Efter sju dagars kamp – så stoppade Lidingö ransomwareattacken

Samma år som Lidingö stad utsågs till Sveriges digitaliseringskommun utsattes kommunen även för ett stort ransomwareangrepp. Under eventet DIOS, Digitalisering i offentlig sektor, pratade it-arkitekten Per-Johan Gelotte om vad som egentligen hände när kommunen attackerades under våren 2019. 

Angriparna kom in via Microsoft Outlook efter att en medarbetare klickat på ett phishingmejl, och de försökte dels kryptera data, dels få information från nätverket. 

– Första upptäckten gjorde vi en kväll när vi var på väg hem. En dator hade fått in något som inte kunde tas om hand av vårt endpoint detection-verktyg. Vi isolerade datorn, satte på flygplansläge och drog ur nätverkskabeln. Morgonen efter hade 471 datorer drabbats, då viruset hade spottat ut massa små ägg i vårt nätverk, säger Per-Johan Gelotte. 

Då började krisarbetet. Per-Johan Gelotte och hans kollegor fick kalla in krisledningen och gjorde en anmälan till MSB. Kommunen skickade ut information till anställda via fysiska frukostmöten, sms samt informationsskärmar inne på kontoret. 

För att motarbeta attacken arbetade Per-Johan Gelotte i en incidentgrupp bestående av it-personal från kommunen, dygnet runt i sju dagar. Dessutom fanns en extern säkerhetskonsult som såg till att incidentpersonalen inte förvärrade situationen. 

– Våra inre kärnsystem var attackerade och vår klientpark slogs ut. 900 datorer behövde ominstalleras och en miljon kronor gick åt till incidentpersonal som tillsammans arbetade nästan 1 300 timmar. Men vi lyckades stoppa attacken i tid vilket gjorde att vi inte hann få några krav på lösensumma. 

Viktigt med "sovande" incidentpersonal

I arbetet med att stoppa angreppet fungerade vissa delar bra och andra delar sämre, menar Per-Johan Gelotte. En positiv del var att kommunen nyttjade krisledningen även i ett digitalt sammanhang. 

– Många verkar tycka att krisledningen endast är till för analoga incidenter, inte de digitala. Men för oss var det en fördel att kunna aktivera krisledningen direkt. 

– Viktigt var också att vi hade “sovande” incidentpersonal, det vill säga att det i krisledningen fanns individer som arbetar administrativt ute i exempelvis hemtjänst eller skola och som hade sin krigsplacering, om man får uttrycka sig så. De skulle infinna sig på vissa platser och göra det de ombads att göra, exempelvis installera om datorer.  Vi hade även gjort en informationsklassificering, så vi hade koll på vilka verksamhetens kärnvärden och kärndata var. 

Vad fungerade mindre bra? 

– Vi hade inga automatiserade åtgärder, utan vi behövde göra alla åtgärder manuellt. Dessutom hade vi segmenterat för snällt där vi släppte in för mycket hemmaprodukter, exempelvis Google Home-prylar. Vi hade även en aning låg medvetenhet i organisationen. 

Var du hela tiden övertygad om att ni skulle kunna stoppa attacken? 

– Första dygnet hade jag ibland en klump i halsen. I min roll behövde jag dock inge trygghet till resten av gänget och påvisa att det här kan vi klara av. Ju längre vi arbetade desto mer positiv blev jag, speciellt när vi började få bukt på det initiala problemet och vi slutade få återinfektioner. Då var det mer en tidsfråga innan vi kunde totalt utrota viruset genom stark isolering. 

För att motverka att liknande incidenter ska ske igen har Lidingö nu gjort ett antal säkerhetssatsningar. Genom Advanced Threat Protection från Microsoft ska en dator automatiserat kunna isoleras så att inte fler enheter i nätverket infekteras. Kommunen har också byggt in informationssäkerhet i Ledarlyftet som är ett ledarskapsprogram för chefer. 

– Nu måste alla chefer utbilda sig i informationssäkerhet så att de sedan kan sprida vidare kunskapen till sina anställda. Vi skickar också ut korta så kallade nanoutbildningar till anställda på det här området. 

– Utöver det tror jag även på mer okonventionella metoder i samhället. Exempelvis kanske vi behöver utbilda om det här i skolan och tänka på alla möjliga sätt framöver. De cyberkriminella utvecklas konstant och vi är hela tiden under hot, avslutar Per-Johan Gelotte.