Østre Toten om ransomware-angrepet: - Vi prioriterte ikke sikkerhet høyt nok

- Vi var veldig opptatt av digitalisering, kanskje ikke så opptatte av sikkerhet, innrømmer kommunedirektøren.

David Christian Frich, Siri Lill Mannes og Ole Magnus Stensrud snakket om erfaringene og etterforskningen av ransomware-angrepet mot Østre Toten kommune på Digitaliseringskonferansen 2022. 📸: Digdir/Khan Le
David Christian Frich, Siri Lill Mannes og Ole Magnus Stensrud snakket om erfaringene og etterforskningen av ransomware-angrepet mot Østre Toten kommune på Digitaliseringskonferansen 2022. 📸: Digdir/Khan Le Vis mer

- Hackingen fikk massive konsekvenser. Vi mistet tilgangen til så å si alt. Det var utfordrende, sier Ole Magnus Stensrud, kommunedirektør i Østre Toten kommune, til kode24.

Vi møter Stensrud på Digitaliseringskonferansen på Thon Congress Gardemoen. Her er han for å snakke om erfaringene og etterforskningen av ransomware-angrepet mot Østre Toten kommune i januar 2021.

Angrepet fikk alvorlige konsekvenser for de ansattes arbeidshverdag, og data ble lekket på det mørke nettet.

Kom til å ta lang tid

Stensrud fikk først en melding på Facebook om at det var driftsproblemer, og at de ansatte ikke hadde tilgang til systemene i omsorgssektoren.

- Jeg tenkte egentlig: må IT-avdelingen jobbe denne helga, sier Stensrud.

Så fikk han en telefon fra økonomisjefen, som fortalte at kommunen var blitt alvorlig hacket.

- Vi satte krisestab, da var klokka 10 lørdag morgen. Det var mange som hadde jobbet veldig mye som følge av korona. Nå måtte vi håndtere hackingen innenfor koronarestriksjonene, også, sier han.

Løsepenge-viruset fikk store konsekvenser for de ansatte i kommunen.

- Ting som vanligvis bare virker, virket ikke. Kopimaskinen virket ikke. Overvåkning av kommunens bygninger fungerte ikke. Heller ikke elbilladerne utenfor rådhuset. I tillegg til at vi ikke hadde noe nettverk eller epost. Da blir du fort realitetsorientert, sier Stensrud.

«Hvordan drifter vi et sykehjem med femti forskjellige systemer som styrer dører, heiser alarmanlegg og medisinskap når de ikke virker?»

Fikk store konsekvenser

IT-avdelingen fortalte at de hadde sendt harddiskene til leverandøren for å forsøke å få tilbake dataene, og leverandøren hadde et eget team som jobbet der hele helgen.

- Vi skjønte at dette kom til å ta lang tid. Selv om vi fikk tilbake dataene, måtte vi sikre at de ikke var manipulert. I tillegg måtte vi få opp systemene igjen på en sikker, ny plattform.

For kommunen, som styrer flere livsviktige tjenester, var dette alvorlig.

- Hvordan drifter vi et sykehjem med femti forskjellige systemer som styrer dører, heiser, alarmanlegg og medisinskap, når de ikke virker? Du vet jo ikke om døra er oppe eller låst.

Kommunen innså at de var nødt til å prioritere og sørge for at de rammede helsetjenestene ikke fikk alvorlige konsekvenser.

- Så var det bare å begynne øverst på listen og jobbe seg nedover, sier Stensrud.

Vet ikke hvordan det startet

Stensrud forteller at de ansatte i kommunen ikke fikk panikk, men i stedet gikk inn i en handlemodus.

- Det er kanskje sånn en kommune er, også. Det kan jo for eksempel bli en flom, dårlig vær eller at strømmen går. Da må vi gjøre det som er nødvendig.

Han legger til at det som er forskjellen fra Østre Toten kommune og mange andre som blir rammet av hacking, er at kommunen ikke overvåket datasystemene sine og hadde en veldig åpen struktur.

- Vi er veldig opptatt av digitalisering, og var veldig opptatt av at data skulle være tilgjengelig på en lett måte. Vi var kanskje ikke så opptatte å gjøre det på en sikker måte, sier Stensrud.

Hadde ikke kontroll over admin

Stensrud legger til at dersom noen hadde et behov for data fra ett system til et annet, så var det IT-avdelingens oppgave å gjøre det tilgjengelig. Kommunen hadde ikke god nok kontroll over hvem som hadde administratorrettigheter, bruker-ID eller forvaltning av bruker-ID.

Ei heller hvilke leverandører som leverte hva, eller hvilke tilganger leverandørene hadde.

- Verken ledelse eller de som lagde systemene prioriterte sikkerhet høyt nok. Det koster penger. Dermed fikk disse kjeltringene være i systemene over så lang tid, sier Stensrud.

Mangelen på overvåkning av systemene gjorde også at de ikke vet hvordan ransomware-angrepet startet.

«Vi skjønte ikke at vi måtte gjøre noe nå, ikke utsette arbeidet til det var bevilget penger til neste år»

Tar ansvaret

Stensrud sitter igjen med mange viktige lærdommer etter hackingen. Blant annet innser han at de som ledelse må ta ansvar for at IT-folkene kan gjøre den jobben de er satt til.

- Det er jeg som leder som må ta det overordnede ansvar for IKT-sikkerheten, sier han.

Samtidig vektlegger Stensrud at teknologene må gi informasjon til beslutningstakere på en måte som gjør at man skjønner risikoen.

- Da vi fikk en rapport før julen 2020, som var en gjennomgang av sikkerheten, skjønte ikke organisasjonen vår og de som tok beslutninger hvor alvorlig det var. Vi skjønte ikke at vi måtte gjøre noe , ikke utsette arbeidet til det var bevilget penger til neste år, sier Stensrud.

God sikkerhets-kommunikasjon

Stensrud er opptatt av å få til en god sikkerhetskommunikasjon mellom IT-ansatte og de ansvarlige. For eksempel ved å markere de ulike sikkerhetstiltakene med grønn eller rød farge for å markere alvorlighetsgrad, i stedet for å bare vise til hvor mye noe koster.

- Det er viktig at IT-sjefen ikke bare ber om et nytt kjøleanlegg på serverrommet, men oversetter dette til sikkerhet og hvorfor det er kritisk viktig, sier han.

Dette er også rådet hans til norske utviklere:

- Du kan komme i en situasjon hvor noen som har ansvaret for en tjeneste sier: Men jeg må ha disse dataene, og det må skje fort! Da handler det om å oversette risikoen til dem som tar beslutningene, sier Stensrud.

«Der Conti-gruppen kan spores til Russland er det vanskeligere med Pysa»

"Vennligsinnet land"

Ifølge David Christian Frich, politioverbetjent og etterforskningsleder i Kripos, har Østre Toten kommune samarbeidet på eksemplarisk vis. I tillegg har private selskaper bidratt til etterforskning og delt egne data. Dette har gjort etterforskningen enkel.

I en rapport skrevet av KPMG kommer det fram at angriperne kan ha vært inne i systemer allerede i desember 2020. Selskapene hadde også funnet IP-adressen til serveren som angrepet kom fra. Denne befant seg på datasenteret til et "vennligsinnet land".

- I den pågående etterforskningen har også et vennligsinnet land hjulpet oss med å dele sitt etterforskningsmateriale. Dette har gjort at vi har klart å få tak i serveren som angrepet ble utført fra, noe som er det største gjennombruddet i denne saken, sier Frich til kode24.

Hackergruppa Pysa står bak

Ifølge etterforksningslederen er det ransomware-gruppen Protect your system amigo (Pysa), tidligere kalt Mespinoza, som står bak angrepet på kommunen.

- Der Conti-gruppen kan spores til Russland, er det vanskeligere med Pysa. Det vi vet er at de har vært aktive i Norge, Storbritannia og USA. Samt at de er veldig aktive i Frankrike. Målene er utdannings-, finans- og forvaltningsinstitusjoner, sier Frich.

- Hvilke verktøy bruker dere i slike etterforskninger?

- Det kommer litt an på hvordan serveren er oppbygget. Vi har en stor "ingeniørpool" som vi bruker til å utvikle egne systemer, men vi får også programmer fra kommersielle aktører.

Hackerne bygget eget system

Frich forteller at Pysa hadde bygget opp et eget system som inneholdt mapper på tre hundre andre infiserte servere.

- De hadde laget et nummersystem som vi klarte å forstå og bruke til å finne ut hvor fremtidige angrep skulle finne sted eller allerede hadde skjedd. Denne informasjonen brukte vi til å varsle andre og hindre angrep, sier Frich.

Frich oppfordrer norske utviklere som har kjennskap til hvordan tjenestene til offentlig forvaltning fungerer å melde inn sårbarheter.

- Dersom utviklere har kjennskap til alvorlige sårbarheter i datasystem brukt i offentlig eller privat sektor, vil det være positivt om de gjøres oppmerksomme på det.