Tidigt på morgonen den 16 december låg Kalix fortfarande inbäddat i det norrländska vintermörkret. Temperaturen balanserade strax över nollstrecket, vilket får ses som en ovanligt mild morgon för att vara Kalix.
På kommunhuset skulle snart en vanlig arbetsdag dra igång. Det man ännu inte visste var att man under natten blivit utsatt för en omfattande cyberattack. Strax upptäckte personal inom Kalix kommuns hemtjänst att de inte kunde komma åt medicinlistor, ruttplanering och personalscheman.
Det antogs till en början att man råkat ut för ett omfattande serverfel, snart stod det emellertid klart att detta inte var en vanlig teknisk störning – Kalix kommun hade fallit offer för en massiv cyberattack.
Hackare hade lyckats infiltrera kommunens servrar och krypterade data, vilket gjorde systemen oanvändbara. För att återställa tillgången krävde cyberbrottslingarna en lösensumma. Och här är det lätt att tro att paniken borde sätta in, att betala brottslingarna såg dock inte kommunen som ett alternativ.
I en intervju med tidningen Ingenjören berättade John Lindbäck, då driftchef på Kalix kommun, om när attacken upptäcktes:
– Det var kaosartat i början, innan vi visste omfattningen på problemen och hur vi skulle gå tillväga för att lösa dem. Men det fanns inte på kartan att vi skulle betala.
"Den mänskliga faktorn är en av flera möjliga orsaker till cyberattacker”
Reine Sundqvist jobbar som kommunikationsansvarig på Kalix kommun. När han kom till jobbet den där milda decembermorgonen upptäckte han att inte kunde ta sig in i kommunhuset. Inte heller mailen fungerade, vilket fick honom att inse att det var något allvarligt som hade inträffat. Han berättar själv om det krisartade dygnet då allting vänds upp och ner i Kalix kommun.
– Vi sammankallade snabbt krisstaben där vi kunde konstatera att det såg mycket allvarligare ut än vi först trott. I princip hela kommunen stod stilla digitalt. Eftersom vi ansvarar för förskolor, äldreomsorg men även vattenhantering är det lätt att förstå att vi befann oss i ett extremt läge. På ett par minuter gick vi från att arbeta digitalt till att använda papper och penna, kan man säga. Detta skedde strax innan jul, och pågick några veckor under jul och nyår – men kriser tar ingen hänsyn till högtider, säger Reine.
Cybersäkerhet, en strategisk verksamhetsfråga
Enligt Reine måste informationssäkerhet ses som en ledningsfråga. Att höja medvetenheten och utbilda medarbetarna ser han som A och O för att minimera risken för att bli utsatt för liknande händelser i framtiden.
– Den mänskliga faktorn kan vara en bidragande orsak till cyberattacker. Det kan handla om ett dåligt lösenord, eller att det finns en okunskap bland medarbetarna. Personalen måste ta ett eget ansvar för IT-miljön, det innebär inte att man måste vara IT-tekniker, men man kommer långt med vanligt sunt förnuft.
– Det måste tillsättas resurser för att klara av den här typen av verksamhet. En kommun är en stor organisation där personalomsättningen kan vara relativt hög på vissa enheter, det ökar kraven på att det finns goda rutiner för alla medarbetare, avslutar han.
Att frågan måste upp i hierarkin och inkluderas i hela verksamheten är Reine inte ensam om att tycka. Junglemaps kommunikationschef Per Lagerström kan konstatera att cybersäkerheten äntligen ligger högre på många ledningars agendor.
– Allt för länge har cybersäkerhet betraktats som en IT-fråga, när det egentligen är en strategisk verksamhetsfråga. Många företag och myndigheter får stora svårigheter att arbeta utan en fungerande digital infrastruktur, säger han.
Istället för att betala utpressarna valde Kalix Kommun att återställa systemen från säkerhetskopior, samt att internt stärka upp IT-avdelningen för att bli bättre rustade för cyberbrott framgent. Informationssäkerhet blev en central fråga, och kommunens hantering av cyberattacken har sedan dess använts som exempel på hur organisationer kan agera proaktivt vid liknande hot.
Genom att prioritera transparens och robusta säkerhetsåtgärder har Kalix kommun inte bara återhämtat sig, utan också bidragit till att höja medvetenheten om cybersäkerhet i hela Sverige.
Kalix kommun kom ut på andra sidan, helskinnade men inte oskadda. Den totala kostnaden för attacken och de efterföljande säkerhetsåtgärderna uppgick till runt 2,5 miljoner kronor. Att uppgradera IT-säkerheten blev en kostsam affär, men man lyckades göra uppgraderingar av IT-säkerheten som vanligtvis hade tagit år, på bara några veckor.
Kalix kommuns hantering av attacken har rönt stor uppmärksamhet, både nationellt och internationellt. Inte minst för hur transparenta de varit inför det som skett, men också för en beslutsamhet att inte ge efter för hackarnas krav. Kommunens erfarenheter har delats i över 100 föreläsningar för att hjälpa andra organisationer att stärka sin IT-säkerhet.
– Den här typen av cyberattacker sker ju hela tiden, men det är inte ofta som organisationer delar med sig av hela händelseförloppet. Där är vi rätt unika, avslutar Reine Sundqvist.
Med NIS2-direktivet, som ju ställer högre krav på incidentrapportering och som ger hårdare straff för brist på efterlevnad, hoppas vi att fler organisationer tar lärdom av Kalix kommun och inser vikten av att prioritera cybersäkerhet, inte minst som en strategisk fråga.
Kontakta oss på Junglemap om ni behöver stärka er cybersäkerhet. Vi erbjuder utbildningar som höjer medvetenheten och säkerheten i hela verksamheten.
