I januar ble Østre Toten kommune utsatt for et dataangrep fra en internasjonal hackergruppe. Skadene har hittil kostet over 32 millioner kroner å reparere, og nå viser en fersk rapport at det var en rekke svakheter knyttet til IKT-sikkerheten i kommunen. Østre Toten kommune håper at deres åpenhjertighet kan være forebyggende for andre.
Ifølge den eksterne rapporten som ble utført av KPMG, er det lite som tyder på at IKT-sikkerheten i Østre Toten var noe dårligere enn i andre kommuner på samme størrelse. At det generelt er dårlig datasikkerhet i Kommune-Norge vitner om at det er mange som har noe å lære av hendelsen.
I podkasten Sikkerhetsbruddet, fra HP Norge, forteller nå kommunedirektør i Østre Toten, Ole Magnus Stensrud, åpenhjertig om hackerangrepet som rammet dem.
– Internasjonale kriminelle aktører står bak. De hacket seg inn på våre servere, krypterte dataene og slettet back up-systemet, forteller Stensrud.
Lørdag kl. 10.00 den 9. januar ble det satt krisestab i Østre Toten. Hele datasystemet hadde gått i svart, og kommunen var satt ut av spill, rent teknologisk.
– Jeg gikk tidlig ut og sa at dette vil det ta et halvt år å fikse. Men konsekvensene; de tok det lengre tid før jeg skjønte omfanget av, sier han.
Vil dere ha systemet tilbake, må dere betale
Hackerne etterlot en beskjed til kommunen om at hvis de ønsket dataene sine tilbake igjen, måtte de gå med på forhandlinger. Kommunedirektøren forteller at dette ikke var aktuelt på noe tidspunkt, og at de heldigvis fant en alternativ løsning.
– Vi fant raskt ut at vi hadde en database kopi av serverne som gjorde at vi kunne gjenopprette rådataene våre. Vi har faktisk greid å vaske og få tilbake all data vi hadde i over 200 systemer, sier Stensrud, og legger til:
– Likevel måtte vi bygge opp den digitale infrastrukturen på nytt, og vi var nødt til å installere og oppgradere all programvare.
Kan ramme alle når som helst
Roar Thon fra Nasjonal sikkerhetsmyndighet er en av ekspertene i podkast-episoden. Han forteller at angrepet dreier seg om et såkalt «ransomware». Altså at hackerne tar kontroll over hele datasystemer og deretter forsøker å selge disse tilbake til organisasjonen.
– Dette skjer med norske bedrifter hver dag. Og har det ikke skjedd med din bedrift enda, er det sannsynligvis fordi sikkerhetssystemet har forhindret det. Vi skryter veldig lite av sikkerhetssystemene, men de stopper tusenvis av dataangrep hver dag, sier Thon.
Sikkerhetsekspert i HP, Tor Petter Abrahamsen, er enig med Thon om at norske bedrifter utsettes for dette daglig. Han mener altfor få bedrifter gjør de nødvendige tiltakene for å hindre angrep.
– Dette er ingen overraskelse. Dette kan skje hvor som helst og når som helst. Det viktige er at vi får frem slike saker, oppmerksomhet rundt dette kan bidra til å sette IT-sikkerhet på agendaen. Derfor synes vi i HP det er viktig å gi honnør til Østre Toten kommune, og Stensrud, for at de deler sine erfaringer. Det er i mange tilfeller altfor lett å si «ingen kommentar», men da lærer vi heller ingen ting av det, sier Abrahamsen.
Fant informasjon på det mørke nettet
Kommunedirektør Ole Magnus Stensrud, forteller at de i ettertid har funnet stjålet informasjon fra kommunen på det mørke nettet. Østre Toten har nå innført flere nye omfattende tiltak for å bedre IT-sikkerheten.
– Nå overvåker vi alle systemer, klienter og servere, og iverksetter tiltak ved unormal aktivitet. I tillegg har alle våre brukere fått både to-faktorautentisering og opplæring, sier han.
Svei i lommeboka
Ifølge kommunedirektøren har det hittil kostet over 32 millioner kroner å rette opp i problemene som oppsto fra angrepet. Utgiftene beløp seg til konsulenter, oppgradering av all programvare samt ekstra dataovervåkningstiltak. HPs IT-ekspert Abrahamsen hevder at det å investere i IT Sikkerhetsløsninger vil betale seg i forhold til den risiko man står ovenfor, og som eksempelet fra Østre Toten tydelig viser.
– Vi ser at mange virksomheter i Norge ikke viser vilje til i høy nok grad å gjøre proaktive investeringer i både kompetanse og teknologi, sier Abrahamsen
Et tilfeldig offer
Selv om kommunen i all hovedsak er kvitt datatrøbbelet i dag, kan ikke kommunedirektøren legge saken helt bak seg ennå. De har nemlig fortsatt ett problem i Østre Toten kommune.
– Ladestasjonen utenfor rådhuset virker ennå ikke siden det var koblet opp mot nettverket. I tillegg var det flere døralarmer som ikke funket tidligere. Et digitalt økosystem er ganske omfattende og vi er sårbare, sier Stensrud.
Stensrud hevder at Østre Toten var et tilfeldig offer, og tror ikke hackerne engang var klar over at de rettet angrepet mot en kommune.
– Det forteller noe om trusselbildet, og hvor viktig det er å ta IT-sikkerhet på alvor når en kommune i Norge kan bli angrepet av en kriminell bande, avslutter han.
Hele historien om Østre Toten kommune kan du høre i den nye podkasten «Sikkerhetsbruddet», laget av HP Norge. I episode 2, som ble publisert 2. september, er det Schibsted som forteller om da over 20 000 profiler kom på avveie, og i episode 3, som kommer i september, får vi et helt unikt innblikk i jobben Kripos gjør når vi får komme på besøk til Nasjonalt Cyberkrimsenter.
