14. okt, 2021 | Bloggpost, Teknologi og samfunn

Håper ingen havner i samme situasjon

kommunedirektør Ole Magnus Stensrud

Ole Magnus Stensrud er kommunedirektør i Østre Toten kommune. En januardag i 2021 opplevde han at kommunens datasystemer ble angrepet av ondsinnede hackere, noe som medførte mange problemer, mye ekstra arbeid og mørklagte bygninger. Foto: Østre Toten kommune.

Østre Toten ble utsatt for det alvorligste dataangrepet noen kommune har vært utsatt for. 10 000 dokumenter havnet på det mørke nettet, og alle sikkerhetskopier ble slettet. – Skaff dere nødvendig kompetanse på datasikkerhet, oppfordrer kommunedirektør Ole Magnus Stensrud. 

Tekst: Lisbet Jære

Natt til lørdag 9. januar 2021 ble landbrukskommunen Østre Toten ved Mjøsa utsatt for et stort dataangrep. Ingen av de ansatte kom seg inn på kommunens IKT-system, så godt som alle kommunens IKT-tjenester var satt ute av drift og sikkerhetskopiene var slettet. Det så mørkt ut også i bokstavelig forstand, for hackerangrepet medførte at flere av kommunens bygninger ble mørklagte i 25 grader minus. 

Det er vakkert på Østre Toten en fin sommerdag, men det ble fort kaldt og idyllen brast da kommunens IKT-systemer ble utsatt for et hackerangrep i januar 2021. Foto: Østre Toten kommune.

Ønsker å dele erfaringene

– Dette har vært en kjempeutfordring for hele organisasjonen. Til tross for at vi ikke hadde tilgang på noen av våre egne data klarte vi likevel å levere tjenestene våre og det er jeg stolt av, sier kommunedirektør Ole Magnus Stensrud.

Han forteller at de helt fra begynnelsen har valgt å være åpne og ærlig om det som har skjedd. Først og femst fordi de ønsker å skape tillit til innbyggerne. Ved å dele erfaringene håper de også at andre kommuner og virksomheter kan unngå å havne i samme situasjon.

Var mest opptatt av å digitalisere

Stensrud innrømmer at de havnet i den fella som mange lett gjør; iveren etter å digitalisere og forbedre tjenester kom foran sikkerhet.

– Vi tar selvkritikk på at vi var mest opptatt av å digitalisere, og at datasikkerhet kom som nummer to

KPMG har nylig kommet med en rapport der de har vurdert det som har skjedd, og kommet med anbefalinger til videre arbeid med sikkerhet i Østre Toten.

Flere svakheter med sikkerhetsarbeidet i kommunen er identifisert, men KPMG antar samtidig at tilstanden i sammenliknbare kommuner ligger på omtrent samme nivå som Østre Toten kommune forut for hendelsen.

Hva gikk feil?

Stensrud peker på tre svakheter i sikkerheten. Den første var at når hackerne først kom seg inn i systemet, fikk de tilgang til alle nivå. Her er det mulig å gardere seg ved å dele systemet i soner. Den andre svakheten var at backupen var online, noe som gjorde at alt ble slettet. Den tredje var at de ikke hadde overvåkning av systemene sine. Hadde de hatt det, ville det blitt oppdaget at noen hadde hacket seg inn og forsøkte å få kontroll over informasjonen. I tillegg vil han nevne at de ikke hadde 2-trinnsverdifisering.

– Vi hadde beredskap og sikkerhetsutvalg, det vi manglet var en helhetlig sikkerhetsvurdering.

Ut på det mørke nettet

Sikkerhetsfaren eskalerte da det i slutten av mars ble kjent at over 10 000 av de stjålne dokumenter var blitt lastet opp på det mørke nettet hvor det er fare for at sensitive personopplysninger kan misbrukes av kriminelle. – Vi fant at det var lekket personopplysninger, som konto- og personnummer, eller helseopplysninger for 300 personer. For 60 personer var opplysningene av en slik alvorlighetsgrad at de ble kontaktet direkte via telefon og etterfølgende brev.

– Kommunen må selv ha bestillerkompetanse og kompetanse på IKT-sikkerhet og personvern

– Hvilken kompetanse tenker du spesielt er nødvendig for å unngå det dere ble utsatt for? – Vi har valgt å outsource driften av kommunens IKT-systemer, men kommunen må selv ha bestillerkompetanse og kompetanse på IKT-sikkerhet og personvern. Videre er det viktig at kommunen også selv har kompetanse på tjenesteutvikling ved bruk av digitale verktøy.
I dag er 98 prosent av gjenopprettingen gjennomført i kommunen.

i

TIPS

Ole Magnus Stensruds anbefalinger til andre kommuner:

  1. Ha oppdatert internkontroll og IKT sikkerhet ved å:
    – bruke anerkjente standarder fra nasjonal sikkerhetsmyndighet
    – sikre at det etterleves i praksis (her feilet Østre-Toten)
  2. Gjør risikovurderinger på alle plan. Det trengs en helhetlig risikovurdering, som går på det IKT-tekniske samt risikovurderinger ute i tjenestene, f.eks. hvordan helsetjenesten mottar personsensitiv informasjon, hvordan den behandles, oppdateres og lagres.
  3. Skaff dere kompetanse om IKT-sikkerhet og personvern – også om en har satt ut tjenestene.
  4. Viktig å ha bestillerkompetanse.
i

FAKTA

Kompetanseutvikling i digital sikkerhet

Jobber du med drift og vedlikehold av IT-systemer og frykter hva et ondsinnet dataangrep kan bety? Skaff deg oppdateret kompetanse slik at du bedre kan beskytte din virksomhets IT-systemer mot cyberkriminalitet. 

NTNU tilbyr både innføringskurs og fordypningsemner i informasjonssikkerhet. Studietilbudene kan tilpasses både små- og mellomstore bedrifter og større arbeidsplasser.

Center for Cyber and Information Security (CCIS)
Senter for cyber- og informasjonssikkerhet (CCIS) ved NTNU er et nasjonalt senter for forskning, utdannelse og trening i å håndtere kritiske situasjoner knyttet til informasjonssikkerhet. Det er Nordens største forskningsmiljø på området med 120 vitenskapelige ansatte. Senteret holder til på Gjøvik og i Trondheim, og har 33 partnere som jobber med digital sikkerhet i samfunnet. Fra politi, forsvar og andre offentlige instanser, til private selskaper og internasjonale selskaper som IBM. På Gjøvik ligger nyåpnede Norwegian Cyber Range hvor det er mulig å øve seg på å bli eksponert for sikkerhetstrusler.

 

Nyhetsbrev fra NTNU VIDERE gir deg informasjon om videreutdanning og deltidsstudier.

Andre artikler om videreutdanning

MTM – overraskende relevant

MTM – overraskende relevant

Kristin Alne opplevde at temaene på MTM-studiet var svært relevante. Etter samling kunne hun flere ganger dra tilbake på jobb med ny kunnskap og ny metodikk som hun kunne ta i bruk med en gang!

Lad opp kunnskapen om batteri

Lad opp kunnskapen om batteri

Batteriteknologi er en viktig faktor for å få til en vellykket omstilling til fornybar energi. Skal Norge få fart på batteriproduksjon, trenger vi 1000 nye ingeniører som «kan batteri» – hvert eneste år – fram mot 2030. Derfor tilbyr NTNU et innføringskurs i batteriteknologi for ingeniører.

Ble logoped med egen praksis

Ble logoped med egen praksis

Hva gjør du når du ikke lenger kan fortsette i jobben du har hatt i mer enn 20 år? Førskolelærer Anne Kjeldset tok videreutdanning i logopedi og driver i dag egen praksis i Steinkjer.

www.ntnu.no/videre
E-post: videre@ntnu.no

NTNU VIDERE er videreutdanning og deltidsstudier fra NTNU.
Vi tilbyr kurs av kortere eller lengre varighet på bachelor- og masternivå innen de fleste fagområder. Undervisningen er fleksibel og tilpasset deg som er i arbeidslivet – ofte som en kombinasjon av aktiviteter på nett og intensive samlinger. Ved NTNU blir du undervist av Norges fremste forskere og forelesere.