Kalix-attacken: Ingen data har blivit stulen

Natten till torsdagen i förra veckan utsattes Kalix för en omfattande hackerattack som drabbade stora delar av den kommunala verksamheten.

Begärde lösensumma

Angriparna hade placerat ut ett ransomware som krypterar filer på datorer och servrar i kommunens nätverk, och begärde en lösensumma för att låsa upp filerna. Kommunen har tydligt sagt att de inte tänker betala.

Med hjälp av it-säkerhetskonsulter har kommunen återigen fått tillgång till vissa kritiska system, som hemtjänstens journalsystem med medicinlistor, exempelvis.

It-system fortfarande nere

Men i övrigt är personalens tillgång till it-systemen fortfarande kraftigt begränsad – exempelvis ligger alla skrivare nere eftersom de är nätverksanslutna. Inom vissa verksamheter har man fått gå över helt till analoga arbetsmetoder.

– Personalen kan arbeta på sina datorer och spara filer lokalt eller på usb-stickor. I övrigt är alla andra it-system nedstängda tills vi kan starta om under kontrollerade former i en miljö som vi har full uppsikt över, säger Kenneth Björnfot, stabschef i Kalix kommun till Ny Teknik.

Har bilden över hur angriparna tog sig in i systemet klarnat?

– Det är inget vi kan kommentera i dagsläget, med hänvisning till att polisen är mitt uppe i en pågående brottsutredning. 

Finns det några indikationer på att de har stulit data?

– Det har inte laddats ned några data utåt, vad vi kan se i våra trafikloggar. Angriparna har inte haft ambitionen att ta ner data. I stället har de nöjt sig med att kryptera alla filer de kommit åt. Vi har inte heller mottagit några krav på en extra lösensumma för stulna data.

Ingen prognos för omstart

Ett 30-tal personer, säkerhetskonsulter inräknade, har arbetat oförtrutet sedan förra veckan med att lösa kommunens it-problem efter den omfattande attacken. Exakt när it-driften väntas kunna vara uppe igen går inte att säga, men det intensiva återställningsarbetet förväntas fortsätta i flera dagar, berättar Kenneth Björnfot:

– Sedan i fredags har vi arbetat i stort oavbrutet med att bygga om allt från grunden på serversidan, och förstärka skyddet där. I dag har vi kunnat börja titta på klientsidan för att kontrollera om personalens datorer har smittats med skadlig programvara.

Har ni gjort en anmälan om it-incident eller gdpr-incident?

– Det kommer att göras inom sin tid. Men vi har löpande kontakt med såväl Nationella operativa avdelningen hos polisen, som MSB.

Vart pekar spåren ni har efter angriparna?

– Det är svårt att säga vilka de är, eller var de kommer ifrån. Vi kan se landskoder i ip-adresserna, och dessa pekar mot fem länder i Centraleuropa. Men i dagsläget går det inte med säkerhet att säga var angriparna har för ursprung. Trafiken kan ha pekats om, och passerat ett par länder på väg till oss, säger Kenneth Björnfot.