i store prosjekter. IT-konsulent Morten Moen Dyrendahl kjenner seg langt bedre rustet til å gjøre en god jobb som prosjektleder etter å ha tatt Praktisk prosjektledelse.
Kan bedriften din håndtere de nyeste digitale sikkerhetsbruddene?
Digitale angrep mot norske bedrifter har tredoblet seg de siste årene, og over 50 % av norske bedrifter har blitt utsatt for datakriminalitet. Likevel viser undersøkelser at kun 1% av ledere vurderer digital sikkerhet som det viktigste for sin bedrift.