• Digital säkerhet
  • Traditionell säkerhet
  • I FOKUS
  • Nyhetsbrev

SOMMARLÄSNING: ”Vi ledde i det okända”

När medarbetare inom Kalmar kommun kom till jobbet tisdagen den 6 februari fungerade inte systemen. Några timmar senare stod det klart att man utsatts för en allvarlig och aggressiv cyberattack. Anna Flink, som är säkerhetschef på Kalmar kommun, berättar om starten på en krishanteringsresa som hon i skrivande stund ännu inte ser slutet på.

-

– Något av det första vi gjorde när vi insåg vad som hade hänt var att dra ut sladden så att ingen hade tillgång till systemen. Och omgående aktiverades organisationen i stabsläge. Sedan gick vi upp i stabsläge, berättar Anna Flink.

– Därefter fick vi sätta oss ner och fundera på vilket innehåll vi behöver; analys, kommunikation och it-kompetens var vad som prioriterades. Vårt fokus var riktat mot att säkerställa den samhällsviktiga verksamheten som till exempel skola, socialtjänst, omsorg, vatten.

Bland annat skolor och omsorg drabbades och tvingades gå från digitalt till manuell hantering av såväl läromedel som journaler. De fick helt enkelt plocka fram penna och papper och göra som förr i tiden för att hantera saker som avprickning av närvaro i skolan, se över scheman, listor över omsorgsbrukare och annat. Däremot påverkades inte funktioner som trygghetslarm, telefoni, hissar och lås eftersom de ligger utanför kommunens system.

– Känslan av att vi har att göra med en aktör som kommit innanför var mycket obehagligt, men detta var också något vi var tvungna att tackla – hur ska vi hantera att en främmande part har tagit sig in och velat förstöra? Jag menar, detta handlade inte om ett phishingmail utan någon hade attackerat oss, fortsätter Anna Flink.

Sedan tidigare hade Kalmar kommun en arbetsgrupp för beredskap som består av representanter från både bolagssidan och förvaltning. Dessa fick i uppgift att kanalisera händelsen och tack vare dem hittade man en systematik under de första dagarna som såg till att kommunen som samhällsviktig verksamhet kunde tuffa på.

– Vi gjorde även en formell anmälan om att vi var utsatta för brott. Därefter har ju polisen sin tågordning kring hur de arbetar i deras organisation. Och eftersom det var ett säkerhetskänsligt läge kopplades även Säpo in.

Hon berättar att kommunen fick snabbt och bra stöd av såväl MSB via Cert som polisens regionala it-brottscentrum samt Säkerhetspolisen.

– De hjälpte och stöttade oss och skapade förutsättningar i den egna organisationen för att därefter kunna vägleda oss genom det här, det är vi mycket tacksamma över, säger Anna Flink.

Dagarna i stabsläge inleddes med en samverkanskonferens tillsammans med berörda parter, i vilken bland annat räddningstjänsten deltog. Anna Flink förde dessutom samtal externt med både polis och länsstyrelse som bistod med att samordna kommunen med lokala aktörer i regionen. Verksamheter utanför kommunen hade även de ett stort behov av att ta del av vad som skett, så de i sin tur kunde ta ställning till vilken beredskap de behövde ha för att minska riskerna i sina respektive verksamheter. I ett tidigt skede anordnades därför en pressträff för att delge att man drabbats, men djupare än så gick det inte att gå på grund av situationens säkerhetskänsliga natur.

– Allting handlade om att Kalmar kommun som verksamhet måste fortsätta att klara av sitt uppdrag. Och vi som ingick i staben tillhörde i huvudsak kommunledningskontoret, där vi var och en också har andra uppdrag som ligger utanför detta – uppdrag som vi inte bara kunde lägga åt sidan. Därför var vi snabba in i processen med att prata kontinuitet för att ingen skulle behöva jobba dygnet runt och därmed bränna ut sig. Vi såg över schema och arbetstider och satte därför tre till fyra personer på varje funktion. Även under en kris och aktiverad stab gäller arbetstidslagen.

Hon passar på att hylla kreativiteten och uppfinningsrikedomen hos de medarbetare som var med i staben.

– Rätt snart började vi titta på kreativa lösningar som att vi till exempel kunder använda oss av myndighetsbrevlådor. Alla gick in med en fantastisk kämparglöd!

Anna Flink pratar mycket om att behöva göra prioriteringar när hon beskriver kommunens krishantering. En stor sådan var till exempel att bestämma vem som skulle få första tjing när man väl kunde koppla på igen och här sattes liv och hälsa i första rummet.

– En annan prioritering var att betala ut löner. En kommunkoncern har stort ansvar för att hantera ekonomi internt men även mot externa aktörer och detta arbete har varit en del såklart. Man ska ha klart för sig att det kostar mycket att inte betala i tid. Däremot har vi inte haft tillgång till information om tider, semestrar och annat eftersom att det ligger digitalt, så det var också något vi är igång med att hitta vägen för.

Från invånarhåll fanns det förstås en oro att information och känslig data hade läckt. Kommunen jobbade hårt med att hålla en öppen extern dialog med dem för att minska oron.

– Det var också en utmaning för oss när vi gick ut i media – hur ska vi kommunicera ut detta och vem ska kommunicera det? Vilka beslut var vi tvungna att fatta på insidan för att man i mediehanteringen skulle känna sig trygg?

– Vi försökte lösa detta genom att bygga upp en gemensam förmåga som gick ut på att vi skulle ta hand om varandra i allt detta. Och det kunder förstås vara så att det togs ett beslut klockan 11 på förmiddagen som sedan fick rivas upp klockan 12, men så är det i en krishantering. Vi ledde i det okända.

Hur är det då att vara säkerhetschef när något sådan här händer – kände du någon oro att det bara skulle bli värre?

– Mitt jobb går ut på att skapa trygghet och det är vad jag måste fokusera på. Jag som säkerhetschef kan inte gå runt och oroa mig, då skulle jag gå sönder. Det handlar mycket om en psykologisk trygghet; att finnas där för mina kollegor och medarbetare i ett stabsläge. Det finns alltid en risk för att staben driver iväg, så den stora utmaningen är att försöka hålla samman verksamheten och alla som ingår i den.

– Och vad gäller andra säkerhetsrelaterade frågor så kan det vara så att man väntar med dem när något sådant här händer av hänsyn för man tänker att vi är jätteupptagna. Men hela värdet av min roll är att jag ska finnas där för att ta emot frågor och synpunkter.

Hon framhåller även kollegorna och det arbete som gjorts i kölvattnet av attacken.

– Jag tycker att man har gjort ett fantastiskt arbete i Kalmar, framförallt när det kommer till digitaliseringen och de hårda värdena. De mjuka värdena måste vi träna på men de ligger också i samhällsutvecklingen och i tiden.

Är det för tidigt att fråga vad ni har lärt er?

– Detta är inget som är över nu, bara för att vi gått ner från stabsläge [två veckor efter attacken, red. anm.] utan jag tror säkert att detta finns med i minst tre månader framåt. Den akuta tiden var akut, nu väntar allt annat som kommer i kölvatten av krisen och den skada som skett.

– Med det sagt så har vi sagt att vi får hantera detta över tid och när vi väl ser att vi börjar närma oss någon form av bild, då kan vi börja att lägga pusslet bakåt i tiden; se över vad som vi hanterade bättre och vad som var särskilt svårt. Men jag kan säga redan nu att vi var mycket duktiga på att i det akuta skedet få in alla funktioner och att kommunicera det till dem – det klarade vi alldeles utmärkt. Vi har lärt oss att det finns en hög tillit när man går in på ett möte, att man får med sig konkret information därifrån. Det bidrar till att vi alla kan se ett värde i att jobba på detta sätt.

– Sedan är det förstås så att man alltid kan vara fler och ha större kompetens men vi har gjort ett fantastiskt jobb – vilket gäng! Det är enorm trygghet att få arbeta tillsammans med så sjukt duktiga verksamhetsutövare som verkställer att skola och vård fungerar dagligen, kriser till trots.

FAKTA
Namn: Anna Flink
Ålder: 53 år, 6 september
Yrke: Säkerhetschef/säkerhetsskyddschef

IT-ATTACKEN MOT KALMAR KOMMUN
Den 6 februari utsattes Kalmar kommun för en cyberattack. Experter tror att det är hackergruppen hackergruppen Akira som ligger bakom. Akira har kopplingar till Conti, en annan hackergrupp och som enligt rapporter har uttryckt sitt stöd för Vladimir Putin och Ryssland. Akira är även den hackergrupp som tros ligga bakom den omfattande attacken mot Tietoevry som natten mot den 20 januari i år drabbade flera verksamheter världen över, därav runt hundratalet i Sverige.

REKLAMSAMARBETE

Informationssäkerhet måste skapas längs hela leverantörskedjan

I en tid av ökad digitalisering och allt mer komplexa hotbilder är kontroll av leverantörskedjor kritiskt för att skydda samhällsviktig verksamhet. Eftersom dagens tekniska...

FLER NYHETER

Lär av brandsäkerhet – it-säkerhet är mer än bara nästa cyberangrepp

Det här är en opinionstext. Åsikter som uttrycks är skribentens egna.Historiskt har cybersäkerhet betraktats som ett ansvarsområde för it-avdelningen. Men med åren har vi...

REKLAMSAMARBETE

Kurs i NIS2 förbereder företag för kommande cybersäkerhetskrav

Från tisdag till torsdag vecka 6 och vecka 11 erbjuds två tredagars distanskurser med fokus på det kommande NIS2-direktivet, som väntas bli lag i...

UNDERSÖKNING: Kunskapsbrister bromsar AI-utvecklingen

I en ny global undersökning som presenteras i samband med Ciscos event Cisco Live EMEA, uppger 80 procent av respondenterna att de har bra...

REKLAMSAMARBETE

6 Reasons to choose Milestone XProtect

In today’s dynamic world, basic video recording barely scratches the surface of what your security system needs. You require a vigilant security posture, capable...

Ny undersökning granskar säkerhetsrisker med Deepseek och andra AI-modeller

Cisco beskriver processen och resultaten i en ny bloggpost. Forskarna har använt sig av prompter från Harmbench, ett standardiserat ramverk för att automatisera simulerade cyberattacker för...

Presto byter vd

Staffan Pehrson har lång erfarenhet från olika branscher och har haft ledande befattningar på företag som Ericsson, Nefab och Anticimex.– Jag är ödmjuk inför...

REKLAMSAMARBETE

”Vi delar syfte – stärka Sveriges förmåga att hantera komplexa säkerhetsutmaningar”

Hallå där Pernilla Hörnfeldt, Mötesplats Samhällssäkerhet, i år är ni med som sponsor av Säkerhetsgalan som går av stapeln den 30 september i Stockholm...

Avarn och Postnord lanserar nytt konccept för larmuttryckningar

– Larmet inkommer till larmoperatörerna, som vidarebefordrar det till våra utryckningsväktare, som åker ut till platsen för att säkerställa att laddboxen och fordonet återfår...

Cisco öppnar Point of Presence i Sverige

– Många av våra svenska kunder är verksamheter som redan kommit långt på sin molnresa och är globala organisationer. De kräver bästa möjliga säkerhetsnivå...

Grönt datacenter invigt i Eskilstuna

– Vi vill maximera samhällsnyttan per megawatt genom att bygga ekosystem. Vår första site som nu lanseras i Eskilstuna är ett ekosystem där energi...

IMY godkänner förslag om nya regler för registerkontroller i kommuner

Utredningen Utökade registerkontroller vid anställning i kommun föreslår utökade möjligheter för kommuner att kontrollera uppgifter om tidigare brottslighet för personer som utför vissa insatser i hemmet...

Svensk innovation stärker säkerheten på Wembley Stadium 

CRD Protections produkter var de enda som uppfyllde Wembleys och the FAs nya, hårda kravställningar, efter våldsamheterna under EURO 2020. Affären är en i...

Ny CIO hos Seriline

– Jag är mycket glad att få bli en del av teamet på Seriline och ser med spänning fram emot vad vi tillsammans kan...

TCS levererar AI till den europeiska flyg- och försvarsindustrin

Leveranscentret har som syfte att underlätta AI-driven transformation och främja innovation inom flygplansdesign, tillverkning och underhållsprocesser för TCS kunder i Europa. Detta omfattar bland...

Det är inte bara dina data som skadas av en hackerattack – det gör dina anställda också

Det här är en opinionstext. Åsikter som uttrycks är skribentens egna.Alla som har blivit utsatta för bedrägeri, stöld, överfall eller en cyberattack känner till...

Sveriges första militära satellit uppskjuten i rymden

Rymdens roll som en strategisk och operativ domän blir tydligare för allt fler aktörer, inklusive Nato och EU. Satelliten, GNA-3, opereras av Försvarsmakten och är...

Cybersäkerhetskollen: Sex av tio företag brister i säkerhetsarbete

Förutom att Cybersäkerhetskollen 2024 visar på allvarliga brister i cybersäkerhetsarbetet hos en majoritet av de samhällsviktiga verksamheterna, visar mätningen också att endast 8 av 120 deltagande...

Lär av brandsäkerhet – it-säkerhet är mer än bara nästa cyberangrepp

Det här är en opinionstext. Åsikter som uttrycks är skribentens egna.Historiskt har cybersäkerhet betraktats...