Experten om it-attacker mot kommuner: "Riskfria"

2021-12-30 14:33  

Kalix kommun arbetar fortfarande febrilt med att återställa it-driften efter en stor ransomware-attack. Nu varnar säkerhetsexperten Robert Malmgren för att fler kommuner och myndigheter kan drabbas: ”En affärsmodell som funkar lite för bra för kriminella”. 

I mitten av december utsattes Kalix kommun för en omfattande hackerattack som lamslog stora delar av den kommunala verksamheten.

Läs mer: Kalix-attacken: Ingen data har blivit stulen

Angriparna placerade ut ett ransomware som krypterade filer på datorer och servrar i kommunens nätverk, och begärde en lösensumma för att låsa upp filerna. Men kommunen vägrade att betala.

Kritiska system igång

Sedan dess pågår ett omfattande och mödosamt arbete med att återställa it-systemen i kommunen. I dag, drygt två veckor efter att angriparna tog sig in på kommunens servrar, har man dock lyckats få i gång flertalet kritiska system som gäller framför allt socialförvaltningen.  

– Det vi har fokuserat på är funktioner som rör bland annat hemtjänst, vård och omsorg. Huvudsystem är i gång sedan lunchtid i tisdags, andra är under driftsättning just nu, säger Kenneth Björnfot, stabschef i Kalix kommun.

Bygger om – från grunden

Ett 30-tal personer, säkerhetskonsulter inräknade, har arbetat oförtrutet i flera veckor med att lösa kommunens it-problem. Exakt när it-driften väntas kunna vara uppe igen går inte att säga, men det intensiva återställningsarbetet förväntas fortsätta, berättar Kenneth Björnfot.

Läs mer: Efter it-attacken – hackarna läcker personaldata från Nordic Choice Hotel

– Vi har fått bygga om allt från grunden på serversidan, och förstärka skyddet där. Vi fortsätter också med att titta på klientsidan för att kontrollera om personalens datorer har smittats med skadlig programvara.

Kommuner attraktiva mål

2021 har varit ett mörkt år när det gäller it-attacker. Flera uppmärksammade angrepp har genomförts – varav en av de största och mest uppmärksammade var attacken mot Coops it-leverantör Kaseya.

Läs mer: Miljontals tjänster sårbara i säkerhetslucka – krävs snabba åtgärder

Kommuner och myndigheter har blivit särskilt attraktiva måltavlor för hackare. En kartläggning som P4 Örebro har genomfört visar att drygt var tredje kommun i Sverige har drabbats av it-angrepp – samtidigt anmäls bara hälften av händelserna till polisen.

Robert Malmgren driver firman Romab, och har en 20-årig yrkeserfarenhet av cybersäkerhet. Foto: Lars "Mårre" Mårelius.

– Sverige har en hög nivå av digitalisering. Samtidigt har kommuner och myndigheter sällan satt säkerhet i första rummet när man bygger upp sin it-miljö. Dessutom är många it-system ofta sammankopplade hos kommunerna. Det gör att angriparna kan slå till hårt och brett om man lyckas ta sig in på kommunernas servrar, säger den erfarne säkerhetsexperten Robert Malmgren till Ny Teknik. 

– Och om system som rör sjukvård, transporter och annan kritisk verksamhet drabbas, ökar benägenheten att vilja betala för att få tillbaka exempelvis krypterade data, fortsätter han. 

Finns det en risk att fler it-attacker riktade mot kommuner väntar? 

– Jag tror att vi kommer att få se en ökning. Det är en affärsmodell som funkar lite för bra för de kriminella. Från angriparens perspektiv är attackerna riskfria samt lätta att utföra jämfört med klassisk brottslighet som inbrott och rån.

"Måste vara mer på tårna"

I Kalix har kommunen nu infört en omfattande svit av it-säkerhetsåtgärder i kölvattnet efter ransomware-attacken, berättar stabschefen Kenneth Björnfot.

Läs mer: Kriminella granskas bakåt med nytt tvångsmedel

Det rör sig om allt från nya brandväggar och stärkta inloggningsfunktioner, till färsk antivirusmjukvara på klient- och serversidan samt förbättrad monitorering av trafiken på kommunens nätverk. 

– Vi planerade att dra i gång en omfattande utbildning i it-säkerhet i början av nästa år, men attacken kom emellan. Nu måste vi vara mer på tårna framöver. Det handlar om att både öka säkerhetsmedvetenheten hos personalen, och samtidigt få till en bättre övervakning av it-systemen, bland annat med hjälp av verktyg som automatiskt larmar om en angripare försöker att exekvera kod på någon av våra servrar. 

Kommer ni att kunna återställa alla system till fullo, eller befarar ni att det finns data eller metadata som är förlorad? 

– Vi bedömer att alla system kommer att kunna återställas till läget de hade 15 december. 85 servrar av 100 är nu klara för en sista verifiering innan de blir tillgängliga för verksamheterna. Det tar dock längre tid än normalt då vi aktiverat så många nya säkerhetsfunktioner, säger Kenneth Björnfot. 

Expertens tips: Så skyddar ni er mot it-angrepp 

# Se till att ta säkerhetskopiering på största allvar. Nuförtiden sparar många sina backup-filer online, på disk eller i molnet, men om någon krypterar ens servrar är det omöjligt att komma åt kopiorna där. Satsa i stället på att installera en lösning där kopiorna skyddas på ett sätt som gör att inte ens systemadministratörerna kan ändra filerna. 

# Bygg upp en it-miljö där det går att separera olika delar av it-driften med hjälp av effektiva brandväggar. Se till att ha strikt kontroll över data som skickas mellan servrarna. 

# Se till att härda Windows-miljön, så att flera av angriparnas standardknep inte fungerar. Det finns mängder med säkerhetsinställningar i Active Directory och Windows för att låsa Windows-miljön bättre, så angriparna inte kan utföra angrepp eller info-stölder. Koppla dessa nedlåsningar till alarm, så ovanligt beteende och intrångsförsök kan upptäckas i tid. 

# Satsa på aktiv övervakning av it-miljön. Många attacker föregås av att någon tar sig in för att kartlägga systemet för att hitta sårbarheter eller placera ut krypteringsmjukvara. Men det tar ofta tid att kryptera stora mängder filer, vilket ger en tid att agera om man har en chans att upptäcka attacken i förväg.

Källa: Robert Malmgren

Kalle Wiklund

Kommentarer

Välkommen att säga din mening på Ny Teknik.

Principen för våra regler är enkel: visa respekt för de personer vi skriver om och andra läsare som kommenterar artiklarna. Alla kommentarer modereras efter publiceringen av Ny Teknik eller av oss anlitad personal.

  Kommentarer

Debatt