Government

Det har gått tolv veckor sedan Kalmar kommun drabbades av en ransomwareattack signerad Akira. Runt hälften av systemen slogs ut men sedan en tid är nästan allt uppe igen.

Fortfarande kvarstår dock problem med ett övergripande system för registrering av diarieföring av handlingar och  nämndadministration där filerna har krypterats vilket innebär att ungefär tolv års arbete inte går att komma åt. 

– Där jobbar vi med att få tillbaka handlingarna via alternativa vägar, säger digitaliseringchefen Niklas Hörling. 

Dessutom pågår nu efterarbetet i flera verksamheter där man fått arbeta manuellt med papper och penna och det nu ska läggas in i it-systemen. 

– Exempelvis så har rapportering kring extratid och ledigheter fått skötas manuellt och det ska nu jobbas in i systemen. 

Även på it-sidan finns en backlog konstaterar it-chefen Anna Stålbrand Sund. 

– Vi behöver komma ifatt med saker som skulle ha gjorts som vi inte hann med. Som uppdateringar av system. Men vi har inga fler återstarter kvar, säger hon. 

Drog alla sladdar

Cyberattacken upptäcktes klockan 6.20 den sjätte februari när Kalmars kommundirektör hörde av sig till Anna Stålbrand Sundh och sa att systemen låg nere. Kort därefter stod det klart att det inte bara handlade om nätverksproblem utan att det handlade om en cyberattack. Och sedan gick det snabbt. 

– Vi drog alla sladdar för att stoppa aktören bakom attacken, kontaktade säkerhetssamordnare, satte upp en krisledning och samlade incidentteamet på it-avdelningen och kontaktade också externa experter, säger hon. 

Parallellt satte krisledningsstaben igång sitt arbete, klockan 9.00 hade stabschefen samlat den till möte. 

Delade ut nya lösenord

Sedan började arbetet på it-sidan omedelbart – i första hand handlade det om att få upp allt som gick och få en ren miljö på plats. Först av allt fick man upp ett nytt Active Directory och sedan fick alla nya lösenord. Det handlade om nya lösenord till de runt 8 000 medarbetare som är anslutna till systemen – runt 6 500 i kommunen och till det kommer medarbetare i kommunala bolag, kommunförbund samt 400-500 externa personer. 

– Niklas fick ansvaret att vara kontaktpunkten in mot it-organisationen. Vad händer och vad behövs. Sedan har vi olika kompetenser i krisorganisationen. 

Bland det första på agendan handlade om hur det inträffade skulle kommuniceras ut. I och med att intranät, mejl och Teams låg som molntjänster var de dock opåverkade av attacken och kunde fortsätta användas. Men eftersom de låg externt så kunde de inte användas för att skicka ut lösenorden – det gjordes i stället via myndighetspost. De medarbetare som inte hade det fick hanteras individuellt.

Betala var uteslutet

Redan i starten stod det klart att det var Akira som låg bakom attacken. De hade lämnat filer med sitt namn och kontaktuppgifter men inga exakta krav. Men att betala lösesumma var aldrig ett alternativ. 

– Nej, inte en sekund, det kom inte ens på tal, säger Niklas Hörling. 

Det finns heller inga tecken på att hackarna kommit över några uppgifter – man har varken sett några sådana spår internt eller hittat något publicerat på darknet.

– Men det här är ju polisanmält och både vi och de håller koll på sådant. 

Koll på alla system

De senaste två åren har Kalmar lagt extra medel på att höja it- och informationssäkerheten och en del av det arbete som gjorts sedan dess underlättade när attacken kom. 

– Det viktigaste var att vi hade en samverkansmodell på plats där vi hade koll på alla system. Vi hade också utsett en ansvarig för varje system – ända ner till de minsta – så vi visste vem vi skulle kontakta för att verifiera systemen, säger Anna Stålbrand Sundh. 

Och Niklas Hörling håller med. 

– Det gjorde återstartsprocessen hundra gånger snabbare. 

Priolista på plats

För ett par år sedan skapade man också  en priolista där det var tydligt i vilken ordning som olika delar skulle tas om hand. Och det visade sig guld värt. 

– Det hade vi inte velat lägga tid på under brinnande kris – då vill man inte gå till förhandlingsbordet, säger Niklas Hörling. 

En annan sak som underlättade arbetet var att it-avdelningen så sent som i november hade övat sig på hur man skulle agera vid en cyberattack. 

– Det hade vi jättestor nytta av. Under övningen kunde vi ifrågasätta och nu visste alla varför vi gjorde som vi gjorde. Det fanns en trygghet i det. 

I samband med den övningen drog man också slutsatsen att man skulle behöva ta in hjälp. När Akira slog till hade man ännu inte skrivit avtal med någon men hade haft dialog med tre olika företag. Nu gick det snabbt att skriva avtal med en av dem som kom in från start. 

Fick hjälp utifrån

Både Niklas Hörling och Anna Stålbrand Sundh upplever att krisläget verkligen fått alla att dra åt samma håll och lösa uppgiften. Och även utifrån har det kommit hjälp. Exempelvis påverkades de system som kommunen har kopplade till regionen på omsorgssidan.

– Men regionen kom ut med datorer till oss så att vi kunde nå journalsystemet som driftas hos dem, säger Niklas Hörling. 

Civilförsvarsminister Carl-Oskar Bohlin sa nyligen att cybersäkerhet inte är enbart för it-avdelningen – hur tänker ni kring det? 

– Det är en framgångsfaktor att vi i vår organisation går i armkrok i de flesta frågorna. Anna driver de it-relaterade delarna och jag de verksamhetsrelaterade. Och det måste gå i takt för om verksamheten går för fort hänger inte it-avdelningen med och tvärtom, säger han. 

Tagit större kliv

I och med attacken har Kalmar också accelererat och tagit större kliv framåt på it-sidan för att säkra organisationen ytterligare, 

– Ja nu har vi forcerat fram en hel del, exempelvis multifaktorinloggning för e-post. Det krävde vi inte innan. Det blir krångligare för användaren men nu kan vi använda oss av den ”sense of urgency” som uppstått. Det finns en stark förståelse, säger Anna Stålbrand Sundh. 

– Vi har tagit större kliv – tidigare gjorde vi allt lugnt och kontrollerat men nu har det varit lite mer pang på. 

Det går att lägga i princip hur mycket som helst på säkerhet men samtidigt är den kommunala budgeten begränsad – hur ser ni på den balansgången? 

– Ja så är det verkligen både inom it-säkerhet där Anna är ansvarig och för informationssäkerhet som är mitt bord. Vi skulle kunna lägga hela den kommunala budgeten på säkerhetsfrämjande åtgärder men det finns ju ingen rimlighet i det heller. Så vi får helt enkelt se till att lägga tillräckligt mycket för att vara så trygga som vi kan för att kunna hantera en attack, säger Niklas Hörling. 

De två lyfter fram sådant som att skydda data och ha en backup som inte är ansluten till internet, att stärka kunskapen i verksamheten och att inte ha något i it-miljön som inte kan uppdateras eller supporteras. 

– Det gäller att kunna hantera ett avbrott utan fara för liv och leverne för det går inte att vara hundra på att det inte sker igen. Men med det vi lärt oss kommer vi att komma tillbaka mycket snabbare med de processer vi nu satt upp. 

USA:s cybersäkerhetsmyndighet CISA, som är en del av landets försvarsdepartement, har tagit fram ett ny kostnadsfri tjänst som kan varna organisationer för möjliga ransomware-attacker, detta som en del i myndighetens så kallade Cyber Hygiene Services.

Cyberscoop skriver att CISA:s program just nu håller på att genomföra ett pilottest där omkring 7600 organisationer deltar. Testet startade i januari 2023 och har sedan dess skickat ut över 2000 varningar om sårbarheter i organisationernas system som behöver täppas igen.

CISA själva skriver att Cyber Hygiene Services upptäcker sårbarheterna genom att dels kontinuerligt skanna offentliga, statiska IPv4-adresser för tillgängliga tjänster och sårbarheter. Något som resulterar i veckovisa sårbarhetsrapporter.

Programmet skannar också offentligt tillgängliga webbapplikationer för att upptäcka sårbarheter och felkonfigurationer som kan utnyttjas av en angripare. Denna tjänst tillhandahåller istället detaljerade rapporter på månadsbasis.

Planen är att CISAS ransomware-varnare ska släppas i en fullständig version mot slutet av 2024.

I Sverige driver CERT-SE tjänsten ANTS, automatiska notifieringar avseende tekniska sårbarheter, som informerar anslutna organisationer om tekniska företeelser som kan behöva åtgärdas.

I höstas beslutade regeringen att Försvarets radioanstalt, FRA, ska ges huvudansvaret för Nationellt cybersäkerhetscenter, NCSC, en verksamhet som inte gjort någon glad under de drygt fyra år centret varit igång. I veckan lämnade ensamutredare Per Bergling sitt första delbetänkande om hur detta kan tänkas gå till.

Liksom Riksrevisionen tidigare gjort pekar utredaren ut en rad brister som ligger till grund för regeringens omtag. Dessa behöver kanske inte upprepas igen men den ”sammanvägda bilden” man får är att NCSC har haft svårt att bli något annat än en diskussions- och seminarieverksamhet, eftersom bristerna i mål, styrning och ansvar varit så stora, och det dessutom verkar ha funnits ett visst ointresse hos de inblandade myndigheterna. Det är samverkansforum och arbetsgrupper på alla möjliga nivåer, men inte mycket mer än så. Utredaren konstaterar:

”Centret har inte kunnat leverera den information eller det stöd som regeringen eller målgrupperna efterfrågat. Näringslivet och andra intressenter har inte heller känt att deras bidrag till verksamheten alltid tagits väl om hand eller tillräckligt uppskattas av myndigheterna.

Den sista tidens allvarliga incidenter och attacker har också visat på allvarliga brister i förmågan att hantera samhällskritiska incidenter och attacker och att denna generella förmåga måste höjas snabbt. Det finns med andra ord både besvikelse och irritation över det som varit och höga förväntningar på det nya centret och dess verksamhet.” 

Lösningen på detta ska alltså vara att FRA tar över ansvaret för, och styr upp, NCSC. Centret blir en del av FRA:s organisation och det blir i mångt och mycket FRA:s jobb att utforma verksamheten på ett ändamålsenligt sätt. Utredaren pekar ut ett antal punkter om vad NCSC ska vara och göra, men hur det ska göras föreslås NCSC/FRA få reda ut. Till exempel vilka målen ska vara, hur samverkan ska gå till eller hur beslut ska fattas. Stort grattis.

En konkret nyhet som är bra är att den verksamhet CERT-SE bedriver föreslås flyttas från MSB till NCSC, och utredaren sågar samtidigt förslagen från NIS-2-utredningen att CERT-SE ska få utökat uppdrag och MSB bli nationell cyberkris-hanteringsmyndighet eftersom då ”kommer överlappningarna bli ännu fler och gränsdragningsproblemen ännu tydligare”. Vilket han antagligen har rätt i.

Utredaren föreslår även piskor för de inblandade myndigheterna: den verksamhet de har som kan utföras inom ramen för NSCS också ska utföras inom ramen för centret, och deras skyldigheter att delta ska göras tydligt i regleringsbreven. Också detta är utmärkt. 

Även om det blir upp till FRA att utforma det mesta får man dock inte fatta beslut om vem som ska leda centret, utredaren vill att chefen ska utses direkt av regeringen. Detta för att regeringen ska få ”en möjlighet att välja en person med förutsättningar att klara uppgiften”. 

Jag vet inte hur mycket man nödvändigtvis ska se detta som kritik mot nuvarande chefen Thérèse Naess eftersom det även framgår av utredningen vilket hopplöst uppdrag hon haft – hon har nämligen knappt något mandat över huvud taget:

”Centrets chef har ansvar för verksamheten men saknar befogenhet att fatta nödvändiga beslut. Centerchefen har inte heller arbetsgivaransvar för och kan inte effektivt arbetsleda den personal som centermyndigheterna placerat i verksamheten. Centerchefens uppgifter är mer att leda centrets kansli och samordningen av centermyndigheternas bidrag till verksamheten.”

För att se hur ett FRA-lett NCSC kan utformas har utredaren tittat utomlands där liknande konstruktioner finns i bland annat Danmark, Norge och framför allt Storbritannien vars National Cyber Security Centre tycks tjäna som den främsta inspirationskällan. 

I likhet med UK-varianten ska svenska NCSC ha en öppen och utåtriktad profil trots att den sorterar under en spionmyndighet vars kärnverksamhet är det rakt motsatta. Detta avspeglas också i utredarens önskemål på den chef som ska utses: den ska ha goda sakkunskaper men också vara en god kommunikatör och van vid mediekontakter (är detta rentav vår Cyber-Tegnell?).

Det här är bra, nödvändigt och efterfrågat, men det leder oss också in på knäckfrågan, som utredaren förvisso tar upp i en underparagraf (5.4.3) men som borde vara absolut högsta prioritet att lösa eftersom det är en förutsättning för att hela upplägget ska fungera. 

Jag syftar alltså på, med utredarens ord, ”den intresseavvägning som behöver göras mellan intresset av att hålla viktig offensiv kunskap hemlig så att den kan nyttjas i den egna verksamheten, och intresset att delge kunskap till verksamheter som utsatts för cyberangrepp eller som riskerar att bli utsatta”.

Alltså, om man får kännedom om eller hittar en zero day-sårbarhet, ska då de som kan drabbas (myndigheter, näringslivet, berörd leverantör) informeras om denna eller håller man snattran för att kunna utöva ”offensiva operationer i cyberdomänen” som det heter. Vems intresse får företräde?

Utredaren säger att former för detta ska utarbetas, och att både skyddsintresset och underrättelseintresset ska vara ”adekvat representerat” i det arbetet. ”Vid en myndighet vars övriga uppdrag har ett starkt underrättelseintresse finns annars stor risk att underrättelseintresset blir styrande”, skriver utredaren. 

Trots det föreslås det att NCSC, det vill säga FRA, självt ska ta fram formerna för detta vilket är lite svårt att begripa. FRA kommer förstås inte föreslå ett upplägg som på något sätt minskar myndighetens (eller Försvarsmaktens, eller Säpos) möjligheter att utöva sitt kärnuppdrag.

Så för att sammanfatta: när FRA tar över NCSC ska alltså en av Sveriges mest slutna myndigheter plötsligt bli öppna och utåtriktade, och dessutom bygga förtroende och gemensam säkerhet med bland annat näringslivet genom delning av information – så länge informationen inte kan användas till något viktigare i hemlighet.

Får man ihop det här är det bara att imponeras, för ett fungerande NCSC behövs verkligen, men nog är det på sin plats med ett varmt ”lycka till”.  

—

Den här krönikan är hämtad ur CS Veckobrev, ett personligt nyhetsbrev med lästips, länktips och analyser skickat direkt från chefredaktör Marcus Jerrängs skrivbord. Vill du också ha nyhetsbrevet på fredagar? Skriv upp dig för en kostnadsfri prenumeration här.

Vita huset i USA har utfärdat landets första regeringsövergripande policy för att både mildra riskerna med artificiell intelligens och utnyttja fördelarna med tekniken. Policyn kräver att federala myndigheter implementerar konkreta skyddsåtgärder när AI används på sätt som kan påverka amerikaners rättigheter eller säkerhet.

The Verge uppmärksammar att som en del i detta behöver varje federal myndighet i USA anställa en AI-chef som övervakar användningen av AI-teknik. Chefen kommer att ha ansvar för att rådge myndighetens ledning gällande AI, koordinera och spåra myndighetens AI-aktiviteter, främja användningen av AI i myndighetens uppdrag och övervaka hanteringen av AI-risker.

De federala myndigheterna ska också inrätta styrgrupper för AI och lämna in en årsrapport till Vita husets Office of Management and Budget (OMB) om vilka AI-system de använder, eventuella risker med dessa och hur de planerar att mildra dessa risker.

Sedan Ryssland invaderade Ukraina har mobilen blivit en oerhört viktig plattform för att få landets samhälle att fungera. Centralt för detta är den ukrainska statliga mobilappen Diia där ukrainare har tillgång till statliga dokument som pass och körkort men också kan få nyheter om kriget, rapportera var de ser ryska styrkor och donera pengar direkt till landets centralbank.

Nu meddelar Ukrainas digitaliseringsminister Mykhailo Fedorov att Diia släpps i öppen källkod.

“Regeringar intresserade av Ukrainas upplevelse av digital transformering är mer än välkomna att studera, förbättra och använda Diias kod”, skriver Mykhailo Fedorov via Linkedin.

“It-proffs kommer kunna skapa något liknande Diia eller med samma kärnlogik som Diia… Jag hoppas att den ukrainska digitala upplevelsen kommer hjälpa andra regeringar bygga sina egna “stater i en smartphone”.”

Diias öppna källkod är tillgänglig via Github.