Sykepleier Guri Bråthen tror det vil bli satt høyere krav til å ha systematisert dokumentasjon på papir i framtida. Hun har opplevd sårbarheten når datasystemene svikter.
Werner Juvik
marte.bjerke@fagbladet.no
{P2425846}
{m2}
9. januar blir Østre Toten offer for historiens største dataangrep på en norsk kommune.
{m1}
Den eneste beskjeden som ligger igjen fra hackerne er:
Protect your system, amigo!
{/p}
{P2525826}
{/p}
Klokka nærmer seg ni lørdag morgen niende januar. Kommunedirektør Ole Magnus Stensrud gjør noe han ikke har gjort på lenge – drikker kaffe på senga. Hittil har 2021 vært en heseblesende sprint, endeløse etapper med innføring av nye smittevernrestriksjoner. Ingen fridager så langt. Ole Magnus tar en slurk av kaffen og plukker fram telefonen. Men i dag. I dag skal livet gå langsomt.
Werner Juvik
Han skroller seg gjennom de vanlige postene på telefonen, leser en Facebook-melding om problemer med datasystemene på jobb, rekker så vidt å skjenke IT-avdelingen en tanke før telefonen ringer. Det som skal vise seg å være tidenes største dataangrep på en norsk kommune er et faktum. Kommuneledelsen setter krisestab. Klokka ti møtes de på rådhuset. Herfra er det maraton i sprintfart.
Ole Magnus Stensrud:
{w1101111}
Ole Magnus Stensrud, Kommunedirektør
Krypterte alle data og ba om løsepenger
– Hva gjør vi nå?
En drøy måned etter dataangrepet på Østre Toten sitter kommunedirektøren på kontoret og rekonstruerer historien om hva som skjedde da skjermene gikk i svart. Kommenterer at han burde ha rydda før vi kom, på skrivebordet ligger bunker med A4-ark sortert i lysegrønne foldere. Fortsatt foregår mye av arbeidet med penn og papir etter at den digitale tidsalderen forsvant over natta.
Østre Toten kommune har kjempa mot to virus i 2021 – krypteringsvirus og koronavirus. Oppryddingsarbeidet vil ta nærmere et halvt år og koste rundt 20 millioner kroner, anslår kommunedirektør Ole Magnus Stensrud.
Werner Juvik
Hackerne krypterte alle data og gjorde informasjonen uleselig for dem som ikke har krypteringsnøkkel. For å få nøkkelen, må kommunen betale løsepenger. Uaktuelt, sier kommunedirektøren.
Angrepet har ikke bare ført til akutte endringer i arbeidshverdagen til de ansatte, hackerne har også forandret kommunen for alltid.
{F1b}
Lammet alle tjenester
Back-up, fagsystemer, e-post, vaktlister til hjemmetjeneste og sykehjem, medisinkabinetter og alarmsystemer i helsesektoren, NAVs systemer, kommunens faste og trådløse nettverk – alt forsvant etter innbruddet. Helsestasjonen ante ikke hvem som kom til å dukke opp mandag morgen og barnevernet hadde ingen informasjon om pågående saker. De som mottok sosialhjelp ble bedt om å søke på nytt. Kommunen får ikke krevd inn eiendomsskatt eller levert regnskap og årsmelding innen fristen. De som behandler byggesaker bruker en dag på det som før tok to timer.
Ja, hva gjør vi nå?
{s1}
Oppryddingsjobben vil koste rundt 20 millioner
– Det jeg var veldig opptatt av, i tillegg til å finne ut hva som hadde skjedd, var å få levert tjenestene våre. Spesielt innafor helse og velferd er det tjenester som kan være kritiske i forhold til liv og helse, påpeker Ole Magnus.
Kommunedirektøren anslår at det vil ta rundt et halvår å rydde opp. Imens er det mange andre kommunale oppgaver som må nedprioriteres. Hittil har kommunen brukt ti millioner kroner på ryddejobben.
– Vi tror beløpet blir dobbelt så stort før vi er ferdige, og dette er bare de utgiftene vi har oversikt over, sier Ole Magnus.
– Men så har du kostnadene i form av mangel på tjenester til innbyggerne og slitasje på organisasjonen. Hvis vi omsetter dette til penger, innebærer det betydelige tap, legger han til.
Det har hopa seg opp for Anne Haugom, fagleder på arkiv. Hun får ikke skannet posten som kommer inn. Hver dag tar hun kopier som hun leverer til saksbehandlerne.
Werner Juvik
Noe positivt har riktignok kommet ut av elendigheten – Ole Magnus har fått oppleve den rause siden av Kommune-Norge.
– Det som er så utrolig fint i en kommune er at folk tar initiativ og finner løsninger. Vi har også fått mye hjelp og støtte utenfra, forteller han.
Tusenvis av angrep på kommuner hver dag
Hver eneste dag er norske kommuner utsatt for tusenvis av angrep fra hackere som forsøker å finne en ulåst dør inn i datasystemene.
– Det aller viktigste en kommune kan gjøre for datasikkerheten er å skape en organisasjon som er gjennomsyret av en sikkerhetsbevissthet, en kultur rundt IT-sikkerhet, sier Bjørn T. Tveiten.
– Det er viktig at noen i kommuneledelsen har kompetanse på digitale løsninger, sier Bjørn T. Tveiten.
Privat
Han er leder for Nasjonalt senter for informasjonssikkerhet i kommunesektoren – Kommune-CSIRT. Senteret ble etablert i fjor og har nå et tjuetalls medlemskommuner. Flere er på vei inn. Bevisstheten om IT-sikkerhet er økende, forteller Bjørn.
– Det er viktig at noen i kommuneledelsen har kompetanse på digitale løsninger. Vi ser ofte at kommuner setter ut IKT-tjenester til eksterne selskaper som har noe sikkerhetskompetanse. Plutselig er det ingen i ledelsen som har tilstrekkelig kunnskap til å kontrollere og stille krav, påpeker Bjørn.
Og kravene til sikkerhet er like store, uavhengig av kommunenes størrelse. Å ivareta datasikkerheten er derfor en særlig utfordring for små og mellomstore kommuner.
– Å sette ut IT-tjenestene løser aldri hele spekteret av sikkerhetsspørsmål. Det finnes heller ikke en «one size fits all»-løsning for alle kommuner. Kommunene har mange ansvarsområder og underliggende virksomheter som ikke nødvendigvis blir underlagt et eksternt driftsselskap, hvis man velger det. Et overordnet ansvar vil alltid ligge hos ledelsen, sier Bjørn.
{f2b}
Pasienthistorikk på hukommelsen
En kort kjøretur fra rådhuset på Lena er sykepleier Guri Bråthen og sykepleiestudent Kristine Stavn ferdige med formiddagens skift i hjemmesykepleien.
– Det er ganske tungvint, sier Guri, som også er kommunestyrerepresentant og tidligere Ap-ordfører.
– Vi er satt tilbake til da jeg starta som sykepleier, 15–20 år tilbake i tid, sier hun.
Guri Bråthen:
{w1101111}
Et av hjemmesykepleiernes viktigste verktøy, iPaden, fungerer ikke lenger. Nå må pasienthistorikken tas på hukommelsen, rapportene noteres på papir og legen ringes for å sjekke medisinering.
– Vi prøver å lage systemer som fungerer for oss, men så har vi også et krysspress med korona som gjør det slitsomt å være sykepleier nå. Vi skal ha oversikt og kontroll, og når vi som helsearbeidere ikke har det, da blir det slitasje på ansatte.
Et par papirlapper fungerer som dokumentasjon når dagens dont gjennomgås utafor det topp moderne og nybygde Labo. Bo- og servicesenteret er avhengig av teknologi for å fungere. Etter angrepet svikta alarmsystemet og beboerne måtte bruke bjeller for å påkalle de ansatte. Fra de kvadratiske vinduene ser man ut i det lavmælte Toten-landskapet som strekker seg mot verden. Der ute et sted sitter en gjeng kyndige hackere med informasjon om denne lille plassen som overgår det innbyggerne har selv.
Papiret har tatt over for iPaden i hjemmetjenesten. All dokumentasjon og rapportering arkiveres nå i permer som er innelåst i skap. Her gjennomgår sykepleier Guri Bråthen dagens arbeidsøkt med sykepleierstudent Kristine Stavn.
Werner Juvik
Sensitive opplysninger på avveie
Innlandet politidistrikt og Kripos antar at det er det internasjonale nettverket Pysa som står bak dataangrepet på Østre Toten, basert på hvilken programvare som ble brukt. Pysa er også forkortelse for Protect your system, amigo – signaturen som lå igjen etter angriperne. I fjor tok de blant annet på seg skylda for å ha slått ut datasystemene til bydelen Hackney i London. Her skal sensitive opplysninger ha blitt lekket ut på dark web. Dark web er et slags parallelt internett som krever spesiell programvare for tilgang. Mye kriminell virksomhet foregår på de skjulte delene av nettet.
I rådhuset på Lena er dette et ganske vanlig syn. Da de ansatte kom på jobb mandag 11. januar ble de møtt av svarte skjermer.
Werner Juvik
Politiet: – Saken har høy prioritet
Østre Toten veit ennå ikke om sensitive opplysninger om innbyggerne er på avveie etter angrepet i januar, men mener sannsynligheten er liten.
– Vi veit at hackerne har lasta ned noe data, men vi veit ikke hvilke. Det håper vi at vi skal finne ut, sier Ole Magnus.
Politiadvokat Marte Johansen i Innlandet politidistrikt forteller at etterforskningen fortsatt er i en tidlig fase, at det er fare for bevisforspillelse og at politiet derfor er restriktive med hvilke opplysninger de går ut med.
– Saken har høy prioritet, og vi håper at vi skal komme i mål. Men dette er også en sak som kan ta litt tid, sier politiadvokaten til Fagbladet.
Hun peker på at en løsning ikke bare kan føre til straffeforfølgelse av de skyldige, men også til forebygging av lignende angrep andre steder.
– Hackerne kom oss i forkjøpet
Hackerne har brukt tid og gjort seg kjent inne i datasystemene til Østre Toten før de slo til, men kommunen veit foreløpig ikke hvordan de tok seg inn, om svakheten lå i de tekniske løsningene eller i personlige feil.
I desember i fjor hadde alle kommunene i Gjøvik-regionen en sikkerhetsgjennomgang av datasystemene. Denne gjennomgangen avdekket noen svakheter ved datasikkerheten til Østre Toten, men tiltakene som var foreslått var ikke gjennomført natt til 9. januar.
Østre Toten og kommunedirektør Ole Magnus Stensrud veit ennå ikke hvordan hackerne kom seg inn bak brannmurene til kommunen. Det håper både de, politiet og Kripos å finne ut av.
Werner Juvik
– Hackerne kom oss i forkjøpet, sier Ole Magnus.
– Det er for tidlig å si om tiltakene hadde hindra dem i å komme inn. Å følge opp den sikkerhetsgjennomgangen blir et viktig punkt i 2021, fortsetter han.
– Fram att med penn og skrivebøker
Linda Snoen får så vidt plass til et skrivebord og et arkivskap på det lille kontoret i rådhusets underetasje. Begge deler har vært i hyppig bruk den siste tida. Linda jobber med lønnskjøring og fravær. Da alle systemene knela, var det «fram att med penn og skrivebøker».
Arkivskap og papirblokk er blitt de viktigste arbeidsredskapene til Linda Snoen etter dataangrepet. Hun er konsulent på lønn i Østre Toten.
Werner Juvik
Noe dokumentasjon var heldigvis lagra i arkivskapet, dessuten har nabokommunen Gjøvik vært til stor hjelp.
– Vi er fem nabokommuner som bruker Visma, og vi ser fordelen med det nå. Gjøvik tok kontakt etter angrepet, og vi fikk logga oss på der, forteller Linda.
Deler av kommuneadministrasjonen er flytta til Gjøvik inntil videre.
Linda har egentlig aldri hatt noe bevisst forhold til datasikkerhet før hackerne brøt seg inn i kommunens systemer.
– Du gjør bare det du får beskjed av IKT-kara om å gjøre, og så logger du deg på, sier hun.
Linda Snoen:
{w1101111}
Men etter angrepet er IT-sikkerhet blitt et av de hete samtaletemaene rundt kaffemaskinen.
– Det er nok mange som har fått seg en aha-opplevelse. Vi har for eksempel diskutert hvorfor vi ikke har hatt tofaktorautentisering tidligere. Det har sikkert med penger å gjøre. Kommunene er ikke lovpålagt å ha det, men kanskje blir det lovpålagt i framtida. Jeg vil tro det er mange kommuner som har lært litt av oss også, sier Linda.
{F3b}
Tofaktorautentisering og utflytting av IT-avdelingen
Tofaktorautentisering er noe av det som er kommet for å bli i Østre Toten kommune, bekrefter kommunedirektøren.
– Vi kommer til å endre sikkerhetskulturen. Vi har jobba i mange år med å gjøre ting enklere, men nå må vi gjøre det på en sikrere måte. Det kan være litt konflikt mellom effektivitet og det å gjøre ting sikrest mulig, påpeker Ole Magnus.
I tillegg har angrepet ført til en avgjørelse om å legge ned IT-avdelingen og sette IT-driften ut til selskapet Ikomm. Les mer om «outsourcing» av IT-driften i Østre Toten her.
{F4b}
– Min konklusjon er at det blir en kjempeutfordring for en kommune på Østre Totens størrelse å sette opp og opprettholde en IT-avdeling med riktig kompetanse. Dette blir også en ganske stor avdeling i forhold til kommunenes størrelse, sier Ole Magnus.
Angrepet har riktignok ikke ført til noen digitaliseringsskepsis:
– Vi kommer til å benytte anledningen til å sette enda større fart på digitaliseringen, sier kommunedirektøren.
– En fallitterklæring å sette ut IT-tjenestene
Erik Cato Haug står i rådhusets foajé. Sola skinner inn gjennom vinduene bak ham og avdekker det mest råflotte dette bygget er blitt påspandert: noen stoler i freshe farger og en vegg dekt av mose. På en reol ved siden av moseveggen ligger et par permer – en fysisk påminnelse om den nylige digitale kollapsen. Vil du ha innsyn i hva kommunestyret skal behandle på neste møte, må du komme hit og bla i permene.
I et ellers nøkternt og kommunegrått rådhus møtes innbyggerne av fargerike sittegrupper og en vegg kledd med mose når de kommer inn gjennom skyvedørene til foajeen. Her ligger dessuten permer med dokumenter for dem som vil ha innsyn i kommunale saker. De politiske prosessene er også blitt rammet av hackerinnbruddet.
Werner Juvik
Et par luftfuktere damper mot veggen og sørger for at lukta av skog spres i foajeen. Erik er leder i Fagforbundet i Østre Toten og har sin første arbeidsdag på rådhuset på lenge. Han er kritisk til at kommunen nå setter ut IT-driften til et eksternt firma.
– En fallitterklæring, kaller han det.
Erik Cato Haug har sin første dag på kontoret i Fagforbundets lokaler på lenge. Han er bekymra for slitasjen på de ansatte og er kritisk til at kommunen nå legger ned IT-avdelingen.
Werner Juvik
Dette er en oppgave det offentlige bør ta seg av, mener fagforeningslederen.
– Jeg synes dette er et varsku. Når det er snakk om pengesekken i Kommune-Norge er det to store sektorer som skaper følelser: helse og omsorg og barn og oppvekst. Da kommer nok mange av de andre oppgavene i bakevja, og så har kanskje heller ikke vi vært klare nok på at IKT må få sin del av midlene til å drifte godt, sier Erik.
Fagforbundet sentralt er enig med Erik – datasikkerheten bør ivaretas av det offentlige.
– Vi mener at en offentlig skytjeneste er den riktige veien å gå. Slik kan vi sikre at ikke utenlandske aktører tar hånd om persondataene til norske innbyggere, sier Trond Finstad, leder for yrkesseksjon kontor og administrasjon i Fagforbundet.
– Politikerne bør nå ta stilling til en skytjeneste i offentlig regi, mener Trond Finstad, leder Seksjon for kontor og administrasjon i Fagforbundet.
Øystein Windstad
Han refererer til det tyske Die Bundescloud. Tyskland drifter og organiserer IKT-tjenestene sine selv og har valgt å være uavhengig av internasjonale selskaper.
• Vil du vite mer om skytjenester i offentlig sektor? Se denne FAFO-rapporten.
– Når Fagforbundet og NTL sammen har tatt til orde for en offentlig eid skytjeneste, så ser vi for oss at all offentlig data skal inn der – fra en liten kommune til statlige institusjoner som Skatteetaten, forklarer Trond.
{s2}
Han mener også at Digitaliseringsdirektoratet og Datatilsynet må komme mer aktivt på banen for å gjøre kommunene bedre i stand til å motstå angrep. En tydelig oppfordring sender han dessuten til Stortinget:
– Politikerne bør nå ta stilling til en skytjeneste i offentlig regi.
Papiret har også sine fordeler
De ansatte i Østre Toten har fått erfare hvor tungvint hverdagen blir hvis den digitale sikkerheten ikke er god nok. Sykepleier Guri Bråthen minnes motstanderne av digitaliseringen for en tiårs tid siden:
– Nå lengter de etter de digitale hjelpemidlene, sier hun med et skjevt smil.
Sykepleier Guri Bråthen tror det vil bli satt høyere krav til å ha systematisert dokumentasjon på papir i framtida. Hun har opplevd sårbarheten når datasystemene svikter.
Werner Juvik
Men selv om kommunen skal bruke oppryddinga etter dataangrepet som moment for å få enda større fart i den digitale utviklingen, tror Guri det vil bli stilt større krav til å ha dokumentasjon på papir i framtida.
– Vi hadde noe dokumentasjon liggende, men vi ser at det kunne vært bedre systematisert. Det blir veldig sårbart når datasystemet er nede, sier sykepleieren.
Og selv om hverdagen på papir er tungvinn, virker den også disiplinerende.
– Det er mye unødvendig dokumentering. Nå dokumenterer vi kun det nødvendige.
Vi er satt tilbake til da jeg starta som sykepleier, 15–20 år tilbake i tid.
Guri Bråthen, sykepleier
Det er nok mange som har fått seg en aha-opplevelse. Vi har for eksempel diskutert hvorfor vi ikke har hatt tofaktorautentisering tidligere.
Linda Snoen, konsulent lønn
Østre Toten
• Kommune i Innlandet fylke
• Ca. 15 000 innbyggere
• Lena er administrativt sentrum
• Ca. 1300 kommunalt ansatte
Fem tips til god datasikkerhet på jobb og hjemme
1. Ikke åpne innhold i vedlegg som kommer på e-post. Får du spørsmål om å åpne, svar alltid nei.
2. Ikke klikk på lenker i e-poster, hvis ikke du er helt sikker på hvem som er avsender.
3. Lag lange passord. De nye anbefalingene er minst 15 tegn, og gjerne en hel setning som er lett å huske. Bruk av dialekt kan være en god idé.
4. Ikke gjenbruk passord. Skaff deg en digital passordkeeper eller en bok der du noterer passordene dine. Oppbevar den på et sikkert sted.
5. Tofaktorautentisering er et viktig tiltak. Når man innfører dette i en kommune, må det gjelde alle, ingen må få unntak. Hackere utnytter unntak.
Kilde: Bjørn T. Tveiten, leder for Nasjonalt senter for informasjonssikkerhet i kommunesektoren
Tofaktorautentisering
• Ved tofaktorautentisering må du i tillegg til å logge deg inn med brukernavn og passord, bekrefte identiteten din med en kode du får tilsendt på en annen enhet, eller en kodebrikke. For en mer generell definisjon, se her.
Ikomm
• Østre Toten skal bruke selskapet Ikomm til å håndtere IT-tjenestene for kommunen i framtida.
• Ikomm ble etablert som et interkommunalt selskap av Lillehammer, Gausdal og Øyer i 2003.
• Disse tre kommunene har nå majoriteten av aksjene i aksjeselskapet Ikomm. Nesodden og Indre Østfold kjøper også IT-tjenestene sine herfra.
::-----------------------------------
t: Tittel i bildet [x][x]
t!-----------------------------------
u: Skygge under tittel [x][x]
u!-----------------------------------
f: Farge på tittel [#ffffff][#ffffff]
f!-----------------------------------
x: Tittel-look []
x!-----------------------------------
h: Tittel-plassering [1]
h!-----------------------------------
y: Bilde 2 som bilde på mobil []
y!-----------------------------------
i: Usynlig hovedbilde [x]
i!----------------------------------------------------
a: Video som hovedbilde:
auto [] kontr [] loop [] ikke fs [] stille []
a!---------------------------------------------------
e: Titteleffekt [][]
e!-----------------------------------
z: Tittelstørrelse [6][13]
z!-----------------------------------
j: JS-lenke [fburl/mapper/spesial/2021/hackerangrep/hackerangrep.js]
j!-----------------------------------
k: JS-lenke []
k!-----------------------------------
l: JS-lenke []
l!-----------------------------------
c: CSS-lenke [fburl/mapper/spesial/2021/hackerangrep/hackerangrep.css]
c!-----------------------------------
v: CSS-lenke []
v!-----------------------------------
b: CSS-lenke []
b!-----------------------------------
– Det er viktig at noen i kommuneledelsen har kompetanse på digitale løsninger, sier Bjørn T. Tveiten.
Privat
Sykepleier Guri Bråthen tror det vil bli satt høyere krav til å ha systematisert dokumentasjon på papir i framtida. Hun har opplevd sårbarheten når datasystemene svikter.
Werner Juvik