Kalmar kommun: Detta har vi lärt oss av Akiras cyberattack

Den 6 februari i år gick Kalmar upp i stabsläge när kommunen utsattes för en cyberattack från hackergruppen Akira. Polisens förundersökning pågår fortfarande, så hur gruppen kom in i Kalmars miljö är fortfarande sekretessbelagt. Men det handlar i alla fall inte om en nätfiskeattack, enligt it-chefen Anna Stålbrand Sundh. 

– Akira har hittat en sårbarhet i vår tekniska miljö. Det är ingen phishingattack och det handlar inte om att någon medarbetare gjort fel och klickat på en skadlig länk, eller dylikt. 

Att kommunen vet att Akira är ansvariga för angreppet beror på att hackergruppen lämnat vissa digitala spår efter sig i Kalmars tekniska miljö. 

– I spåren från hackergruppen finns bland annat kontaktuppgifter till dem. Men vi har inte hört något om krav på lösensumma, och vi har inte haft någon dialog med dem överhuvudtaget. 

Fick tillgång till 7 000 lösenord

Det var i början av februari som Akira lyckades ta sig in i Kalmar kommuns it-miljö. Gruppen tog kontroll över kommunens AD (Active Directory) vilket gjorde att man fick tillgång till 7 000 anställdas användarnamn och lösenord. Därutöver kom man åt personuppgifter, e-post och så vidare. 

När kommunen upptäckte angreppet isolerade man direkt både det interna nätverket och internet. Något som verkar ha varit ett lyckat drag. 

– På så sätt kunde ingen komma in eller ut. Sedan tog det fem dagar för oss att bygga upp ett nytt AD, med nya lösenord för samtliga medarbetare. Dessa skickades ut via Kivra till dem som var anslutna till det. Övriga fick sina nya lösenord via brev som kuverterades på kommunen och delades ut via cheferna. 

Kommunen satte också upp ett “situation room” där it-avdelningen arbetade med allt kopplat till angreppet. 

– Vi byggde upp ett konferensrum bestående av bara massa datorer och personer. De första tre veckorna jobbade vi sju dagar i veckan, från morgon till kväll. Vi åkte egentligen bara hem för att sova, sedan tillbaka igen. 

– Nu är det mest akuta över och den viktigaste infrastrukturen är uppe, så vi har avvecklat rummet, men det blir fortfarande en hel del helgjobb. 

Nu ligger fokus på att återstarta alla kommunens 169 interna system. Systemen för hälsa, vård och omsorg prioriterades främst så de är i produktion sedan en tid, men det är fortfarande många kvar. Ett tiotal system är i drift och ett 20-tal är under verifiering. 

– Detta gör vi genom att på ett kontrollerat sätt tvätta servrar och återstarta dem. Forensiker går igenom servrarna så att det inte finns något skadligt på dem och skapar därefter skript för att rensa dem. Sedan låter vi servrarna vila i tolv timmar för att se att det inte händer något med dem. Därefter lägger vi upp servrarna i produktionsnätet. 

Hur lång tid kommer detta arbete att ta?

– Det är omöjligt att säga. Vissa system går fort att återstarta medan andra är komplexa och har många olika integrationer och kopplingar. Då måste vi först se till så att alla integrationer är avstängda, för att sedan sätta igång dem igen när vi startar upp systemet. 

– Och det är inte bara Kalmar kommuns system, utan det kan ju handla om integrationer med exempelvis Skatteverket och andra myndigheter. Det är många kopplingar som måste göras. 

Övade på cyberattacker i november

Mycket arbete har det blivit, och ännu finns en hel del jobb att göra. Anna Stålbrand Sundh menar dock att det hade kunnat vara mycket värre, om kommunen varit mindre förberedd. 

– Vi gjorde en ren torrsimsövning i november, på nästan exakt det här attackscenariot. Det gav oss en väldig trygghet när vi väl hamnade här. Det är en sak att ha en process nedskriven i ett dokument, men det är något helt annat att öva praktiskt på det. 

När kommunen genomförde den här övningen såg man behov av att ta in en extern expert ifall det skulle ske en riktig kris. Något som Kalmar gjorde direkt när olyckan var framme. 

– Vi har haft en extern expert som guidat oss genom hela det här arbetet. Att ta kontakt med en expertleverantör är något jag verkligen kan rekommendera. Gör det redan idag. 

En annan lärdom är vikten av att ha kontroll på alla system. För några år sedan byggde Kalmar kommun en samverkansmodell mellan it och verksamhet för att förvalta alla kommunens system. Varje system har en ansvarig från it och en från verksamheten, så när angreppet skedde var det lätt att veta vem man skulle kontakta.

– Vi har en lista på 373 system totalt, varav 169 är interna som drabbades av attacken. Att veta vilka alla dessa tillhörde var otroligt värdefullt. Det snabbade upp processerna och gjorde det enkelt att återskapa systemteamen. Den här systemdokumentationen har vi sparat ner på USB-stickor, så den inte kan försvinna.

– Vi hade också redan gjort en priolista, liggandes i ett kassaskåp, över vilka system som skulle prioriteras vid en attack. Högst på listan var – som tidigare nämnt – hälsa, vård och omsorg. Det var bra, för det hade gjort ont och tagit tid att behöva göra den prioriteringen under ett pågående angrepp. 

Endast en kommunikationskanal

Viktigt var också att krisledningsstaben kunde jobba relativt ostört efter attacken, menar Anna Stålbrand Sundh. Övriga verksamheten hade endast en kanal in från kommunens krisledningsstab till it. 

– Jag hade kontakt med övriga verksamheten löpande, flera gånger om dagen och lade mer fokus på kommunikationen utåt och helheten, medan vår driftchef som var incident manager kunde fokusera helt på personalen och jobbet. Vi kunde sitta isolerat i vår bubbla och bara jobba på. Det kom inte en massa förfrågningar från olika håll, vilket var väldigt viktigt. 

– Det har varit en intensiv månad som kostat kommunen mycket pengar och tid, som vi såklart hellre hade spenderat på andra saker. Men arbetet med att återställa allt fortsätter, och omfattningen av attacken hade nog blivit ännu större om vi inte hade förberett oss innan och haft diverse processer på plats.