It-säkerhet

”Vi ska vara bäst i världen på att tillvarata digitaliseringens möjligheter.”

”När man kopplar ihop system ökar man attackytan.”

Så många regioner och kommuner i Sverige uppger att de varit utsatta för en eller flera misstänkta it-attacker det senaste året.

150 kommuner drabbades i angrepp mot företag.

Kommuner har efterfrågat nationella rekommendationer om den kinesiska appen Tiktok – men ser ut att få hantera frågan själva.

Succé-tv-serien ”Arga ux-designern” är tillbaka! Den här säsongen får vi bland annat möta de gråtande tågoperatörerna, de glada hemtjänstarna, de miss-belåtna kattägarna och den där ministern för digitalisering... vad var det nu han hette igen?

I höstas upptäcktes att mängder av patientuppgifter låg osäkert lagrade i Region Uppsalas molntjänst för e-post. Nu har Integritetsskyddsmyndigheten (IMY) inlett en granskning.

Ett tiotal fall av bedrägeri har polisanmälts av Region Dalarna. Personerna har uppgett sig vara från regionen över telefon och lurat äldre på pengar.

Politiken är till stor del frånvarande när offentlig sektor digitaliseras.

Dagens Samhälle rankar 30 makthavare på tunga poster eller med stark informell påverkan.

Även den som rattar supersofistikerad medicinsk utrustning varje dag behöver über-f*cking-enkla system för sådant som ger mindre tydlig användarnytta.

Flera skjutningar låg bakom Eskilstunas senaste stabsläge. Norrköping tog efter ett massivt it-angrepp till samma åtgärd före jul. Erfarenheterna från pandemin har bidragit till att göra båda kommunerna mer snabbfotade.

Polisens problem handlar inte om resurser utan förmågan att prioritera, anser SD. Bygga långsammare kan vara bra för klimatet, hävdar professor. Gudrun Schyman vill se fredsförhandlingar med Putin. Dagens debatt handlar också om tågtrafik, cybersäkerhet och grön industri.

Det kan vara svårt att se vilka mejl som är bluff. Det fick kommunanställda i Södertälje erfara när säkerhetsavdelningen genomförde ett test.

Personuppgifter kan vara på vift efter cyberattacken mot Mörbylånga och Borgholm den 12 december.
– När det kommer till informationssäkerheten måste vi omvärdera saker och ting, säger Mörbylångas kommundirektör Ann Willsund till Barometern.

It-attacken mot Mörbylånga kommun gör att politikerna får återgå till papper, penna och handuppräckning på måndagens kommunfullmäktige, rapporterar Ölandsbladet.

Konsekvenserna för Borgholm och Mörbylånga är fortfarande kännbara efter måndagens it-attack. Grannkommunerna räknar med att systemen är i gång igen på måndag och konstaterar att något uppenbarligen måste ha brustit i säkerheten. ”Hotet är på riktigt”, varnar Säpos pressekreterare.

Mörbylånga kommun på Öland saknar tillgång till internet och e-post efter någon form av it-attack under måndagskvällen, som även drabbade grannkommunen Borgholm.

Ryssar kan ligga bakom den it-attack som slagit hårt mot Norrköpings kommun. ”Det finns starka indikationer på det”, säger Marcus Murray, på cybersäkerhetsbolaget Truesec, till P4 Östergötland.

En pågående it-attack gör att Norrköpings kommun är i stabsläge. Kommunens anställda förbereder sig nu på att kunna gå över från dator till att arbeta med papper och penna.

På Dagens Samhälles seminarium Digitalisering i offentlig sektor fick publiken möjlighet att ställa frågor till föreläsarna. Här har vi samlat några av frågorna och föreläsarnas svar. De har bland annat svarat på:
• Toppstyrning eller lokal styrning – vad är bäst för digitaliseringen?
• Hur kan kommuner samarbeta mer konkret?
• Vilka är riskerna med att använda amerikanska molntjänster?
• Hur bemannar man agila team?
• Hur kan kommuner samverka kring öppen källkod?

Norrköping kommun har fått indikationer på att dess it-system blivit måltavla för en it-attack.

Som skolsekreterare jobbar Eva i tjugoen olika digitala tjänster. Hur hon löser det? Ett block intill datorn med alla lösenord i klartext, förstås.

Två personer är skäligen misstänkta för hackningen av lärplattformen Vklass i augusti, då tiotusentals elevers personuppgifter stals, rapporterar Göteborgs-Posten.

Hallå där Reine Sundqvist, informationsansvarig på Kalix kommun, som får Publikoms kommunikationspris Megafonen för kommunens ”transparenta och trovärdiga” hantering av it-attacken i fjol.

En anställd inom Västra Götalandsregionen har skickat ut listor över säkerhetsklassad personal via en okrypterade mejl.

Krishantering hela helgen. Det blev det för Göteborgs grundskoleförvaltning efter att 47 000 personuppgifter om elever läckt från skolplattformen Vklass.
”Det är allvarligt när information läcker om minderåriga”, säger säkerhetsexperten Anne-Marie Eklund Löwinder som ger kommuner ett gott råd.

Region Sörmland publicerade förra året ett Facebookinlägg med syftet att få fler unga män att vaccinera sig mot covid-19. Nu får regionen bakläxa av Justitieombudsmannen, något SVT Nyheter var först att rapportera om.

Valmyndigheten har haft stora teknikproblem under valkvällen. Bland annat har myndigheten utsatts för flera överbelastningsattacker.

Hon jobbar alltid med ”worst case”, och vill att samhällsviktig verksamhet inte bara har en plan B, utan även C och D. Camilla Asp är överdirektör på MSB och fullfjädrad prepper: ”Vi ska göra samhället redo för krig och måste klara otroligt tuffa förhållanden.”

Beredskapen för it-attacker är sämre i offentlig sektor än i näringslivet enligt en ny rapport. It-strategen Richard Sjöstrand varnar för att snabb digitalisering kan göra kommuner och regioner sårbara.

Här en liten ordlista med förklaringar till några vanliga it-termer, som gris, häst och ko(stig). Ta det lugnt i sommar!

Regeringen lägger 900 miljoner på ny bas för Sveriges cyberförsvar i ett paket för att stärka landets digitala motståndskraft.
– Sårbarheten i samhället ökar, säger finansmarknadsminister Max Elger (S) vid en pressträff.

Digitaliseringen i offentlig sektor går för långsamt – och det hotar säkerheten. Det konstaterar en rad tunga namn i en ny rapport som bland annat föreslår en ”lex Kalix” för att förebygga it-attacker.

I ett dygn fanns inte Maria Henriksson. Det är så hon beskriver det. Kalix kommundirektör blev ansiktet utåt för linjen att svenska kommuner inte ska betala lösensumma till hackare – då attackerades hennes privata konton. Nu berättar hon om lärdomarna, råden till andra och hur man som chef sprider lugn med kniven mot strupen.

Antalet angrepp av obehöriga som försöker komma åt personuppgifter ökade i kommuner och regioner i fjol. Nu måste riskerna tas på allvar enligt Integritetsskyddsmyndigheten (IMY), som under 2021 också bötfällt en region och inlett tillsyn mot SKR för misstänkta brister i dataskyddet.

År 2022 förekommer fortfarande faxar i svensk sjukvård. Varför har inte digitaliseringen kommit längre? Daniel Forslund, L-politikern som blivit utvecklingsansvarig på Vårdföretagarna, har länge följt frågan och har analysen klar.
• Misstagen som sinkar regionerna.
• Forslunds ögonsten: en regional vårdapp.
• Största besvikelsen efter SKR-åren.

Övertorneå kommun har drabbats av ett it-bedrägeriförsök. Mejl som ser ut att komma från kommunens socialchef har skickats ut till kommuner runt om i Sverige.

Hallå där! Maria Henriksson, kommundirektör i Kalix som på Tech Awards 2022 just fått pris som årets mest inflytelserika person inom tech.

Energipolitiken har varit i fokus för helgens debatt. Även flyktingfrågan och ett svenskt Natomedlemskap debatteras i spåren av Rysslands invasion av Ukraina.

Region Dalarna går ur stabsläget efter att stora delar av de telefoni- och it-system som under måndagen drabbades av allvarliga störningar nu åter är i normal drift, skriver regionen på sin webbsida.

Civilbefolkningen flyr och skräcken sprider sig. I en rapport från MSB beskrivs vad räddningstjänsten bör förbereda sig på vid ett angrepp.

Dagen före internationella kvinnodagen handlar flera debattartiklar om vård av kvinnor och våld mot kvinnor. Rysslands krig i Ukraina präglar också debatten.

Kommuner kan vara beroende av ryska eller ukrainska it-företag – utan att veta om det. Så bör de agera för att skydda sig, enligt expert på Myndigheten för samhällsskydd och beredskap.

Sveriges länsstyrelser och kommuner ser över beredskapen efter Rysslands invasion av Ukraina. Det finns en risk för cyberattacker, påverkanskampanjer och informationskrigföring. ”Alla inser stundens allvar”, säger Västerbottens länsråd.

Regionpolitikern Björn Nurhadi (SD) överklagar Region Blekinges beslut att förlänga avtalet om molntjänster med Microsoft. Enligt regionstyrelsens ordförande Lennarth Förberg (M) har man inget val trots att tjänsterna riskerar att bryta mot GDPR.

Här är några av svaren från DS enkät där 116 kommuner har tyckt till om hur de ser på molntjänster, vilka regler de har i dag och vad de tror om framtiden.

SKR:s digitaliseringschef Patrik Sundström kommer med några goda råd till kommuner som står inför investeringar i molntjänster.

Den juridiska osäkerheten kring molntjänster skapar två läger. DS kartläggning visar hur kommunernas strategier ser ut.
• Lilla Edet lanserar egen lösning: ”Blir ett smörgåsbord”
• Besvikelse i Västerås: ”Gårdagens lösningar”
• Kommuner känner sig övergivna – kritiserar staten

Med rätt rutiner och förberedelser minskar risken för störningar. Här är MSB:s råd för att undvika it-kollaps.

När digitaliseringen skyndas på är det dags att politiker och tjänstemän lär sig begrepp som ”förändringshantering”, ”informationstillgångar” och ”digitala leveranskedjor”. Det anser MSB:s expert som vägleder till säkra it-system.
• Systemfel och misstag bakom de flesta incidenterna
• Så pareras riskerna
• Billigt säkerhetsarbete: ”Mycket går att effektivisera”

Om digital utveckling ska lyckas måste alla få vara med. Och ingen får vara rädd för att göra fel. Det säger Diggs generaldirektör Anna Eriksson, som vill skapa en ny kultur i offentlig sektor.
Anna Eriksson om:
• It-attacken mot Kalix
• Molntjänster
• Öppen källkod

För att få ett välfungerande civilt försvar med god krisberedskap kommer det att ställas ytterligare krav på kommuner och regioner. Men regeringen ger dem inte det stöd som behövs, skriver riksdagsledamoten (M) Alexandra Anstrell.

Notan för it-attacken i Kalix ligger i nuläget på 2,5 miljoner kronor. Merparten av pengarna har dock använts för investeringar i it-säkerhet som tidigarelagts.

Kalix sliter fortfarande med att återställa it-systemen efter den massiva utpressningsattacken – arbetet beräknas ta upp till två månader. Och kommunen kan tvingas tredubbla sin budget för cybersäkerhet.

Jönköpings kommuns it-avdelning går upp i stabsläge med anledning av utpressningsattacken mot Kalix kommun.
Kalix är fortfarande hårt drabbat av angreppet. Kommunen skriver på sin hemsida att den inte har kunnat betala fakturor på flera dagar.

I början av 2022 ska ett nytt system för säker digital kommunikation i offentlig sektor finnas på plats. Förhoppningen är att faxens dagar därmed ska vara räknade.

Kommuner och regioner är populära mål för hackerattacker – men negligerar risken. Det menar it-säkerhetsexperten Anne-Marie Eklund Löwinder som hyllar Kalix krishantering. ”Man ska räkna med att det händer – förr eller senare.”
• Därför gjorde Kalix rätt enligt experten
• Tre saker som förstärker it-skyddet

Lugnt och metodiskt. Så hanterar Kalix utpressningsattacken som fortfarande pågår. It-chefen råder andra kommuner att öva på cyberangrepp – att snabbt kunna ställa om mentalt är viktigt när hackare slår till.

Västra Götalandsregionen har den senaste veckan jobbat i en krisorganisation för att hantera ett globalt it-säkerhetshål. Det mest kritiska hotet är avvärjt, men risken för störningar kvarstår. ”Vården har informerats”.

Felsökningen efter it-attacken fortsätter i Kalix, men någon prognos för när systemen kan vara igång igen finns inte. Nu ser det dock ut som att decemberlönerna blir rätt.

Kalix är fortsatt hårt drabbat av utpressningsattacken som natten till torsdagen slog ut kommunens it-system. Prognos saknas för när angreppet kan vara avvärjt – det kan ta veckor innan allt är återställt.
Hackarna kräver en lösensumma, men den kommer kommunen inte att betala.

Kalix har drabbats av en allvarlig hackerattack som just nu lamslår kommunens verksamhet. Någon har även skickat krav på lösensumma. ”Vi är i krisledningsläge”, konstaterar kommundirektören Maria Henriksson.

Kommuner, myndigheter och regioner måste påbörja processen att bryta sig loss från lagvidriga amerikanska molntjänster – ju längre de väntar desto dyrare blir det, hävdar it-experten Fia Ewald. Men ska det ske måste regeringen ge stöd och SKR lyfta huvudet ur sanden.

I alla kommuner utom en har elever utbildats i cybersäkerhet. Nu går projektet ”Är du säker?” vidare med målet att trygghet på nätet och kunskap om digital teknik ska bli en del av alla skolämnen.

I näringslivet blir det allt vanligare att teckna försäkringar mot cyberattacker. Men även kommuner och regioner kan skydda sig på samma sätt.

Samma år som Lidingö knep titeln Sveriges digitaliseringskommun utsattes man för en omfattande ransomwareattack. Sedan dess har stadens it-arkitekt delat med sig av sina erfarenheter för att hjälpa andra i samma sits.

Tisdagen den 7 september utsattes Bostäder i Borås för en ransomwareattack. Kommunikatör Malin Hellstrand berättar om attacken som lamslog kommunens största hyresbostadsbolag i flera veckor.

De flesta kommuner har drabbats. Enligt uppgift även hälften av regionerna. Ransomwareattackerna ökar explosionsartat och utomlands har angrepp mot vårdsektorn fått dödlig utgång. Men det går att skydda verksamheterna.

EU har storslagna digitaliseringsplaner och i dessa förväntas regionerna spela en huvudroll. I Sveriges ligger flera regioner i startgroparna för att få bli en digital innovationshubb. De hoppas att glesbygden ska spela en viktig roll för digitaliseringen.

Efter varningarna om molntjänster som inte lever upp till lagens krav ska en lista på tjänster som är säkra att använda i offentlig sektor nu tas fram. Ett tjugotal kommuner och regioner deltar i arbetet. ”För varje dag ökar utmaningen med att hålla våra gamla plattformar säkra”, säger Ingela Lidén, förvaltningschef i Region Skåne.

Stockholm, Sörmland och Värmland tvingas böta totalt 1 miljon kronor efter incidenten där inspelade samtal till 1177 legat ute på nätet. Medhelp, som skötte samtalen åt regionerna, får hela 12 miljoner kronor i böter.

Nu har SKR:s inköpsorganisation satt ned foten: Larmoperatören Tunstall utesluts från kommande stora ramavtal, som nyttjas av flertalet av landets kommuner. ”Vi är besvikna”, säger bolagets vd som överväger överprövning.

Genom statistikverktyget Google analytics har Ockelbo av misstag spridit information om dem som besökt hemsida och intranät. Kommunen har nu slutat använda verktyget.

Upprepade it-attacker mot Region Gotland har orsakat problem både vad gäller distansarbete och information till invånare. ”Kostnaderna kommer definitivt att sluta i miljonbelopp”, säger regionens digitaliseringsdirektör Anders Granvald.

Alingsås drabbades av en it-attack under tisdagen. I närtid har även Filipstad och Ljungby drabbats. – Se till att vara förberedd, är budskapet till Sveriges kommuner från Anne-Marie Eklund Löwinder, säkerhetschef på Internetstiftelsen.

Sekretessbelagda uppgifter på åktur i kollektivtrafiken, samtal som lätt kan avlyssnas och ökad risk för våld och hot. Förra veckan varnade FRA för bristande it-säkerhet vid hemarbete – men det är inte bara på nätet som offentliganställda lever farligt.

Tiotusentals offentliganställda jobbar på distans under pandemin – trots att det medför stora säkerhetsrisker. Enligt FRA ökar arbete i hemmet risken för dataintrång och skadliga angrepp riktade mot kommuner och regioner.

Bättre uppföljning och tydligare ansvar. För regionerna Stockholm, Sörmland och Värmland blev 1177-läckan och den undermåliga säkerheten kring miljontals patientdata en väckarklocka. ”När en sådan här sak händer får alla upp ögonen för de brister som kan ha funnits tidigare”, säger Daniel Forslund (L) biträdande regionråd.

För att veta vad som är rätt, och för att göra för samhället gemensamma risk- och sårbarhetsanalyser är en it-haverikommission ett effektivt verktyg, skriver Niels Paarup-Petersen, riksdagsledamot med ansvar för digitala frågor (C) i en slutreplik.

Problemet med undermålig it ligger sällan i att vi inte vet hur vi bygger säkra lösningar, utan att det inte görs när man utvecklar myndigheters it-system. Frågan är därför vad en haverikommission skulle kunna visa som vi inte redan vet, replikerar Greger Wikstrand.

Inom it finns det i motsats till många andra områden inget etablerat system för att ta reda på vad som har lett till att samhällsviktiga system fallerar eller varför incidenter inträffat. Därför bör det etableras en it-haverikommission som kan ta reda på vad som hänt i samband med incidenter, skriver Niels Paarup-Petersen (C) tillsammans med flera it-experter.

DDoS-attackerna blir färre, men värre. Det enda sättet att möta hotet effektivt är genom att dela information mer, skriver Mikael Westerlund CTO, IP-Only.

Polisen ska ha befogenheter, metoder och material för att utreda brottslighet. Men det förslag om hemlig dataavläsning som nu läggs fram är direkt skadligt - för medborgare, företag och det offentliga. Rättssäkerhet och cybersäkerhet måste garanteras, skriver Piratpartiets tillträdande partiledare Katarina Stensson.

Ett statligt monopol är ingen garanti för säker IT-drift. Det är snarare ett hinder för innovationer och effektiv användning av resurserna, skriver Åsa Zetterberg, IT&Telekomföretagen.

Stockholms nya skoladministrativa system har säkerhetsbrister. Det är inte första it-skandalen, och inte heller den sista, säger it-säkerhetsexperter som menar att kommunerna måste bli bättre att upphandla it-system.

Just nu pågår en diskussion om vad olika aktörer har för uppfattning när det gäller molntjänster och rättsliga frågor. Det finns en risk att det blir en debatt om debatten, i stället för fokus på grundproblemen.

I digitaliseringens tidevarv där medborgare förväntas använda allt fler tjänster, utan att ha något val och utan möjlighet att förvissa sig om att tjänsterna fungerar som de ska, finns inte plats för några större misstag. Det skriver Internetstiftelsens säkerhetschef Anne-Marie Eklund Löwinder, apropå rapporteringen om nya säkerhetsbrister i Skolplattformen.

Visst finns det risk för olovlig spridning av personuppgifter om det offentliga använder amerikanska molntjänster. Precis som eSam har påtalat, skriver Amelia Andersdotter.

Lagen om upphandling gör att myndigheters inhyrda it-säkerhetsexperter handlas upp på pris, som spik och bräder, utan kvalitetsbedömningar.

Både privata och offentliga leverantörer av samhällsviktiga tjänster måste leva med att incidenter som 1177-läckan inte är organisationens interna ensak. Det är en självklarhet att de både ska redovisas och analyseras, slutreplikerar informationssäkerhetsexperten Fia Ewald.

I Region Stockholm har arbetet med informationssäkerhet pågått sedan länge, just därför kunde vi agera snabbt så snart säkerhetsbristen kring 1177 kom till vår kännedom, replikerar Daniel Forslund (L) ordförande för innovations- och utvecklingsutskottet.

Det är direkt kontraproduktivt att hudflå organisationer som är publika med sina informationssäkerhetsbrister. Det riskerar bara att leda till att fler hemlighåller sina incidenter för att undgå kritik, replikerar SKL:s Jenny Birkestad och Fredrik Lennartsson, som efterlyser experter som bidrar med konstruktiva råd så att fokus i stället läggs på förbättringar och lösningar.

Ledande företrädare för vården saknar antingen sjukdomsinsikt eller är helt ointresserade av det alarmerande läget som 1177-rapporten beskriver. Det skriver informationssäkerhetsexperten Fia Ewald, som har läst Region Stockholms 14 sidor tunna granskningsrapport om 1177-skandalen.

Nu räcker det med bakåtsträvande och skrämselpropaganda som hindrar den ändamålsenliga, kostnadseffektiva och säkra digitaliseringen av det offentliga Sverige. Det är solklart att även svenska myndigheter kan och ska dra nytta av datormoln.

Efter 1177-skandalen är det viktigt att gå till botten med grundproblemen. Kommunalisering, privatisering och fler regionsamarbeten har alla bidragit till dagens otydliga ansvar för informationssäkerheten i vården. Och vad SKL gör är inte lätt att veta, skriver Fia Ewald, informationssäkerhetsexpert.

Ny lagstiftning ställer krav på leverantörer av samhällskänsliga tjänster inom hälso- och sjukvård att anmäla sig till Inspektionen för vård och omsorg. Men få anmälningar har kommit in.

Läckan av inspelade telefonsamtal hos Medhelps underleverantörer har satt fokus på personuppgiftsbehandlingen i hela 1177 Vårdguiden. Datainspektionen meddelade på torsdagen att de inleder en tillsyn även mot bolaget Inera.

Potentialen att förbättra samhällsservicen med hjälp av digitala tjänster är stor. Men digitaliseringen får inte ske på bekostnad av Sveriges säkerhet, samhällets funktionalitet eller individens integritet, skriver företrädare för Myndigheten för samhällsskydd och beredskap (MSB).

Google och Microsoft kan i dagsläget inte komma på fråga vid upphandling av webbaserat kontorsstöd. Därmed faller möjligheten att få till ett ramavtal, konstaterar Statens inköpscentral.