Reportage

Budgetera med säkerhet

Hur minskar man risken att utsättas för en hacker-attack?

– Viktigast är att se till att säkerheten ingår när man lägger budget och överhuvudtaget funderar över it-lösningar, säger Peter Jonegård, enheten för operativ cybersäkerhet på MSB.

Efter ransomware-attacken som lamslog Kalix kommun höjs där säkerheten tämligen akut, ett arbete som annars hade spridits ut över flera år.

– Det hade förstås varit enklare att göra det innan attacken skedde. Men det här kanske kan vara en knuff framåt för alla andra. För alla kan råka ut för det här, inte bara kommuner, säger Peter Jonegård och fortsätter:

– Om jag ska trycka på något så är det att ta ett helhetsgrepp på informationssäkerheten. Arbeta systematiskt, planera och följa upp.

Det handlar om prioritering, att ha informationssäkerheten högre upp på dagordningen.

– Varför följs den inte upp på samma sätt som man följer upp ekonomin? Ekonomin har man stenkoll på, men it är också centralt för många verksamheter i dag.

Har olyckan varit framme vill Peter Jonegård lyfta vikten av kontinuitetshantering, att det finns en plan B.

– Det Kalix utsatts för är en mardröm. Men de verkar ha kunnat lösa detta utan tillgång till sitt normala it-stöd. Jag säger inte att det är lätt, men av det jag sett tycker jag det fungerat väldigt bra. Det gäller både hantering och hur man informerat.

Leverantörer av samhällsviktiga tjänster inom sju områden samt leverantörer av digitala tjänster är skyldiga att rapportera it-incidenter till MSB. För kommuner är det frivilligt. Därför finns egentligen ingen kännedom om hur vanligt det är att kommuner drabbas av attacker.

Vet man då hur attackerna oftast går till?

– Vi har inga siffror, men det är väldigt vanligt att det sker via e-post. Antingen med en bifogad fil som har skadlig funktion eller en länk som hämtar skadlig information när man klickar på den. Och sedan är det igång.

Vad kan man göra om man utsätts för en attack?

– Det är ungefär som att fråga vad man gör om man hamnat i fel fil på vägen och möter en långtradare... Vid it-incidenter gäller det att ta det kallt och jobba metodiskt. Då är man glad för all typ av förplanering och övning som skett innan.

En attack lindras innan den sker. I Kalix slogs alla servrar ut, nu diskuteras att inte ha alla servrar inom kommunen.

– Det är alltid bra med segmentering, och det kan styras på olika sätt. En lösning är att ha information hos leverantör, det kan höja säkerheten. Om å andra sidan leverantören drabbas av en attack, då kan också alla kunder förlora sin information samtidigt. Det hände när Coop drabbades.

Om it-säkerheten ska höjas, vilka krav bör ställas?

– Man kan inte ställa vilka krav som helst, då får man inga anbud eller också blir det unikt och väldigt dyrt.  Det är bra att använda informationssäkerhetsstandarder, dels att leverantören är certifierad och dels att it-lösningen uppfyller krav som ställs i standarden. MSB gav ut en vägledning för upphandlare för ett par år sedan.

Läs också

Så minskar du risken för it-attacker

När Kalix slocknade

Beredskap för personalresurser behövs