Kalmar kommun utsattes för en cyberattack som hotade att lamslå hela den digitala infrastrukturen. I en kamp mot klockan och en osynlig fiende tvingades kommunen mobilisera alla sina resurser. Det gällde att snabbt isolera hotet, rädda data och återställa sina system.
Ett oväntat samtal skakade om den tidiga februarimorgonen. IT-chefen Anna Stålbrand Sundh minns att klockan just blivit tjugo över sex när kommundirektören hörde av sig. Omsorgsförvaltningens system hade kraschat – och nu behövde man hjälp.
– Snart stod det klart att systemfelet bara var toppen på ett isberg, börjar Anna Stålbrand Sundh sin berättelse.
Det som hände i Kalmar kommun kan inträffa var som helst och under KommIts höstkonferens är det många som ville lyssna på Anna Stålbrand Sundhs erfarenheter. Det är knäpptyst i salen när It-chefen fortsätter på tidslinjen den sjätte februari 2024.
– När jag förstod att vi var utsatta för en cyperattack från Akira kontaktade jag kommunens driftchef och säkerhetssamordnare direkt. Vi samlade omedelbart ihop en krisledningsstab, berättar hon.
Vikten av snabba insatser
Därefter började en kamp mot klockan. Snabbt drog man ut alla sladdar för att isolera hotet och stänga ute angriparen från It-miljön. Men till viss del var det redan för sent.
Angriparna hade utnyttjat en sårbarhet, en osupporterad VPN, för att ta sig in i It-miljön och påbörja en bärsärkargång.
– Det var en chock. Ingen användare hade gjort något fel och kommunen var egentligen inte ett mål för en avancerad attack. Det handlade snarare om någon som bara ville orsaka skada, säger Anna Stålbrand Sundh.
Under de första timmarna och dagarna var det inte bara de tekniska utmaningarna som ställdes på sin spets, utan också kommunikationen och samarbetet mellan olika aktörer. Det var viktigt att både vara transparent och att ha kontroll på vilken information som gick ut. Till exempel granskades allt som skickades ut till allmänheten noggrant.
Anna Stålbrand Sundh berättar att hon själv fungerade som en länk mellan IT-enheten och krisledningsstaben och att hon hade kontakt med digitaliseringschefen hela tiden.
– Jag ansvarar för It-delen och digitaliseringschefen Niklas Hörling för verksamhetssidan. Vi har olika roller, han är den lugna och metodiska, jag är den mer fyrkantiga, säger hon.
Tillsammans kompletterar de varandra, säger Anna. Hon jämför samarbetet med som ett schampo och balsam. Där hon liknar sig själv med schampot, som visserligen är effektivt men lämnar en trasslig härva efter sig.
– Niklas Hörling är som ett balsam som slätade ut alla tovorna, säger hon.
Övning och samarbete
Efter att IT-enheten isolerat hotet, började den verkliga utmaningen. Nu gällde det att säkra systemen och begränsa skadorna. Kommunens digitala landskap var enormt – 373 system, varav 169 driftades internt och resten var molnbaserade – och det fanns mycket att hantera.
– Vi hade 4 300 datorer i drift, och av dem var 160 infekterade. Vi ominstallerade dem omedelbart, säger Anna Stålbrand Sundh.
Men även om den tekniska insatsen var avgörande, var det en annan faktor som visade sig vara betydande – det nära samarbetet mellan IT och verksamheterna. Under flera år har Kalmar kommun arbetat med en samverkansmodell som styr hur verksamhetssystemen förvaltas. Nu blev modellen avgörande i krisarbetet.
– Vi visste exakt vem som var specialist på varje system och vi hade redan etablerade prioriteringslistor för vilka system som var mest kritiska.
Några månader innan attacken hade It genomfört en skrivbordsövning ihop med externa leverantörer, vilket nu visade sig vara ovärderligt. Tack var övningen fanns en plan för hanteringen av ett cyberangrepp att luta sig mot.
– Vi var otroligt fokuserade. Det var inte bara IT-avdelningen som jobbade hårt, utan hela kommunen. Alla hjälptes åt, vilket var fantastiskt att se, säger Anna Stålbrand Sundh.
Hjälpen fullbokad
Under skrivbordsövningen hade vikten av att snabbt kontakta externa experter betonats. Ett råd som It-chefen följde direkt. Men det visade sig dock vara svårare än Anna hade trott att få tag i rätt hjälp. De första hon kontaktade visade sig vara ”fullbokade” och hade inte tid att rycka in.
– Det tog längre tid än jag hade hoppats, men till slut lyckades vi får tag i bra stöd. Hjälpen vi fick var helt avgörande, säger hon.
Det viktigaste kommunen lärde sig från attacken är hur snabbt ett angrepp kan eskalera och hur betydelsefullt det är att ha rätt säkerhetsåtgärder på plats. Ett tips från Anna Stålbrand Sundh är att hålla koll på statstiken från brandväggarna.
– När vi såg statistiken för januari, visade det sig att det hade genomförts 13 miljoner försök att tränga sig in i våra system, jämfört med normala sex miljoner försök i månaden, berättar hon.
Bättre förberedda
En annan viktig lärdom var att inte underskatta vikten av kontinuerlig uppdatering och ständig förbättring av IT-säkerheten. Att om möjligt vara ännu mer försiktiga och noggranna i digitaliseringsprocessen.
– Efter angreppet har vi infört multifaktorautentisering för inloggning i M365. Det är förstås mycket krångligare för användarna och oss, men det känns definitivt säkrare.
Det tog tre månader – och kostade It omkring 7,5 miljoner kronor – innan alla kommunens system var återställda och i drift. Med katastrofen i backspegeln kan Anna Stålbrand Sundh ändå se en vinst för hela kommunen. Nu är man mer förberedd än någonsin tidigare på att hantera en liknande händelse i framtiden.
– Vi har lärt oss väldigt mycket. Framförallt har vi fått en värdefull insikt om hur viktigt det är att både vara snabba och noggranna i vårt arbete, avslutar Anna Stålbrand Sundh.
Av: Lotta Engelbrektson