14. okt, 2021 | Bloggpost, Teknologi og samfunn

Håper ingen havner i samme situasjon

kommunedirektør Ole Magnus Stensrud

Ole Magnus Stensrud er kommunedirektør i Østre Toten kommune. En januardag i 2021 opplevde han at kommunens datasystemer ble angrepet av ondsinnede hackere, noe som medførte mange problemer, mye ekstra arbeid og mørklagte bygninger. Foto: Østre Toten kommune.

Østre Toten ble utsatt for det alvorligste dataangrepet noen kommune har vært utsatt for. 10 000 dokumenter havnet på det mørke nettet, og alle sikkerhetskopier ble slettet. – Skaff dere nødvendig kompetanse på datasikkerhet, oppfordrer kommunedirektør Ole Magnus Stensrud. 

Tekst: Lisbet Jære

Natt til lørdag 9. januar 2021 ble landbrukskommunen Østre Toten ved Mjøsa utsatt for et stort dataangrep. Ingen av de ansatte kom seg inn på kommunens IKT-system, så godt som alle kommunens IKT-tjenester var satt ute av drift og sikkerhetskopiene var slettet. Det så mørkt ut også i bokstavelig forstand, for hackerangrepet medførte at flere av kommunens bygninger ble mørklagte i 25 grader minus. 

Det er vakkert på Østre Toten en fin sommerdag, men det ble fort kaldt og idyllen brast da kommunens IKT-systemer ble utsatt for et hackerangrep i januar 2021. Foto: Østre Toten kommune.

Ønsker å dele erfaringene

– Dette har vært en kjempeutfordring for hele organisasjonen. Til tross for at vi ikke hadde tilgang på noen av våre egne data klarte vi likevel å levere tjenestene våre og det er jeg stolt av, sier kommunedirektør Ole Magnus Stensrud.

Han forteller at de helt fra begynnelsen har valgt å være åpne og ærlig om det som har skjedd. Først og femst fordi de ønsker å skape tillit til innbyggerne. Ved å dele erfaringene håper de også at andre kommuner og virksomheter kan unngå å havne i samme situasjon.

Var mest opptatt av å digitalisere

Stensrud innrømmer at de havnet i den fella som mange lett gjør; iveren etter å digitalisere og forbedre tjenester kom foran sikkerhet.

– Vi tar selvkritikk på at vi var mest opptatt av å digitalisere, og at datasikkerhet kom som nummer to

KPMG har nylig kommet med en rapport der de har vurdert det som har skjedd, og kommet med anbefalinger til videre arbeid med sikkerhet i Østre Toten.

Flere svakheter med sikkerhetsarbeidet i kommunen er identifisert, men KPMG antar samtidig at tilstanden i sammenliknbare kommuner ligger på omtrent samme nivå som Østre Toten kommune forut for hendelsen.

Hva gikk feil?

Stensrud peker på tre svakheter i sikkerheten. Den første var at når hackerne først kom seg inn i systemet, fikk de tilgang til alle nivå. Her er det mulig å gardere seg ved å dele systemet i soner. Den andre svakheten var at backupen var online, noe som gjorde at alt ble slettet. Den tredje var at de ikke hadde overvåkning av systemene sine. Hadde de hatt det, ville det blitt oppdaget at noen hadde hacket seg inn og forsøkte å få kontroll over informasjonen. I tillegg vil han nevne at de ikke hadde 2-trinnsverdifisering.

– Vi hadde beredskap og sikkerhetsutvalg, det vi manglet var en helhetlig sikkerhetsvurdering.

Ut på det mørke nettet

Sikkerhetsfaren eskalerte da det i slutten av mars ble kjent at over 10 000 av de stjålne dokumenter var blitt lastet opp på det mørke nettet hvor det er fare for at sensitive personopplysninger kan misbrukes av kriminelle. – Vi fant at det var lekket personopplysninger, som konto- og personnummer, eller helseopplysninger for 300 personer. For 60 personer var opplysningene av en slik alvorlighetsgrad at de ble kontaktet direkte via telefon og etterfølgende brev.

– Kommunen må selv ha bestillerkompetanse og kompetanse på IKT-sikkerhet og personvern

– Hvilken kompetanse tenker du spesielt er nødvendig for å unngå det dere ble utsatt for? – Vi har valgt å outsource driften av kommunens IKT-systemer, men kommunen må selv ha bestillerkompetanse og kompetanse på IKT-sikkerhet og personvern. Videre er det viktig at kommunen også selv har kompetanse på tjenesteutvikling ved bruk av digitale verktøy.
I dag er 98 prosent av gjenopprettingen gjennomført i kommunen.

i

TIPS

Ole Magnus Stensruds anbefalinger til andre kommuner:

  1. Ha oppdatert internkontroll og IKT sikkerhet ved å:
    – bruke anerkjente standarder fra nasjonal sikkerhetsmyndighet
    – sikre at det etterleves i praksis (her feilet Østre-Toten)
  2. Gjør risikovurderinger på alle plan. Det trengs en helhetlig risikovurdering, som går på det IKT-tekniske samt risikovurderinger ute i tjenestene, f.eks. hvordan helsetjenesten mottar personsensitiv informasjon, hvordan den behandles, oppdateres og lagres.
  3. Skaff dere kompetanse om IKT-sikkerhet og personvern – også om en har satt ut tjenestene.
  4. Viktig å ha bestillerkompetanse.
i

FAKTA

Kompetanseutvikling i digital sikkerhet

Center for Cyber and Information Security (CCIS)
Senter for cyber- og informasjonssikkerhet (CCIS) ved NTNU er et nasjonalt senter for forskning, utdannelse og trening i å håndtere kritiske situasjoner knyttet til informasjonssikkerhet. Det er Nordens største forskningsmiljø på området med 120 vitenskapelige ansatte. Senteret holder til på Gjøvik og i Trondheim, og har 33 partnere som jobber med digital sikkerhet i samfunnet. Fra politi, forsvar og andre offentlige instanser, til private selskaper og internasjonale selskaper som IBM. På Gjøvik ligger nyåpnede Norwegian Cyber Range hvor det er mulig å øve seg på å bli eksponert for sikkerhetstrusler.

NTNU tilbyr både innføringskurs og fordyningsemner i informasjonssikkerhet. Studietilbudene kan tilpasses både små- og mellomstore bedrifter og større arbeidsplasser.

Strekillustrasjon: Vil du investere i din egen utvikling?

Nyhetsbrev fra NTNU VIDERE gir deg informasjon om videreutdanning og deltidsstudier.

Andre artikler om videreutdanning

Med ny teknologi kommer også nye trusler

Med ny teknologi kommer også nye trusler

– Teknologien utvikler seg raskt. For hver ny teknologileveranse som kommer, kommer også en ny trussel, sier Harald Torbjørnsen, leder av Foreningen Kommunal Informasjonssikkerhet (KiNS). De samarbeider med NTNU om studietilbud innen digital sikkerhet.

Bli en bedre leder ved å se deg selv utenfra

Bli en bedre leder ved å se deg selv utenfra

Det er enkelt å gro fast i gamle mønstre og måter å gjøre ting på, også for ledere. NTNU har fire erfaringsbaserte mastere innen ledelse som kombinerer teori og praksis, og oppfordrer til et utenfra-blikk på seg selv og arbeidsplassen.

Sterkt økende behov for digital kompetanse

Sterkt økende behov for digital kompetanse

Teknologi er og blir relevant. Teknologiske endringer kommer fort, noe som krever oppdatert kunnskap for ledere og beslutningstakere. Hvordan skal ledere i norske kunnskaps- og teknologibedrifter greie å være et steg foran i møte med fremtidens teknologiske endringer og den digitale økonomien?

Mennesket i sentrum i komplekse endringsprosesser

Mennesket i sentrum i komplekse endringsprosesser

Endring- og omstillingsprosesser i arbeidslivet er krevende. Den nye spesialiseringen «Strategisk design og tjenesteutvikling» skal gi deltakerne kreative og visuelle verktøy for å jobbe med dette på egen arbeidsplass.

NTNU VIDERE er videreutdanning og deltidsstudier fra NTNU. Vi tilbyr kurs av kortere eller lengre varighet på bachelor- og masternivå innen de fleste fagområder. Undervisningen er fleksibel og tilpasset deg som er i arbeidslivet – ofte som en kombinasjon av aktiviteter på nett og intensive samlinger. Ved NTNU blir du undervist av Norges fremste forskere og forelesere.

www.ntnu.no/videre
E-post: videre@ntnu.no