Angrepet på Østre Toten kommune

Natt til 9. januar 2021 ble Østre Toten kommune rammet av et hackerangrep på våre datasystemer. Dette ble oppdaget på omsorgssenteret vårt umiddelbart og på morgenen ble det raskt klart at alle våre systemer var nede og kommuneledelsen satte krisestab. Hackerne hadde på forhånd forberedt angrepet inne på våre systemer slik at de denne natta kunne låse oss ned. De lastet over våre data til seg og slettet våre backuper. Vi våknet opp til en ny dag denne morgenen der internett og fagsystemer ikke var tilgjengelige. Det var svarte skjermer rundt i tjenestene våre.

Rød låve i vinter på Toten

Østre Toten er en middels stor kommune sør i Innlandet. Vi har 15.000 innbyggere og vi lever av et aktivt og moderne landbruk, og mange av oss jobber i industribyen Raufoss eller i kunnskapsbyen Gjøvik. Østre Toten er et godt sted å bo og arbeide. Men for oss i kommuneledelsen og for de ansatte i kommunen må jeg fortelle at dette året har vært utfordrende. Covid-19 har gitt alle norske kommuner viktige oppgaver å løse i over et år, og nå rammet dette hackerangrepet oss i Østre

Toten spesifikt.

 

Klokken 10:00 den 9. januar satte vi altså i krisestab uten internettforbindelse og med svarte skjermer rundt i tjenestene. Vi hadde 4G, egne telefoner og sosiale medier som verktøy i den akutte fasen der informasjonsbehovet var stort. Både ansatte, innbyggerne i kommunen og nasjonale så vel som lokale medier ville vite hva som hadde skjedd, og hvordan vi skulle løse det. Liv og helse var viktigst, deretter miljø og økonomi.

 

Østre Toten ligger i lavlandet Østafjells. Vi er ikke spesielt utsatt for flom, ras, storm og ikke har vi hatt terrortrusler heller. Vi bekymrer oss for om været passer avlinga og om markedet for bildeler fra Raufoss er godt, men nå var det altså alvor for oss i kommuneledelsen.

 

Kommunenes datasystemer på ulike fagområder er mange og de kommuniserer ofte sammen. Omkring 250 ulike fagsystemer, blant annet helse, skole, byggesak, personalstyring og lønn, var alle rammet. Som eksempler mistet helsesykepleierne timeavtalene sine og alle sine journaler, omsorgssenteret måtte få tak i en gammel telefaks for å formidle resepter og temperaturstyring av byggene vi bruker måtte passes manuelt. Vi gikk over til manuelle rutiner på svært mange oppgaver. Tjenestene klarte å levere og liv og helse ble ivaretatt, men det var krevende.

 

Det har gått fem måneder siden angrepet nå. Vi nærmer oss en normalsituasjon der systemene kommer på plass, og data som produseres flyter til rett plass og kan hentes fram av de som trenger dem. Vi har brukt tiden godt. Selv om backuper var fjerna fra oss kunne vi hente fram et øyeblikksbilde som har gitt oss våre grunndata tilbake. Men de måtte inn i ny og frisk infrastruktur. Denne infrastrukturen har vi tilpassa slik at sikkerheten ivaretas på den beste tilgjengelige måten i dag. Det var viktig for oss å kunne overvåke aktiviteten i våre systemer for å avdekke unormal aktivitet, og dette har krevd mye av våre nye leverandører. Gjenoppbygginga har krevd bruk av tid og kompetanse. Vi har brukt ca. 30 millioner NOK i egne tjenester, innkjøp av eksterne tjenester i tillegg til kjøp av varer. For framtida blir vi en krevende kunde i IKOMM AS som har overtatt vår IKT-avdeling.

 

Å være ordfører i denne perioden har vært lærerikt. Kriseledelse og kommunikasjon uten tilgang til de normale hjelpemidlene stiller særskilte krav. Vi er jo en åpen organisasjon som er til for innbyggerne og publikum. Da går det ikke an å si «ingen kommentar». Vi valgte å fortelle åpent og ærlig om alt vi visste så tidlig som mulig. Vi ga konkret informasjon om hvordan hver enkelt tjeneste ble påvirket til innbyggerne våre. Både lokale og nasjonale medier har formidlet fra oss og vi tror det har bidratt til forståelse for hvor viktig datasikkerhet er. Vi er den eneste kommunen i landet som har blitt rammet av hacking på dette nivået til nå i Norge. Derfor er det viktig å fortelle historien slik at trusselen forstås og håndteres godt i kommunene. Jeg tror også at små og mellomstore bedrifter er tjent med å lytte til oss. Datasikkerhet er en kostnad som må veies opp mot andre viktige innsatser i budsjettene. Vi vil gjerne bidra til at datasikkerhet får en større vekt.

 

Å være innbygger i vår kommune i denne perioden tror jeg har vært ganske fint. De er informert, som nevnt, og problemene som vi har hatt har først og fremst vært krevende for kommunen som organisasjon, og i mye mindre grad rammet innbyggerne. Med ett viktig unntak; når datakaprerne lastet data over fra oss til seg tok de med seg noen personsensitive data. Når de ikke fikk løsepenger fra oss truet de med å sende disse dataene ut i offentligheten på det mørke nettet. Og det gjorde de i noen grad i april. Vi fulgte opp dette med varslingsrutiner til innbyggerne generelt og til de innbyggerne som ble rammet spesielt. Datatilsynet ble varslet umiddelbart etter hendelsen om at slike data kunne være på avveie. Det er viktig å håndtere denne delen godt for å beholde innbyggernes tillit. Når vi passer på data som gjelder innbyggerne våre trenger vi den tilliten.

 

Norge har høye ambisjoner for digitalisering av offentlige tjenester. Den største andelen av disse tjenestene leveres av kommunene. Vi digitaliserer raskt og mye, men vi har nok ikke prioritert datasikkerhet høyt nok. Østre Toten sitt nivå på datasikkerhet skilte seg ikke vesentlig ut fra gjennomsnittet i norske kommuner i januar 2021.