165 000 kommunanställdas uppgifter röjdes – ”Cyberkriminella ligger alltid steget före”

Det var efter ett omfattande cyberangrepp mot IT-företaget Miljödata i augusti som personuppgifter om 1,5 miljoner svenskar läcktes.

En stor del av de röjda personuppgifterna berörde tidigare och nuvarande anställda vid Sveriges kommuner. Över 80 procent av Sveriges kommuner använder sig av Miljödatas tjänster för att hantera arbetsrättsliga- och rehabiliteringsärenden.

Göteborgs stad var den enskilt mest drabbade kommunen med läckor om 165 000 tidigare och nuvarande anställdas arbetsrättsliga ärenden och personuppgifter.

Nationer och aktörer med Rysslandskopplingar vill förstöra för medborgarna genom att komma åt samhällsviktiga tjänster

Linda Larsson CISCO vid Göteborgs stad

Arbetet för att hantera efterdyningarna av läckan har kostat kommunen miljonbelopp, berättar Linda Larsson, informationssäkerhetsansvarig (CISO) på Göteborgs stad, för Altinget.

CISO: Hur kan vi inte gallrat systemet på annat sätt?

Kommunen satt i möten dagligen en månad efter intrånget i försök att dämpa utfallet av de röjda uppgifterna. Men strax därefter kom den andra smällen. Angriparna läckte informationen på Darknet.

– Det är klart man reagerar som stadens CISO. Vi har 60 000 medarbetare och tre gånger så många personer finns i systemet, säger Linda Larsson till Altinget och fortsätter:

– En fråga man ställde sig själv var hur kan vi ha så många människor i systemet och inte ha gallrat det på annat sätt – eller inte fört över medarbetare som inte borde varit där?

I takt med en alltmer säkerhetspolitiskt orolig omvärldsbild blir omfattande cyberhot mot samhällsviktiga tjänster ännu vanligare – och angriparna kommer från flera håll och med olika motiv. 

– Nationer, och ofta aktörer med Rysslandskopplingar, vill förstöra för medborgarna genom att komma åt samhällsviktiga hemsidor. Kriminella aktörer ger sig snarare på sådant som ger ekonomisk vinning, säger Linda Larsson.

Att hitta den mänskliga faktorn i tekniska system är något som främmande makter och cyberkriminella utnyttjar. 

Angreppet mot Miljödata var en Ransomwareattack där cyberkriminella krypterade systemleverantörens data för att sedan begära ut en lösensumma mot Miljödata, berättar Linda Larsson.

– I det här fallet tog de sig in via en sårbarhet. Det kan hända hos vem som helst, i vilket system som helst. Och de cyberkriminella alltid steget före, säger hon och fortsätter:

–  För att undvika att våra medarbetare blir lurade att klicka på skadliga länkar och socialt manipulerade för att agera på ett sätt som de normalt inte skulle göra. Arbetar vi kontinuerligt inom staden med att öka vår medvetenheten, utbilda och bygga en säkerhetskultur från ledning till medarbetare. Det är även viktigt att ha en plan B om något händer.

Varför har man inte tidigare byggt upp en säkerhetskultur för att motverka en sådan attack som kom mot Miljödata?

– Jag tror att man tycker att det är för svårt med cybersäkerhet. Man låtsas man hellre som att det inte finns.

Krishantering först, förebyggande arbete sen

Linda Larsson berättar att det knappt fanns någon cybersäkerhetskultur i Göteborgs stad när hon tillträde tjänsten som informationssäkerhetsansvarig för tre år sedan. Nu arbetar man alltmer med frågorna.

Göteborgs stad driver i dag ett centralt projekt kopplat till en kommande cybersäkerhetslag. Man har också ändrat styrningen kring arbetet med riskhantering och incidenthantering och skärpt kravställning gentemot leverantörer. 

– Jag har jobbat väldigt hårt med att bygga upp en säkerhetskultur. 2023 startade jag ett nätverk där jag bjöd in stadens alla förvaltningar och bolag. Från början var vi några få, men idag är det ett jätteattraktivt nätverk.

Företag och förvaltningar skickar gärna flera personer till nätverksträffarna efter attacken mot Miljödata i augusti. Det tror Linda Larsson är en positiv utveckling som visar att fler vill arbeta med frågorna.

Samtidigt blir det också ett på att kvitto kommuner och annan offentlig verksamhet inte integrerar cybersäkerhet i sina verksamhetsområden förrän krisen väl är kommen.

En avancerad attack slår ut alla våra system

Linda Larsson

Många tycker att ens eget förvaltningsområde är viktigast i kommunen och att börja arbeta med cybersäkerhet kan kännas avlägset. Men samverkan mellan förvaltning, kommuner, näringsliv och län är A och O för att motverka angrepp, menar Linda Larsson.

– Vi sitter med mycket kompetens på olika håll i samhället. Det är bara tillsammans som vi kan bygga upp totalförsvaret i Sverige.

CISCO: Bristfälliga rapporter från MSB

Från statligt håll behöver man ha mer förståelse för de kommunala verksamheterna, tycker Linda Larsson. Hon menar att Myndigheten för samhällsskydd och beredskap (MSB) generellt gör bristfälliga rapporter för kommunernas arbete med cybersäkerhet.

– Resultaten från MSB:s cybersäkerhetskollen som kontrollerna hur kommunerna arbetar med cybersäkerhet baseras på ett väldigt specifikt arbetssätt på riksnivå. Göteborgs kommun har verksamhet med 23 förvaltningar som alla fungerar olika.

Resultaten blir varken rättvisa eller användbara, menar hon. Myndigheter och stat behöver också lyfta cybersäkerhet i sin försvars- och säkerhetspolitiska agenda, tycker Linda Larsson.

– Vi pratar hela tiden om att bygga beredskapslager. Många gånger så glömmer vi att vi bygger in teknik och system i våra kontinuitetsplaner.

Kan du berätta med om vilka scenarion kommuner kan stå inför vid en större, mer avancerad cyberattack?

– En avancerad attack i form av ett strömavbrott slår ut alla våra system. Vi kommer inte in i våra byggnader, vi kan inte hantera ärenden eller leverera medicinteknisk utrustning till vår äldre- och sjukvård. Likadant med vatten, kretslopp eller matlagning. Då kan du inte ens gå på toaletten.

Trots att man arbetar annorlunda med frågorna är det svårt att hänga med, det behövs rätt kompetens och finansiella resurser för att ens vara i närheten av cyberkriminella och främmande makters kunskaper.  

– Att utbilda folk gör vi inte på ett halvår, så vad gör vi då under tiden tills vi får den kompetensen? Sen behövs det också mängder kapital för att kunna köpa säkra system.

En ljusglimt i tunneln är en ny cybersäkerhetslag som träder i kraft i januari nästa år. Den kommer omfatta kommuners alla verksamhetsområden, berättar Linda Larsson.

Man kommer få helt andra krav på styrning av cybersäkerhet genom integrering av både riskhantering, incidenthantering, kravställning av leverantörer i alla led.

– Det är svåra frågor, men jag är jätteglad att de är uppe på tapeten. Nu gäller det att inte glömma, konstaterar Linda Larsson.

– Jag brukar säga att cybersäkerhet är inget vi har, utan det är något vi ska arbeta i alla led, från ledning till medarbetare.