Ledarskap
Så stoppade Lidingö utpressningsförsöket – ”It arbetade dygnet runt”
Publicerad: 30 september 2021, 07:58
I sju dagar arbetade vi dygnet runt, berättar Lidingös it-arkitekt Per-Johan Gelotte om cyberattacken som drabbade kommunen. Foto: Åserud, Lise/TT
Samma år som Lidingö knep titeln Sveriges digitaliseringskommun utsattes man för en omfattande ransomwareattack. Sedan dess har stadens it-arkitekt delat med sig av sina erfarenheter för att hjälpa andra i samma sits.
”En dubbelriktad strid”, kallar Per-Johan Gelotte it-attacken mot Lidingö stad i mars 2019, då angriparen dels försökte kryptera data, det vill säga låsa information, dels fiska ut data från verksamheten.
– Första upptäckten gjordes på onsdagskvällen. Vi kopplade då bort och isolerade den utsatta maskinen från nätverket, men upptäckte på torsdagsmorgonen att viruset ”lagt ägg” som spridit sig till hundratals datorer. I sju dagar arbetade vi dygnet runt, berättar han.
Hur spreds attacken i ert system?
– Den kom in genom Microsoft Outlook, när en medarbetare klickade på ett phishingmejl, och spreds sedan till andra Windowsdatorer och Microsoftsystem. Spridningen tog bara två timmar. Även om vår brandvägg såg till att det inte läckte data hade vi det kämpigt. Våra inre kärnsystem var attackerade och hela vår klientpark slogs ut. Även de kommunala skolverksamheterna och deras Chromebooks stoppades inledningsvis.
Kallade ni in extern hjälp?
– Det fanns inte tid att lämna över allt till en extern aktör, utan vår drift- och it-personal arbetade dygnet runt. Vi har ett avtal med ett säkerhetsföretag som agerade som en övervakare – en ”second opinion” som såg till att vi inte tog beslut som förvärrade situationen. Vi kontaktade även MSB och CERT-SE.
Lidingö stad lyckades denna gång stoppa angreppet och hann inte få några krav på eventuell lösensumma. Ståndpunkten inför framtida ransomwareattacker är dock att kommunen aldrig ska betala sig ur liknande situationer.
– Vi har rutiner för hur vi ska gå tillväga vid en attack. Det är viktigt att säkra våra back-up-system och på så sätt inte vara beroende av det material som hackarna kan tänkas komma över, säger Per-Johan Gelotte.
Att som enskild medarbetare ha råkat orsaka en attack kan vara traumatiserande. Hur tog ni hand om personen som öppnade det infekterade mejlet?
– För att inte skapa onödig belastning och skuld bestämde vi oss för att inte avslöja för hen eller andra i organisationen vem som var ”patient zero”. Vi har informerat alla om vad som hände, vilket gjorde att vi i början såg en hög grad av överanmälningar. Många var rädda för att orsaka en ny attack.
Vilka lärdomar har ni tagit med er?
– Tidigare var vi lite naiva vid upphandlingar. Vi köpte en molntjänst och förlitade oss på att allt var säkert, men nu ställer vi med hjälp av informationssäkerhetsklassificeringsverktyg hårda krav som leverantörerna måste uppfylla. Rent tekniskt är det viktigt att ha automatiserade processer som genomför första isoleringssteget av en utsatt enhet.
Tidigare var Lidingö stad också ”lite väl öppna” för hemelektronik, exempelvis Google Home-prylar och diverse streamingenheter, tillstår Per-Johan Gelotte. Deras krav på öppna miljöer var dock ett av skälen till att virusangreppet fick så snabb spridning.
– Under attacken såg vi hur värdefullt det är med alla dokument, rutiner och krishantering som vi och kommunen har tagit fram. Det vore en katastrof för en redan stressad organisation om personalen var oense om hur de ska gå tillväga. Nu visste alla vilka steg som skulle genomföras och hur vi skulle benämna saker.
LÄS MER: Utpressningattackerna eskalerar - ”Människoliv i vågskålen”.
– Tack vare våra rutiner kunde vi koncentrera oss på vårt uppdrag och annan personal i kommunen ansvarade för kommunikation, krishantering och att förse oss med mat. I efterhand har vi även insett vikten av att ha kunnig och engagerad it-personal som är så tillfreds med sitt jobb och arbetsgivaren att de jobbar övertid för att lösa en sådan här kris, berättar Per-Johan Gelotte.
Många kommuner och regioner vill inte berätta att de har utsatts för en attack. Varför är ni så öppna?
– Det är viktigt att utvärdera vad som hänt och dela information. Som offentligt finansierad verksamhet, som dessutom har blivit utsedd till Sveriges digitaliseringskommun, ser vi det som en skyldighet att dela med oss av kunskap och erfarenheter.
Bland annat har Per-Johan Gelotte föreläst på MSB:s säkerhetsdag och tidigare i år medverkade han på en informationssäkerhetsutbildning för offentlig sektor.
Och hans budskap är tydligt:
– Ransomwareattackerna kommer inte att upphöra. Frågan är inte om det sker utan när det sker. Då måste vi alla vara så väl förberedda som det går.
LÄS MER: Robotattack lamslog bostadsbolaget: ”Ryckte ut sladdarna”.
Steg för steg – när hackarna slår till
■ Betala aldrig lösensumma. Det finns inga garantier att system återställs eller filer dekrypteras.
■ Isolera smittade enheter.
■ Anmäl händelsen i ett tidigt skede. Polisanmäl och incidentrapportera till myndigheter efter bedömning av incidentens art, enligt NIS-direktivet eller säkerhetsskyddslagen för säkerhetskänslig verksamhet.
■ Vid behov, sök stöd i incidenthanteringen av myndigheter, säkerhetsföretag etc. MSB/CERT-SE ger stöd och råd till drabbade vid it-incidenter. Flera offentliga verksamheter har upphandlade avtal med säkerhetsföretag som bistår med rådgivning inför, under och efter en attack.
■ Säkerställ att angreppet är åtgärdat och att angriparen inte har fortsatt tillgång till it-miljön genom behörigheter och/eller skadlig kod i systemet.
■ Innan återställning sker, säkerställ att säkerhetskopiorna inte också har drabbats.
Källa: MSB
Så förebygger ni ransomwareattacker
Råd till chefer
■ Ge it-personal förutsättningar att göra sitt jobb. Vid kriser eller andra långvariga störningar väljer många verksamheter att inte genomföra utveckling och underhållsarbeten i normal omfattning, vilket utnyttjas av angriparna.
■ Se till att medarbetarna har tillräcklig utbildning gällande säkerhet för att kunna agera rätt.
■ Informera om problemet. Gör medarbetarna medvetna om riskerna med ransomware och att just hälso- och sjukvårdssektorn är särskilt utsatt. Lär medarbetarna uppmärksamma misstänkt e-post.
Inför rekommenderade säkerhetsåtgärder. Genom att höja den generella säkerhetsnivån ökar motståndskraften mot många cyberhot.
■ Planera och öva inför ett helt eller delvis bortfall av it-miljön. Vid ett lyckat cyberangrepp kan det ta veckor eller månader att återfå kontrollen. Försök minska den påverkan ett så långt bortfall kan ha på verksamheten.
■ Håll incidenthanterings- och kontinuitetsplaner uppdaterade samt öva organisationen i att hantera incidenter.
■ I rapporten ”Cybersäkerhet i Sverige – rekommenderade säkerhetsåtgärder” har flera myndigheter lämnat gemensamma råd om vilka åtgärder som rekommenderas att införa. Fler råd finns på informationssakerhet.se
Råd till it-personal
■ Gör en översyn över säkerhetslösningar och tjänster som organisationen nyttjar, samt aktivera tillgängliga säkerhetsfunktioner (bland annat antivirus – även på servrar).
■ Tillåt endast att godkända program används, med hjälp av exempelvis Applocker (i Windows-miljöer).
■ Aktivera SPF och DMARC-policy i e-postsystemet för att försvåra för angripare att imitera legitima användare.
■ Implementera lösningar som kan identifiera och blockera skadliga länkar och filer i e-post samt en lösning som kan blockera åtkomst till skadliga hemsidor och IP-adresser för användarna.
■ Aktivera flerfaktorsautentisering där det är möjligt. Detta förhindrar en angripare att återanvända stulna inloggningsuppgifter, vilket är särskilt viktigt för system för fjärranslutning.
■ Fler råd finns i rapporten ”Öka motståndskraften mot ransomware” från MSB.
Källa: MSB