Så hanterade Vellinge vårens cyberangrepp
Thomas Jarbo, it-chef, Vellinge kommun.
Vellinge kommun var en av många organisationer som drabbades när en stor it-leverantör utsattes för ett intrång i vintras. It-chef Thomas Jarbo berättar för Voister om de första dagarna efter attacken, hur arbetet fortlöpt för att återskapa förlorad data, vikten av en ordentlig kontinuitetsplan, och ger sitt tips till andra organisationer hur man kan försöka förbereda sig.
– Den 20 januari inträffade en attacken mot ett datacenter där Vellinge kommun har en majoritet av sina system och sin it-drift placerad. Den påverkan som vi upplevde då var omfattande, säger Thomas Jarbo, it-chef, Vellinge kommun.
Konkret, hur såg ni det, hur påverkade det er där och då?
– Sammanfattningsvis kan man säga att vi egentligen bara hade två förmågor kvar: telefoni och M365. Allt annat var utslaget vilket det innefattade våra infrastrukturtjänster, som ser till att nätverket fungerar, samtliga verksamhetssystem, men också våra molntjänster eftersom vi har federerad inloggning, allt det var utslaget.
Vad var det första ni gjorde de första 24 till 48 timmarna? Vad var viktigt att få i gång?
– Redan på lördagsmorgon när jag fick samtalet från vår it-driftsleverantör, beslutade jag att ta kontakt med mina kollegor. Vi visste inte riktigt omfattningen i det läget, alltså om det var en ”vanlig” stor incident eller något allvarligare. Men kommunens krisledningsgrupp samlades redan på lördag förmiddag. Sedan hade vi regelbundna avstämningar under hela helgen. Det allra första vi gjorde när vi visste att det här datacentret var isolerat och att vi var utan viktiga it-förmågor, var att vi aktiverade vår kontinuitetsplan. Det var ju en lördag, och viss verksamhet har 24-7-verksamhet som omsorgsavdelningen till exempel, medan skola och andra delar inte var berörda just i det direkta läget.
Kontinuitetsplan
En kontinuitetsplan innehåller information som hjälper personalen att veta vad den ska göra vid en störning i en kritisk aktivitet eller resurs. Syftet är att kunna upprätthålla verksamheten på en tolerabel nivå och att kunna återställa resursen så fort som möjligt.
Källa: MSB
Första veckorna, första tiden, hur var det?
– Chockartat om jag ska vara ärlig. Nu en sådan här solig dag i Tylösand känns det kanske avlägset och så, jämfört med vintermörkret och all den här informationen vi översköljdes av. Det var väldigt svårt att hantera informationsflödet initialt och att förstå vidden av det, framförallt hur länge det skulle hålla på. Det klarnade succesivt för oss, alltså vidden och omfattningen. Särskilt efter två dygn när vi fick första indikationerna på att något inte stod rätt till med våra backuper, började vi inse att det här var större än vad vi trodde initialt. Det visade sig då att en stor del av våra backuper var just krypterade och då uppnådde vi worst case scenario, som innebar att den här informationen förmodligen för alltid kommer att vara oåtkomlig för oss.
Vad för typ av information är det?
– Dessvärre är det den kritiska informationen, verksamhetssystem som vi ser som de mest primära, såsom journalsystem, personalsystem och så vidare. System som har information som vi verkligen betraktar som den absolut viktigaste för oss.
Var det en självklarhet att vara så förhållandevis öppna med att ni hade blivit attackerade?
– Nej det var det inte. Vi gjorde analyser inför varje uttalande egentligen. Det blev ett stort massmedialt fokus på just Vellinge. Det här är ett datacenter som driftar väldigt många kunders it-miljö, men av någon anledning så föll ljuset på oss. Vi försökte hitta en nivå där vi var transparanta, framförallt för att skapa förtroende för allmänheten. Vi ville på så sätt visa att vi lyckades bibehålla kommunala tjänster, trots då bristen på it-förmågor. Samtidigt i den andra vågskålen, vill vi inte ge facit till de som utfört attacken kring exakt vilka konsekvenserna blev. Det blev en medelväg som jag tror upplevdes som hyfsat transparant.
Hur ser det ut nu cirka fyra månader senare?
– Egentligen redan efter två dagar började den här enskilda incidenten innebära att vi hade två vägar framåt. Den ena var kring den miljön som gick att återläsa från backupen som var intakt. Det gick ganska snabbt och redan efter en till två veckor kunde vi återställa grundläggande infrastrukturtjänst med hjälp av leverantörer. Det andra spåret, och egentligen det som vi sysslat med under hela tiden och fortfarande jobbar med, är återuppbyggnaden av de här systemen där vi har förlorat data. Så systemen kom upp i drift där relativt snabbt, men tyvärr har det inte inneburit mer än att det är ett tomt kärl så att säga, som vi har börjat lägga in ny information i.
Är det ett tufft arbete att återskapa? Hur gör man det?
– Det kan liknas med ett pussel. Det är ett omfattande arbete helt klart. Nu är det såhär att 2024 har vi många olika it-system som hjälper kommunen på olika sätt. Vi levererar i olika rapporter, statistik till andra myndigheter och så vidare. Så det finns mycket spår av den här datan i kringliggande system. Så det närmsta man kan komma metaforiskt är väl att lägga ett 1000-bitars pussel då. Man letar efter informationsmängder som är begripliga och relevanta och försöker återföra dem på ett bra sätt och kvalitetssäkra dessa. Och hittar man in något får man gå tillbaka till papperskopior. Ett exempel är alla vårdtagare som har hemtjänst i kommunen. Varje brukare har utskrivna biståndsbeslut och då har vi åkt runt och samlat in den informationen manuellt och fört in i system igen. Det är en av de många pusselbitarna. Det är ett riktigt detektivarbete.
Hur har det påverkat kommunen, dels medarbetare, dels invånare?
– Det här skapar en stor stress för organisationen och vi har ansvar för väldigt känsliga områden, inte minst inom omsorgsavdelningen och inom socialtjänsten. Vi har sett en väldig styrka i de kontinuitetsplanerna som vi nu aktivt har använt under flera veckors tid och månaders tid i vissa fall. I korthet kan man säga att vi har haft alternativa arbetssätt för att upprätta det kommunala tjänsteutbudet. Det har gjort att vi har haft mycket små effekter hela vägen ut i kedjan i kommuninvånare. Vi fick tillbaka möjligheten att skicka ut sms-påminnelser för soptunneutrullningen till exempel för några veckor sedan, och den var efterlängtad. Det förstår jag, men det ger en känsla av vilken nivå av tjänst de varit utan. Mycket av det andra har vi kunnat tillhandahålla på annat sätt.
Avslutningsvis Thomas, vad har du för tips till andra it-chefer i kommuner och organisationer för att hantera en sådan här situation?
– Jag är ganska ödmjuk att komma med ”sanningar” för andra. Jag tror att vi har väldigt mycket att lära fortfarande i takt med att vi reder ut den här situationen. Men hittills har ett väl utfört kontinuitetsarbete i förväg och att de planerna verkligen har spelat en avgörande roll för oss, i såväl klassrum och på omsorgsboende som för andra områden i kommunen. Det vi har tagit till oss är, att man kan se det här som en stor skarp övning, ofrivillig dessutom, men som har gjort det betydligt mycket tydligare för oss hur vi behöver arbeta. Så tipset är att öva i praktiken; låt det inte bli en pappersprodukt, utan gå in i konkreta övningar för att stresstesta de planerna som finns.
Läs mer om ämnet: