Hackere lammede norsk kommune - og det samme kan ske i Danmark

Danske kommuner er nødt til at opruste mod hackerangreb, siger eksperter.

Hjemmesygeplejen i Østre Toten havde ikke adgang til sundhedsjournaler og fik ikke besked om medicinændringer, da hackere lagde kommunens systemer ned. (Foto: Foto: Paw Nielsen Grafik: Søren Winther Nørbæk)

Hackere med onde hensigter forsøger i stigende grad at bryde ind i danske kommuners it-systemer.

Men langt fra alle kommunerne er godt nok rustet til at håndtere truslen fra hackerne, der har gjort det til en god forretning at tage it-systemer som gidsler.

Det viser en ny opgørelse fra konsulentvirksomheden Deloitte, hvor 31 kommuner er blevet spurgt, om de har indført fire grundlæggende sikkerhedstiltag, der kan holde hackere fra døren.

Blot seks af de 31 kommuner har indført alle de fire tiltag, som blandt andet omfatter regelmæssig udskiftning af kodeord og træning af medarbejderne.

Tiltagene burde være indført i alle kommunerne, understreger professor i cybersikkerhed Jens Myrup Pedersen fra Aalborg Universitet.

- Det er skræmmende, at der er så lidt fokus på det, og det er ærgerligt, fordi man med relativt simple midler kunne løfte kommunerne rigtig meget, siger han.

Hackere lammede norsk kommune

I Østre Toten Kommune i Norge ved de, hvor galt det kan gå, når hackere lykkes med deres foretagende.

En frostkold nat i januar blev kommunens it-systemer hacket og låst, så ingen i kommunen kunne få adgang til dem. Hackerne havde derudover stjålet op mod 10.000 dokumenter med personfølsomme oplysninger om alt fra patienter til sårbare børn.

- Angriberne havde lagt en besked på vores computere. Der stod, at hvis vi ville have vores data tilbage, måtte vi kontakte dem, fortæller kommunaldirektør Ole Magnus Stensrud.

Kommunen var blevet ramt af et såkaldt ransomware-angreb, og hackerne krævede en løsesum for at frigive systemer og data.

- Vi troede, at vi var godt nok beskyttet. Vi vidste, at vi havde svagheder – og at sikkerhed er noget, man må arbejde med hele tiden. Men vi vidste ikke, at vores svagheder kunne få så fatale konsekvenser, siger Ole Magnus Stensrud.

Hackerangrebet skabte akutte udfordringer, men fik også længerevarende konsekvenser, fortæller kommunaldirektøren:

Føler sig rustet mod cyberangreb

Kaster vi et blik på de danske kommuner, så mener mange af dem – ligesom Østre Toten Kommune mente – at de er godt rustet til at modstå cyberangreb.

I en rundspørge, som it-chefer i 71 kommuner har besvaret for DR, vurderer 45 kommuner, at de "i høj grad" eller "i meget høj grad" er rustet til at modstå cyberangreb.

Men den vurdering afviger fra eksempelvis opgørelsen fra Deloitte, hvor blot seks af 31 kommuner har indført de fire grundlæggende sikkerhedstiltag, påpeger professor i cybersikkerhed Jens Myrup Pedersen.

- Det er interessant og lidt tankevækkende, at man på den ene side har nogle it-chefer, der siger, at de har styr på det. Og på den anden side kan man se, at der er nogle grundlæggende ting, som der i hvert fald ikke er styr på, siger han.

Kastet årtier tilbage i tiden

I Østre Toten Kommune blev it-systemerne i januar med ét slag lagt i jerngreb af hackerne.

Derfor måtte de ansatte i tiden efter hackerangrebet klare sig helt uden de it-systemer, som de normalt er afhængige af i deres arbejdsliv.

Computere, printere og kopimaskiner kunne ikke bruges. Sundhedsjournaler var utilgængelige. Det var ikke muligt at kommunikere elektronisk. Brandalarmer virkede ikke. Selv de ældres alarmkald var blevet sat ud af spillet.

- På én nat var vi blevet kastet tilbage til 1970’erne eller 1980’erne, siger Guro Søfferud, der arbejder som hjemmesygeplejerske i Østre Toten Kommune.

Før hackerangrebet tænkte Guro Søfferud ikke videre på cybersikkerhed, fortæller hun:

Guro Søfferud beskriver de første dage efter hackerangrebet som helt kaotiske. Stort set alle informationer om patienterne i kommunen var væk. Der var papirbunker over alt. Der var intet overblik.

Patienter blev udskrevet fra hospitalet til eget hjem eller fik justeret deres medicin, uden at hjemmesygeplejen fik det at vide, fortæller Guro Søfferud.

- De havde sendt beskeder elektronisk, og dem havde vi jo ikke fået. Det var nok det værste, siger hun.

Oplysninger lagt ud på det mørke internet

På rådhuset i Østre Toten Kommune stod det meget klart, at det ikke var en mulighed at betale løsepenge til hackerne, siger kommunaldirektør Ole Magnus Stensrud.

- For det første er det uklart, om det er lovligt. Og det er hvert fald ikke moralsk rigtigt at finansiere kriminel virksomhed ved at betale løsepenge, siger han.

Derfor måtte kommunen finde en anden måde at få genoprettet systemer og genskabt de store mængder data, som hackerne havde låst inde.

10.000 computere blev indsamlet fra kommunekontorer, skoler, børnehaver og hjemmepleje, så de kunne blive renset.

Det lykkedes at finde en såkaldt spejling af kommunens data, så de kunne blive genskabt.

Men konsekvenserne af hackerangrebet var så omfattende, at der for eksempel gik cirka et halvt år, før kommunens hjemmesygeplejersker igen havde et it-system til at dokumentere deres arbejde.

I dag – ni måneder efter angrebet – er enkelte af kommunens it-systemer fortsat ikke oppe at køre.

- Tillid er brudt

Hackerangrebet har indtil videre kostet Østre Toten Kommune omkring 33 millioner norske kroner.

Det er mange penge for en mindre norsk kommune med knap 15.000 indbyggere, men der har også været andre omkostninger ved angrebet, fortæller kommunaldirektør Ole Magnus Stensrud:

I marts blev Østre Toten Kommune kontaktet af politiet.

Det amerikanske forbundspoliti, FBI, havde opdaget, at dokumenter med personfølsomme oplysninger, som hackerne stjal under angrebet, var blevet lagt ud på det mørke internet.

Oplysningerne var altså havnet på en del af internettet, som man ikke kan komme ind på gennem almindelige webbrowsere, og som blandt andet bruges til salg af narkotika, stjålne kodeord og anden kriminel aktivitet.

- Indbyggerne har tillid til, at vi opbevarer information forsvarligt. Og den tillid er brudt. Den prøver vi at genopbygge, siger Ole Magnus Stensrud.

(Foto: Grafik: Søren Winther Nørbæk)

- Vi er nødt til at opruste

Det er langt fra utænkeligt, at danske kommuner kan blive ramt af angreb som det, der ramte Østre Toten Kommune, vurderer Thomas Lund-Sørensen, der er chef for Center for Cybersikkerhed, som arbejder med at beskytte Danmark mod cybertrusler.

Han opfordrer kommunerne til at få lukket "de værste huller" i deres digitale sikkerhed, så de kan beskytte deres data og de ydelser, de leverer til borgerne.

- Kommunerne har ligesom alle mulige andre enheder, virksomheder og statslige myndigheder en udfordring på dette område. Og det er min klare opfattelse på tværs af det danske samfund, at vi er nødt til at opruste, siger Thomas Lund-Sørensen.

Råder kommuner til at få lagt en plan

Leder af Deloitte i Danmarks risikorådgivning Mette Louise Kaagaard er enig i, at cybersikkerhed skal ligge i toppen af kommunernes dagsordener.

Hendes råd til kommunerne er, at de skal få analyseret deres it-infrastruktur, lægge en grundig plan for deres cybersikkerhed og opdatere planen løbende.

- Som borger i en kommune, hvor kommunen har adgang til oplysninger om skatteforhold, om sundhedsforhold, om ens børn og ægteskabelige status, er det er rigtig vigtigt, at kommunen har godt styr på cybersikkerheden, siger Mette Louise Kaagaard.

Hos KL, der repræsenterer kommunerne, mener digitaliseringschef Pia Færch, at kommunerne gør deres bedste for at følge med.

- Cybertruslen vokser hver dag. Det er en ny kriminalitet, hvor der hver dag kommer nye hackere, som har lært sig noget nyt, og det skal vi selvfølgelig følge med på, og det gør vi også, og det prøver kommunerne at være med på, siger hun.

FacebookTwitter