Den 20. januar stod Thomas Jarbo, it- og digitaliseringschef i svenske Vellinge Kommune, op til en ny virkelighed.
Om natten var kommunens it-leverandør blevet ramt af et ødelæggende cyberangreb, som satte flere af kommunens centrale it-systemer ud af drift.
– Vi aktiverede med det samme vores kriseledelse og beredskabsplan, så vi kunne sikre omsorg i ældreplejen, fortæller Thomas Jarbo.
I første omgang troede kommunen, at det ville tage op mod en uge at få alle systemer op at køre igen. Men da det viste sig, at kommunens backups også var ramt, var det ikke så ligetil.
– Vi havde en genopretningsplan, men det hele ændrede sig, da vores backup også var ramt. Det betød, at vi mistede data fra 16 centrale systemer – blandt andet oplysninger om personale og lønninger – og derfor måtte vi lave en helt ny kriseplan, siger Thomas Jarbo.
Skolerne havde ikke længere adgang til digitalt undervisningsmateriale, og i ældreplejen arbejdede medarbejderne med pen og papir for at få kommunen til at køre på vanlig vis.
Ældreplejen kan gå i sort
At cybertruslen også er reel i Danmark, hersker der ingen tvivl om. I slutningen af september offentliggjorde Center for Cybersikkerhed sin årlige trusselsvurdering. Centret vurderer, at truslen fra cyberspionage, cyberkriminalitet og cyberaktivisme er meget høj.
Ifølge tal fra KL oplever halvdelen af landets kommuner mere end 1.000 angrebsforsøg om dagen. Både cyberkriminelle, aktivister og fremmede statsmagter kan have interesse i at angribe kommunerne. Førstnævnte med penge som mål, og de to sidstnævnte i højere grad med et ønske om at destabilisere det danske samfund og skabe utryghed.
Det fortæller Jacob Herbst, der er CTO hos virksomheden Dubex og forperson for det nationale cybersikkerhedsråd.
– Hvis det gentagne gange lykkes at ramme myndighederne med vellykkede angreb, kan det skabe tvivl og mistillid til myndighederne blandt borgerne. Samtidig er vi som samfund et sted, hvor digitale løsninger er et af de vigtige midler til at løse nogle af de større samfundsmæssige problemer som eksempelvis manglen på arbejdskraft. Hvis borgerne mister tilliden til, at det offentlige kan digitalisere ordentligt, kan det ende med, at de begynder at gå imod digitalisering, siger Jacob Herbst og tilføjer:
– Så mister vi muligheden for at kunne levere bedre offentlig service og går glip af gevinsterne ved at digitalisere.
Ifølge Jens Myrup Pedersen, professor ved Institut for Elektroniske Systemer på Aalborg Universitet samt landstræner for det danske cyberlandshold, får en fremmed stat ikke meget ud af at hacke sig ind og spionere mod en kommune, medmindre de for eksempel går efter meget specifikke personoplysninger. Men der kan være andre grunde til at have en interesse i at ramme kommunerne.
– Det kan være kritisk infrastruktur, der ligger i kommunalt regi, som man er interesseret i at gå efter som et destruktivt cyberangreb eller som cyberaktivisme for at skabe utryghed, siger Jens Myrup Pedersen og tilføjer:
– Hvis man som kommune ikke er i stand til på meget kort tid at gendanne sine systemer, kan der være opgaver, man ikke kan løse. Det kan for eksempel være, man ikke ved, hvilken medicin de ældre skal have, eller man ikke kan se sin køreliste og ved, hvilke ældre der skal have besøg. På den måde kan en ældrepleje gå helt i sort.
4 gode råd
Sådan sikrer du din organisation mod cyberangreb
Brug stærke passwords og flerfaktor-godkendelse. Systemer og infrastruktur skal altid være opdateret til seneste sikre version, og medarbejdere må kun have nødvendige rettigheder i systemerne for at kunne udføre deres arbejdsopgaver
Den menneskelige firewall er den vigtigste. Træn medarbejdere løbende i sikkerhedstiltag – husk nyansatte og lederes særlige rolle i sikkerhedsarbejdet.
Opdatér og træn beredskabsplanen løbende. Bliv skarp på at opdage beredskabssituationer og på, hvilke dele af kommunens servicer der er prioriteret i beredskabet.
Hele organisationen skal med. Organisationen skal trænes i at arbejde efter samme beredskabsplan og kunne prioritere. Planen skal være godkendt på højeste niveau og bredt accepteret af ledelsen.
97%
af kommunerne vurderer, at cybertruslen er langt større eller større end kommunens ressourcer.
Kilde: Momentums rundspørge blandt kommunerne. 75 kommuner har svaret på undersøgelsen
Kræver kræfter at rydde op
Det var tilfældet i den norske kommune Østre Toten, som i januar 2021 blev ramt af et hackerangreb, der låste kommunen ude af flere systemer. Derudover stjal hackerne op mod 10.000 dokumenter med personfølsomme oplysninger.
I Østre Toten kunne medarbejderne ikke bruge computere, printere og kopimaskiner. Også brandalarmer og ældres alarmkald var sat ud af spil, og sundhedsjournaler var utilgængelige. Det kostede kommunen måneders arbejde og omkring 35 millioner norske kroner at få styr på konsekvenserne af hackerangrebet.
Også i Vellinge Kommune tog det kommunen adskillige måneder – helt indtil juni – før der var gendannet så meget som muligt. Nogle data er gået helt tabt. Nu venter en erstatningssag mod kommunens nu tidligere it-leverandør. Af samme grund kan it- og digitaliseringschef Thomas Jarbo ikke oplyse, nøjagtig hvor mange kroner eller timer angrebet har kostet kommunen. Men der er brugt mange kræfter på at rydde op efter angrebet, understreger Thomas Jarbo.
– Vi var forberedte på, at vores systemer kunne være nede i kortere tid. Men vi var ikke forberedte på, at vores backups, som skulle sikre vores miljøer, kunne blive krypteret. Og at det skete i vores forsyningskæde, komplicerede det kun yderligere, siger Thomas Jarbo, der glæder sig over, at borgerne ikke har mærket meget til angrebet.
– Vi har haft problemer med at sende fakturaer for affaldsindsamling og at sende påmindelses-sms’er om afhentning af affald. Der var faktisk mange, der syntes, det var ret irriterende, at de ikke fik sms’erne. Men både ældreplejen og leveringen af mad til ældre og de øvrige kritiske funktioner har fungeret, fortæller Thomas Jarbo og tilføjer:
– Det er virkelig imponerende, og det er i høj grad vores beredskabsplaner, der har sikret, at vi har kunnet tage hånd om det hele.
86%
af kommunerne mener, at omfanget af kommunens opgave for at kunne modstå cyberangreb er stor eller meget stor.
Kilde: Momentums rundspørge blandt kommunerne. 75 kommuner har svaret på undersøgelsen
Hvis man som kommune ikke er i stand til på meget kort tid at gendanne sine systemer, kan der være opgaver, man ikke kan løse.
Jens Myrup Pedersen, professor på Aalborg Universitet
Truslen er større
Der findes flere typer cyberangreb, men både Østre Toten og Vellinge Kommunes it-leverandør blev ramt af såkaldte ransomwareangreb, hvor kriminelle enten låser systemer eller stjæler data og kræver en løsesum for at låse op eller undlade at lække data.
Og kommunerne ligger ifølge Jacob Herbst inde med mange oplysninger, som kan være interessante for cyberkriminelle at få fat i.
– Nogle af de data, kommunerne har, er meget kritisk at have adgang til for at kunne passe på eksempelvis ældre borgere. Derudover har kommunerne også oplysninger om offentlige ydelser og udbetalinger og rigtig mange personfølsomme data omkring eksempelvis diagnoser, sygdomsforløb og socialsager, siger han og fortsætter:
– Det er klart, at når man som offentlig myndighed er betroet den slags data, har man også en kæmpe forpligtelse til at passe ordentligt på dem. Har man som cyberkriminel held til at komme i nærheden af dem, er det oplagt at true med at lække data, hvis ikke man får en løsesum, da det er en effektiv måde at tjene penge på.
Ifølge Jacob Herbst er vi i Danmark dygtige til digitalisering og derfor også til at bygge systemer, som er svære at trænge ind i. Men ingen er sikrere end det svageste led, og derfor er der også grund til at sætte fokus på cybersikkerhed.
– Det nytter ikke noget, at vi sænker paraderne. Vi er nødt til at opretholde et højt sikkerhedsniveau og anerkende, at det trusselsbillede, vi kigger ind i, også bliver farligere, siger han.
Et højt sikkerhedshegn
Af samme grund har KL flere gange påpeget behovet for, at kommunerne bliver omfattet af et fælles nationalt cyberberedskab. Hvis Rusland invaderede landet og rullede over grænsen i store tanks, ville man heller ikke overlade det til kommunerne at lave 98 forskellige forsvarsværker, har KL argumenteret.
Alligevel er der fra regeringens side ikke lagt op til, at kommunerne bliver omfattet af et nationalt cyberberedskab. Heller ikke i forbindelse med implementeringen af et nyt EU-direktiv, det såkaldte NIS2-direktiv, der skal sikre et højt fælles cybersikkerhedsniveau i hele EU, vil regeringen lade kommunerne omfatte. Her vil regeringen i stedet gennemføre en minimumsimplementering efter sektorer, hvor kun nogle af kommunernes opgaver bliver omfattet.
Det nytter ikke noget, at vi sænker paraderne. Vi er nødt til at opretholde et højt sikkerhedsniveau og anerkende, at det trusselsbillede, vi kigger ind i, også bliver farligere.
Jacob Herbst, it-sikkerhedsspecialist og forperson for det nationale cybersikkerhedsråd
94%
af kommunerne mener, at der er behov for at gøre kommunerne til en del af den nationale strategi og indsats for cybersikkerhed.
Kilde: Momentums rundspørge blandt kommunerne. 75 kommuner har svaret på undersøgelsen
Men det giver ikke mening ikke at omfatte kommunerne, mener Jens Myrup Pedersen.
– Det ville have været fornuftigt at tænke kommunerne ind, for kommunerne udfører mange vigtige funktioner, for eksempel inden for ældreplejen, børnepasning og udbetaling af sociale ydelser. Det er funktioner, som kan medføre store konsekvenser for borgerne, hvis de afbrydes bare kortvarigt, siger han og tilføjer, at det også kan blive svært i praksis at omfatte nogle dele af kommunernes opgaver og ikke andre.
– Jeg er ikke sikker på, at it-systemerne ude i kommunerne er delt så skarpt op. Så det kan blive meget svært i praksis kun at omfatte noget.
Jacob Herbst peger på, at borgerne nok ikke går meget op i, om deres oplysninger ligger hos en kommune, en region eller hos staten. Så længe de er sikre.
– Derfor bør man også have et sikkerhedshegn, der er lige højt hele vejen rundt om de offentlige it-systemer. Og hvis man skal det, så er man nødt til at stille de samme krav til kommunerne som de øvrige offentlige myndigheder, konstaterer han.
Han anerkender også, at det kan være svært at prioritere politisk, når man også gerne vil sikre penge og ressourcer til børnehaver, skoler og pleje og omsorg til ældre. Men ikke desto mindre er det vigtigt, mener Jacob Herbst, for man kan nå langt med at sikre sig mod cyberangreb.
– Det svarer til en brandforsikring, som vi alle sammen har, men som vi dybest set først ser værdien af, hvis vores hus brænder ned. På samme måde er det svært at se værdien af cybersikkerhed, for hvis man lykkes med det, ser man jo ikke alt det, der kunne være gået galt. Men hvis man ser ind i trusselsbilledet, og hvor afhængige vi er af vores digitale løsninger, bør det være tydeligt, at man er nødt til at bruge penge og ressourcer på cybersikkerhed, siger han. antj@kl.dk
77%
af kommunerne oplever, at antallet af cyberangreb er steget de seneste to år.
Kilde: Momentums rundspørge blandt kommunerne. 75 kommuner har svaret på undersøgelsen
Her kan et cyberangreb ramme kommunerne
Ventelister til alt fra børnehaver og skoler til akutte boliger kan blive gjort utilgængelige.
Udbetaling af sociale ydelser og løn til kommunale medarbejdere kan blive udfordret, hvis systemerne bliver låst i et hackerangreb.
Medicinlister i ældreplejen kan blive låst inde digitalt, ligesom kørelister og journaler kan blive umulige at tilgå.
Undervisningsmaterialer kan blive utilgængelige for elever og lærere.
Oplysninger om socialsager eller personoplysninger om diagnoser, sygdomsforløb eller andet kan være i risiko for at blive lækket.
Forsyning der ikke er under kommunernes it-systemer, kan også blive angrebet, så det rammer forsyningen af el, vand og varme. Der er allerede set eksempler på, at danske forsyningsselskaber er blevet udsat for angreb.
Udstyr kan blive ramt i et hackerangreb og alt fra computere til ældres fald- alarmer kan blive påvirket.