Natta da kommunen mistet alle datasystemene sine

Det var nattevaktene som først oppdaget at noe var galt da de ikke klarte å logge seg inn på datamaskinene sine. Natt til 9. januar 2021 ble Østre Toten kommune utsatt for et utspekulert dataangrep som satte hele den digitale infrastrukturen til kommunen ut av spill i mange måneder.

1300 ansatte mistet tilgangen til e-poster, saksbehandlingsverktøy, timebestillingssystemer, pasientjournaler og andre systemer de er avhengige av for å kunne gjøre jobben sin.

V i stod i en situasjon hvor alle data kunne være tapt. Ingen nettverk eller annen maskinvare var tilgjengelig. Vi måtte ta i bruk penn og papir, mobilnett, private mobiltelefoner og nettbrett, samt noen få datamaskiner som ikke hadde vært koblet til nettverket, sier kommunedirektør Ole Magnus Stensrud i Østre Toten kommune.

Toten-kommunen er ikke alene om å ha blitt utsatt for alvorlige dataangrep. Stortinget har blitt hacket flere ganger, senest i vår utnyttet hackere en svakhet i e-postsystemet Microsoft Exchange. Helse Sør-Øst ble utsatt for et datainnbrudd i 2018 hvor man frykter pasientinformasjon til flere millioner mennesker kan ha blitt stjålet.

Ingen planer for å håndtere totalkollaps

I løpet av de nærmeste dagene ble det klart at dataangrepet var totalt. Alle data på de fleste kommunale systemer ble kryptert. Sikkerhetskopier og logger ble slettet. Det aller meste av kommunens digitale infrastruktur ble utilgjengelig over natta, noe som påvirket alt fra saksbehandlingssystemer, e-poster, døralarmer og til og med ladestasjoner for elbil. Signalsystemet på sykehjemmene sluttet å fungere slik at beboerne måtte varsle med metallbjeller hvis de trengte hjelp.

Kommunens IKT-løsninger var fullstendig lammet og kommunens ledelse satte krisestab for å håndtere denne uventede og dramatiske situasjonen.

– Vi hadde ingen planer for en slik totalkollaps, kun planer for linjebrudd og nedetid på enkeltsystemer, sier Stensrud.

Sammen med ordfører Bror Helgestad ble de enige om at kommunen skulle være åpen, ærlig og tilgjengelig i denne situasjonen.

– Det handler om tillit. Vi var i en situasjon hvor vi hadde utfordringer med å yte tjenestene våre og personsensitive data var på avveie. Det ligger i DNA-et i kommunesektoren å dele og være åpne, slik at flere kan lære av oss, sier han.

Kommunedirektør Stensrud trekker fram flere læringspunkter fra datainnbruddet.

– Den øverste ledelse må ha tilgang til og ansvaret for risikovurdering av enkeltsystemer og det totale datasystemet. Vi har fått på plass en del tekniske ting, slik som tofaktorautorisering, sikkerhetskopier er plassert offline, og vi har en soneinndeling av systemene som gjør det umulig å få tilgang til hele infrastrukturen hvis noen bryter seg i ett av de. I tillegg er det viktig å få utviklet en sikkerhetskultur i digitaliseringen av organisasjonen, sier han.

Måtte bygge opp systemene på nytt

Kommunen måtte bygge opp 400 datasystemer på nytt, hvorav 200 unike programvarer og tjenester. Driften av datasystemene ble outsourcet til Ikomm, et tidligere kommunalt eid IT-selskap.

Gjenopprettingen av datasystemene har til nå kostet kommunen 34 millioner kroner. I tillegg kommer indirekte kostnader som ikke er like lett å prissette, slik som at planarbeid og utviklingsarbeid har blitt satt på vent fordi det er vanskelig å holde politiske møter uten tilgang til saksbehandlingssystemet.

Stensrud er likevel stolt over at kommunen i stor grad klarte å holde hjulene i gang.

– Jeg har lært hvilken fantastisk styrke det er i kommuneorganisasjonen. De første systemene var oppe igjen i mai, og nå er det meste i drift igjen. På tross av utfordringene har vi levert tjenester hele perioden. Vi fant løsninger der det var nødvendig, sier han, men er likevel tydelig på at det har vært svært krevende.

– Jeg tror ikke det er innbyggerne som har merket mest til datainnbruddet, men det har røynet på internt i kommunen. Det har vært virkelig tøft for mange, sier han.

Et sammensatt trusselbilde

Nils Kalstad er leder for Institutt for informasjonssikkerhet og kommunikasjonsteknologi ved NTNU. Han peker på at private og offentlige virksomheter må forholde seg til et sammensatt trusselbilde.

– Trusselbildet består av hele spekteret fra halvautomatiske angrep som kan gjøres fra ungdomsrommet, til koordinerte angrep fra aksjonister og angrep fra statlig støttede grupper, sier Kalstad.

Han mener at hendelsene som rammet Østre Toten kommune har skapt en økende bevissthet rundt datasikkerhet i små og store virksomheter, men at sikkerhets er et kontinuerlig utviklingsarbeid som krever en systematisk tilnærming.

– Personvernforordningen og personopplysningsloven brakte med krav om at alle virksomheter som håndterer personvernopplysninger skal ha styringssystemer for informasjonssikkerhet. Likevel viser mørketallsundersøkelsen fra Næringslivets sikkerhetsråd at det er mange virksomheter som mangler styringssystemer og som ikke gjør et strukturert sikkerhetsarbeid, sier han.