Hur står det egentligen till med Sveriges kommuners IT-säkerhetsarbete?
Efter attacken som drabbade Kalix kommun i december är detta en högst relevant fråga.
Kommunen upplevde flera allvarliga störningar på grund av intrånget – störningar som påverkade många personer. Men varför är kommuner en måltavla för cyberattacker och hur kan man minska riskerna för att en attack ger så stora samhälleliga effekter?
Kommunen som drabbades av en IT-attack
Natten mot torsdag 16 december upptäcktes en allvarlig driftstörning i Kalix kommuns IT-system. På eftermiddagen samma dag bekräftade kommunen att man drabbats av en så kallad ransomware-attack, vilket innebar att IT-systemet låsts av hackare som krävde en lösensumma för att låsa upp det.
I samband med attacken framkom det att det vid flera tillfällen de senaste åren hade riktats kritik mot kommunens IT-säkerhetsarbete och att det var oklart vilka brister som åtgärdats sedan de påtalats.
Stora samhälleliga effekter av en IT-attack på en kommun
Ransomware attacken orsakade flera olika problem för Kalix kommun:
- Hemtjänsten och hemsjukvården kom inte åt digitala färdplaner, journaler och medicinlistor
- Löneutbetalningarna till kommunens 1 900 anställda påverkades – man fick betala ut novemberlönen även i december vilket innebar merarbete i efterhand då felaktigheter skulle justeras.
- Man kunde inte betala fakturor och fick vädja till sina leverantörer om förståelse för att betalningarna skulle dröja.
- Kommunens mejlfunktion slogs ut och det enda sättet att nå kommunen under perioden när de inte kom åt sina system var via fysisk post.
- I omkring en fjärdedel av kommunens fastigheter slutade värme och ventilation att fungera
- Man fick gå över till att arbeta analogt under tiden som man inte kom åt de olika systemen.
Kalix kommun sade själva att det var det här som de fruktat allra mest, inte att stridsvagnar ska komma och invadera. En annan kommun som drabbades av en liknande attack är Lidingö kommun. Våren 2019, samma år som kommunen utsetts till Sveriges digitaliseringskommun, drabbades man av ett stort ransomewareangrepp. Angriparna kom in via Microsoft Outlook efter att en medarbetare klickat på ett phishingmejl. Morgonen efter hade 471 datorer drabbats. Totalt behövde 900 datorer ominstalleras och en miljon kronor gick åt till incidentpersonal som tillsammans arbetade nästan 1 300 timmar. Men kommunen lyckades stoppa attacken i tid vilket gjorde att de inte hann få några krav på lösensumma. Tre lärdomar som Lidingö kommun drog av attacken är:
- De hade nytta av att de hade gjort en informationsklassificering, så att de hade koll på vilka verksamhetens kärnvärden och kärndata var.
- De hade segmenterat för snällt och därför släppte de in för mycket hemmaprodukter, exempelvis Google Home-prylar.
- De hade för låg medvetenhet i organisationen.
För att motverka att liknande incidenter ska ske igen har Lidingö nu gjort ett antal säkerhetssatsningar.
Varför är kommuner intressanta måltavlor för attackerarna?
Sverige har en hög grad av digitalisering jämfört med många andra länder och med en ökad digitalisering blir också riskerna fler om säkerheten skulle brista. Kommuner ansvarar för omfattande, sammanlänkade och viktiga informationssystem som berör alla människor i landet. Den kommunala cybersäkerheten är avgörande för att samhällets äldreomsorg, hälsovård, skola, vatten/avlopp, avfallshantering och energi ska fungera.
Samtidigt har landets kommuner och myndigheter väldigt sällan tänkt ett varv extra på säkerhet när man har byggt upp sin IT-miljö, trots att man handhar mycket känslig information som exempelvis medicinlistor, journaler och personlig information. En kommun har dessutom ofta många olika IT-system som är sammankopplade, vilket gör det enklare för en angripare att slå till hårt och brett om man lyckas ta sig in på kommunens servrar. Sammantaget är det helt enkelt ett attraktivt, och tyvärr ett ganska enkelt, mål för attackerarna.
Många kommuner inte redo – trots nya krav
Svenskt IT-säkerhetsindex 2.0 är en rapport som ger insikter om informationssäkerhet och bristen på kunskap kring ämnet. Redan 2017 kunde man läsa om att Sveriges kommuner inte var redo. Enligt rapporten visade kommuner låg mognad men har en riskprofil som är högre än exempelvis finans och försäkring.
Sedan dess har många nya krav ställts på kommunerna. Ett konsekvent och strukturerat informationssäkerhetsarbete är numera nödvändigt. Den nya lagstiftningen om säkerhetsskyddslagen är ett tydligt tecken på det. Den nya lagen gör det också klart att ansvaret för informationssäkerheten vilar på kommunen och borde därför vara en stor del av kommunens säkerhetsskydd. Trots detta har många kommuner inte kommit så långt i sitt IT-säkerhetsarbete som de borde.
Några råd om hur en sådan här attack kunde ha undvikits
Nästan all information är digital idag, vilket är bekvämt på många sätt. I en kommun hanteras som sagt mycket känslig digital information – privat sådan som inga obehöriga bör kunna se. En ransomware-attack kan förändra detta på en sekund – med resultatet att medborgarnas integritet och sekretess inte längre är säker.
Ransomware-attacker drabbar digitala informationssystem, men att undvika digital information är inte en lösning i dagens värld. För att inte skadas av attackerna måste en kommun i stället arbeta med cybersäkerhet på ett konsekvent och strukturerat sätt. Det är det enda alternativet om kommunens digitala information ska vara skyddad.
Här 6 råd om hur en kommun kan undvika att bli måltavla för en attack:
1. Genomför en säkerhetsskyddsanalys
Första steget för att kunna arbeta proaktivt och strukturerat med cybersäkerhet är att få säkerhetsinsikt genom en säkerhetsskyddsanalys. Baserat på analysen är det sedan möjligt att utvärdera kraven och se till att rätt säkerhetsnivå definieras enligt identifierade utmaningar.
2. Ställ högre krav på informationssäkerhet
Befintliga, kanske föråldrade, system och nätverk utgör ofta det allvarligaste hotet mot IT-säkerheten. All äldre utrustning som är kopplad till nätverk bör säkerhetstestas för att upptäcka säkerhetshål. För att klara av potentiella hot mot systemen måste du tänka om när det gäller säkerheten och t.ex. kontrollera att säkerheten är inbyggd i systemet och att systemen är säkra från grunden. Att se till att all personal får en grundläggande utbildning i säkerhet och att en allmän säkerhetskultur införs är en annan viktig del i att lyckas i sitt arbete med informationssäkerhet.
3. Använd nätverkssegmentering
Värt att tänka på är att det varken är praktiskt eller ekonomiskt försvarbart att skydda all typ av information på samma sätt. Steg 3 innebär därför att använda sig av nätverkssegmentering för att skydda kritisk information och kritiska system, detta genom en kombination av fysisk och logisk separation. Fysisk separation innebär att säkerhetszoner definieras och fördelas på olika fysiska hårdvaror. Logisk separation innebär att olika zoner eller nätverkstrafik tillåts samexistera på samma hårdvara eller i samma nätverkskabel vilket gör den mindre tydlig och därmed medför lägre förtroende för separationsmekanismens styrka än vid fysisk separation.
4. Minska risken för dataläckage med hjälp av datadioder
Behöver man skicka information till och från en av sina säkerhetszoner som innehåller säkerhetsklassad eller känslig information, och vill säkerställa att man minskar risken för dataläckage och datamanipulation, behöver man särskilda lösningar för att hantera det. I de här fallen kan Advenicas datadioder vara till stor nytta.
5. Inför säker fjärråtkomst
Är man beroende av fjärråtkomst till några eller flera av sina system och vill säkerställa säker och selektiv åtkomst samtidigt som man effektivt minskar potentiella attackmöjligheter, bör man implementera en security gateway för kontrollerat informationsutbyte. Med hjälp av Advenicas security gateway ZoneGuard valideras och transformeras all information, vilket innebär att känslig information stannar inom det skyddade nätverket och skadlig kod kan inte spridas.
6. Inför säker filöverföring till klassade nätverk
Genom att överföra filer mellan olika säkerhetsdomäner utsätter man det mottagande systemet för stor säkerhetsrisk med avseende på integritet och konfidentialitet. Om skadliga program kommer in i det känsliga nätverket kan en hotaktör lyckas hämta information, ändra information eller begära en lösensumma för att göra informationen tillgänglig igen. Filerna behöver genomgå en sanering innan de importeras, något man kan göra med hjälp av en lösning såsom Advenicas File Security Screener. Den använder antivirus-skanning som upptäcker skadliga program och avlägsnar de filkomponenter som inte är godkända enligt systemets definitioner och policys.
Av Advenica