Det har gått tolv veckor sedan Kalmar kommun drabbades av en ransomwareattack signerad Akira. Runt hälften av systemen slogs ut men sedan en tid är nästan allt uppe igen.
Fortfarande kvarstår dock problem med ett övergripande system för registrering av diarieföring av handlingar och nämndadministration där filerna har krypterats vilket innebär att ungefär tolv års arbete inte går att komma åt.
– Där jobbar vi med att få tillbaka handlingarna via alternativa vägar, säger digitaliseringchefen Niklas Hörling.
Dessutom pågår nu efterarbetet i flera verksamheter där man fått arbeta manuellt med papper och penna och det nu ska läggas in i it-systemen.
– Exempelvis så har rapportering kring extratid och ledigheter fått skötas manuellt och det ska nu jobbas in i systemen.
Även på it-sidan finns en backlog konstaterar it-chefen Anna Stålbrand Sund.
– Vi behöver komma ifatt med saker som skulle ha gjorts som vi inte hann med. Som uppdateringar av system. Men vi har inga fler återstarter kvar, säger hon.
Drog alla sladdar
Cyberattacken upptäcktes klockan 6.20 den sjätte februari när Kalmars kommundirektör hörde av sig till Anna Stålbrand Sundh och sa att systemen låg nere. Kort därefter stod det klart att det inte bara handlade om nätverksproblem utan att det handlade om en cyberattack. Och sedan gick det snabbt.
– Vi drog alla sladdar för att stoppa aktören bakom attacken, kontaktade säkerhetssamordnare, satte upp en krisledning och samlade incidentteamet på it-avdelningen och kontaktade också externa experter, säger hon.
Parallellt satte krisledningsstaben igång sitt arbete, klockan 9.00 hade stabschefen samlat den till möte.
Delade ut nya lösenord
Sedan började arbetet på it-sidan omedelbart – i första hand handlade det om att få upp allt som gick och få en ren miljö på plats. Först av allt fick man upp ett nytt Active Directory och sedan fick alla nya lösenord. Det handlade om nya lösenord till de runt 8 000 medarbetare som är anslutna till systemen – runt 6 500 i kommunen och till det kommer medarbetare i kommunala bolag, kommunförbund samt 400-500 externa personer.
– Niklas fick ansvaret att vara kontaktpunkten in mot it-organisationen. Vad händer och vad behövs. Sedan har vi olika kompetenser i krisorganisationen.
Bland det första på agendan handlade om hur det inträffade skulle kommuniceras ut. I och med att intranät, mejl och Teams låg som molntjänster var de dock opåverkade av attacken och kunde fortsätta användas. Men eftersom de låg externt så kunde de inte användas för att skicka ut lösenorden – det gjordes i stället via myndighetspost. De medarbetare som inte hade det fick hanteras individuellt.
Betala var uteslutet
Redan i starten stod det klart att det var Akira som låg bakom attacken. De hade lämnat filer med sitt namn och kontaktuppgifter men inga exakta krav. Men att betala lösesumma var aldrig ett alternativ.
– Nej, inte en sekund, det kom inte ens på tal, säger Niklas Hörling.
Det finns heller inga tecken på att hackarna kommit över några uppgifter – man har varken sett några sådana spår internt eller hittat något publicerat på darknet.
– Men det här är ju polisanmält och både vi och de håller koll på sådant.
Koll på alla system
De senaste två åren har Kalmar lagt extra medel på att höja it- och informationssäkerheten och en del av det arbete som gjorts sedan dess underlättade när attacken kom.
– Det viktigaste var att vi hade en samverkansmodell på plats där vi hade koll på alla system. Vi hade också utsett en ansvarig för varje system – ända ner till de minsta – så vi visste vem vi skulle kontakta för att verifiera systemen, säger Anna Stålbrand Sundh.
Och Niklas Hörling håller med.
– Det gjorde återstartsprocessen hundra gånger snabbare.
Priolista på plats
För ett par år sedan skapade man också en priolista där det var tydligt i vilken ordning som olika delar skulle tas om hand. Och det visade sig guld värt.
– Det hade vi inte velat lägga tid på under brinnande kris – då vill man inte gå till förhandlingsbordet, säger Niklas Hörling.
En annan sak som underlättade arbetet var att it-avdelningen så sent som i november hade övat sig på hur man skulle agera vid en cyberattack.
– Det hade vi jättestor nytta av. Under övningen kunde vi ifrågasätta och nu visste alla varför vi gjorde som vi gjorde. Det fanns en trygghet i det.
I samband med den övningen drog man också slutsatsen att man skulle behöva ta in hjälp. När Akira slog till hade man ännu inte skrivit avtal med någon men hade haft dialog med tre olika företag. Nu gick det snabbt att skriva avtal med en av dem som kom in från start.
Fick hjälp utifrån
Både Niklas Hörling och Anna Stålbrand Sundh upplever att krisläget verkligen fått alla att dra åt samma håll och lösa uppgiften. Och även utifrån har det kommit hjälp. Exempelvis påverkades de system som kommunen har kopplade till regionen på omsorgssidan.
– Men regionen kom ut med datorer till oss så att vi kunde nå journalsystemet som driftas hos dem, säger Niklas Hörling.
Civilförsvarsminister Carl-Oskar Bohlin sa nyligen att cybersäkerhet inte är enbart för it-avdelningen – hur tänker ni kring det?
– Det är en framgångsfaktor att vi i vår organisation går i armkrok i de flesta frågorna. Anna driver de it-relaterade delarna och jag de verksamhetsrelaterade. Och det måste gå i takt för om verksamheten går för fort hänger inte it-avdelningen med och tvärtom, säger han.
Tagit större kliv
I och med attacken har Kalmar också accelererat och tagit större kliv framåt på it-sidan för att säkra organisationen ytterligare,
– Ja nu har vi forcerat fram en hel del, exempelvis multifaktorinloggning för e-post. Det krävde vi inte innan. Det blir krångligare för användaren men nu kan vi använda oss av den ”sense of urgency” som uppstått. Det finns en stark förståelse, säger Anna Stålbrand Sundh.
– Vi har tagit större kliv – tidigare gjorde vi allt lugnt och kontrollerat men nu har det varit lite mer pang på.
Det går att lägga i princip hur mycket som helst på säkerhet men samtidigt är den kommunala budgeten begränsad – hur ser ni på den balansgången?
– Ja så är det verkligen både inom it-säkerhet där Anna är ansvarig och för informationssäkerhet som är mitt bord. Vi skulle kunna lägga hela den kommunala budgeten på säkerhetsfrämjande åtgärder men det finns ju ingen rimlighet i det heller. Så vi får helt enkelt se till att lägga tillräckligt mycket för att vara så trygga som vi kan för att kunna hantera en attack, säger Niklas Hörling.
De två lyfter fram sådant som att skydda data och ha en backup som inte är ansluten till internet, att stärka kunskapen i verksamheten och att inte ha något i it-miljön som inte kan uppdateras eller supporteras.
– Det gäller att kunna hantera ett avbrott utan fara för liv och leverne för det går inte att vara hundra på att det inte sker igen. Men med det vi lärt oss kommer vi att komma tillbaka mycket snabbare med de processer vi nu satt upp.