Metoden bakom hackerattacken mot Kalix: ”Två spår vi tittar på”

Natten till torsdagen utsattes Kalix för en omfattande hackerattack som drabbade stora delar av den kommunala verksamheten.  

Angriparna har placerat ut ett ransomware som krypterar filer på datorer och servrar i kommunens nätverk, och begärt en lösensumma för att låsa upp filerna. Kommunen har tydligt sagt att de inte tänker betala.  

– Vi jobbar intensivt för att säkerställa exakt hur det gått till, vad som påverkats och hur man eliminerar det innan vi börjar läsa tillbaka backuperna, säger Kenneth Björnfot som är stabschef i Kalix kommun till Ny Teknik. 

Alltifrån e-postservrar till journalsystem inom omsorgen har slagits ut av attacken. Tidigt förekom rapporter om att även värmesystem i vissa fastigheter har påverkats, men så är inte fallet.  

Det är en väldigt stor del av kommunens verksamhet inom många olika områden som drabbades, har ni haft ett tillräckligt segmenterat nätverk?  

– Hur det kunnat sprida sig som det gjort är något vi kommer att analysera i det fortsatta arbetet, säger Kenneth Björnfot. 

En tänkbar förklaring kan vara att angriparen haft tillgång till kommunens nätverk under längre tid. Men det är också något som ska undersökas av it-säkerhetsexperter.

Kan ta flera dagar att återställa

Har ni någon tidsplan för när ni kan börja återställa nätverket igen?  

– Av erfarenhet från andra som råkat ut för det här vet vi att vi pratar om flera dagar. Det här är dag två för oss, så det rör sig om ytterligare några dagar, säger Kenneth Björnfot.  

Vet ni någon om hur hackarna kommit in i kommunens nätverk?  

– Det finns två spår som vi tittar på, jag vill inte gå in närmare på detaljerna just nu.  

De vanligaste sätten för en angripare att ta sig in i ett nätverk är via bluffmejl eller genom att komma åt anställdas inloggningsuppgifter. Antalet storskaliga ransomwareattacker har ökat radikalt det senaste året, vilket Ny Teknik rapporterat om tidigare, och Kalix kommun är en av många aktörer som drabbats. 

Den kommunala verksamheten har ett hundratal servrar, och runt hälften av dem tros vara påverkade av angreppet. Även en del filservrar och klienter kan ha drabbats, och har isolerats i väntan på att de kan genomsökas och återställas.

Två externa it-företag har redan kallats in för att hjälpa till med att återställa nätverket, och ytterligare hjälp är på väg från flera it-säkerhetsföretag och underleverantör. 

– Tittar man på rent it-folk är det cirka 30 personer som är inblandade inräknat konsulter. Sedan jobbar naturligtvis alla förvaltningar med att säkerställa att de kan arbeta analogt, framförallt inom vård och omsorg, säger Kenneth Björnfot.  

Har ni råkat ut för ransomwareangrepp tidigare?

– Det händer då och då att någon är oförsiktig och klickar på en länk i ett mejl eller något sådant, och den personens filer blivit krypterade. Det har vi råkat ut för tidigare, men aldrig något i den här omfattningen. 

Kommunen har tidigare kritiserats

2017 gjorde revisionsbyrån PWC en granskning av Kalix it-säkerhetsberedskap och underkände då kommunen på flera punkter. Det saknades styrning och riktlinjer, rollfördelningen var otydlig och kontrollen på backuper och behörigheter ansågs bristfällig. 

Kenneth Björnfot menar att kommunen sedan dess gjort stora insatser för att skärpa it-säkerheten. 

– Vi har framförallt jobbat med att göra våra anställda medvetna om vilka risker som finns. Vi har planerat en stor utbildning om digital säkerhet i januari för alla användare. Men så hände det här, säger han.  

Kommunen har också genomfört en större krisövning med anledning av coronapandemin, vilket gjorde att det fanns en tydlig organisation för hur situationen skulle hanteras.  

– Vi kunde snabbt starta upp krisledningsgruppen som övat under pandemin. Två timmar efter att det stod klart vilken typ av attack det var hade vi samlats och börjat arbeta på en åtgärdsplan, säger Kenneth Björnfot.