Så går du vidare efter en cyberattack

säkerhet För ett år sedan drabbades Bjuvs kommun av en omfattande it-attack. It-chefen Thomas Nilsson berättar om sina upplevelser från dagen och hur händelsen har förändrat deras arbetssätt.

Så går du vidare efter en cyberattack

Attacken skedde klockan runt klockan ett på natten lördagen den 20 januari förra året. It-chefen Thomas Nilsson fick samma morgon ett samtal till sig med information om attacken som hade inträffat. Den ryska hackergruppen Akira hotade med att läcka information som de enligt dem själva hade kommit över i attacken.

Någonting är fel

Du är inloggad som prenumerant hos förlaget Pauser Media, men nånting är fel. På din profilsida ser du vilka av våra produkter som du har tillgång till. Skulle uppgifterna inte stämma på din profilsida – vänligen kontakta vår kundtjänst.
Techtidningen premium

Läs vidare – starta din prenumeration

    Redan prenumerant?

    – Det började med ett samtal från Bjuvs omsorgsbolag där en anställd ringde till en av våra it-tekniker och sa de inte kom in i journalsystemet på morgonen. När teknikern kopplade upp oss mot servern såg vi att det var ett ransomware på hela servern och att alla filer var krypterade. Då förstod jag att det här var på riktigt, säger Thomas Nilsson till Techtidningen.

    Vad gjorde ni när det hände?

    – Jag sammankallade omkring tio personer från it-avdelningen och vi började arbeta omedelbart. Vi visste inte hur länge det skulle pågå så vi delade upp oss i skift och jobbade hela lördagen. Väl då kunde vi se att de hade tagit sig in genom gammal vpn-anslutning som var under avveckling. Vi stängde omedelbart ner systemen och vpn-lösningen vilket gjorde att Akira tappade kontakten med vår miljö. Sedan isolerade vi angreppet och identifierade den smittade datorn. Efter att vi stängt av nätet till den upphörde försöken, säger Thomas Nilsson.

    – Vi kunde påbörja återställningen av backuper redan efter tre timmar. En expert hjälpte oss att säkerställa att backupfilerna var oskadade, vilket de var. Så inom drygt tre timmar kunde vi påbörja återställningen.

    Så identifierade de vpn-anslutningen

    Utöver Bjuv ingår Åstorp, Klippan, Perstorp och Örkelljunga i samma it-område. Anledningen till att Bjuv valde att stänga ner systemen var att säkerställa att attacken inte spred sig vidare till de andra kommunerna. Detta var ett lyckat drag då de fyra andra klarade sig.

    Hur lyckades ni identifiera vilken vpn-anslutning Akira använt?

    – Bjuv hade en gammal separat vpn-lösning medan de andra kommunerna använde en annan mer modern lösning. Vi kunde se att den moderna vpn-lösningen var osmittad eftersom det inte fanns någon misstänkt trafik där. Våra nätverkstekniker upptäckte i brandväggen att det var den gamla vpn:en som angreppet kom genom då vi hade onormalt mycket utgående trafik därifrån.

    Hur såg er beredskap ut för den här typen av händelse?

    – Efter attacken som Kalix råkade ut för (december 2021, reds anm) hade vi förstärkt vårt säkerhetsarbete. Vi hade infört offline-backuper och dubbla backup-system. Men vi hade aldrig övat för en attack och vi hade ingen jourberedskap. Det var våra tekniker som frivilligt ställde upp på lördagen när det blev skarpt läge.

    ”Kunde påbörja återställandet”

    Thomas Nilsson berättar om vad deras nästa steg var efter att attacken inträffade.

    – Vi informerade kommunerna om hur läget såg ut. Under de tre dagarna som det här pågick hade vi omkring tio informationsmöten där vi hela tiden kunde se till att alla var med på noterna. Kommunerna har verksamhet dygnet runt så vi var tvunga att snabbt informera dem att gå över till att arbeta med papper och penna tills vi kunde återställa systemen.

    Hur såg arbetet med informationen ut?

    – Jag kontaktade kommundirektörerna direkt redan när jag var på väg till Klippan. Redan vid lunchtid första dagen hade vi det första informationsmötet, därefter fick respektive direktör informera sin kommun. Informationsarbetet gick därefter väldigt snabbt mycket tack vare att vi hittade den maskinen som var ”smittad” tidigt och kunde stänga ute den från systemet. Efter det var vi trygga och kunde påbörja återställandet.

    Arbetet efter attacken

    Efter en attack som den Bjuv var med om finns det mycket lärdomar att dra. Thomas Nilsson berättar hur de har arbetat efter attacken från Akira.

    – Det är väldigt viktigt att man vet vem det är som gör vad, vem som har lov att fatta beslut, vem som tar kommandot och vem som informerar verksamheten vad som har hänt när det är skarpt läge. Tydliga rutiner för verksamheten är också väldigt viktigt. Fungerar inte ett it-system är det papper och penna som gäller så att det går att fortsätta arbeta och att återställningsarbetet kan ske i lugn och ro utan oro för ytterligare komplikationer. Sen är det viktigt att ha ett bra övervakningssystem. Nu har vi infört andra säkerhetslösningar som vi inte hade innan och de reagerar till och med på konstiga mejl som kommer in, säger Thomas Nilsson och fortsätter:

    – Att se över administratörsrättigheter för användare är också en viktig del i processen. Användare ska inte kunna göra vad de vill på utrustningen utan det är it-avdelningens ansvar att styra vad som ska göras. Det är även viktigt att ha utpekade personer som jobbar med just den här typen av säkerhet. Vi har nu anställt ett gäng personer som jobbar strikt med it-säkerhet för att ge oss möjligheten att jobba proaktivt mot den här typen av hot.

    Viktigt att jobba med preventiva åtgärder

    Det proaktiva arbetet innefattar inte bara det cybersäkerhetsmässiga. Utan det gäller även andra viktiga preventiva åtgärder mot hot som kan rubba it-driften.

    – Vi har kontinuitetshanteringsplaner som vi jobbar efter där vi hanterar frågor som hur vi jobbar med våra backuper och vem som är ansvarig, vem jobbar med nätverket och ser över våra brandväggsregler och så vidare. Det kan vara en så enkel fråga som att se till att vi har tillräckligt med diesel så vi kan driva våra servar. Den här gången var det en it-attack som rubbade vårt system men nästa gång kan det vara en storm som gör det. Det handlar om att identifiera alla sårbarheter och att jobba för att kunna hantera dessa.

    Totalt så låg it-systemet i Bjuv nere i 56 timmar innan det var uppe igen. Thomas Nilsson reflekterar över hur de gick vidare nu när årsdagen har passerat.

    – Vi andades verkligen ut på årsdagen om man säger så. Det var skönt att det inte hände igen. Utifrån förutsättningarna gick det ändå rätt bra för oss, det hade kunnat vara mycket värre. Men det var givetvis en hemsk helg och det var enorm press på oss. Samtidigt var det enormt sammansvetsande för oss som jobbade. Vi skrattade och hade kul emellan det stora allvaret. Det var fantastiskt jobbat av hela gruppen. Men vi vet att det inte går att andas ut på något sätt nu. Utan det gäller att fortsätta jobba med våra rutiner.

    Hur har era användare sett på förändringarna som införts?

    – Vi har en väldigt bra förståelse hos våra användare. De förstår att det kan bli lite jobbigare när vi gör åtgärder och om det blir mer strikta krav på lösenord, tvåfaktorsautentisering och så vidare. Förståelsen ökar när det händer i lokalområdet, innan har man ju mestadels läst om detta i massmedia.

    ”Vi finns till för medborgarna”

    Thomas Nilsson har efter attacken varit väldigt aktiv och delat med sig av erfarenheterna och lärdomarna som Bjuvs kommun tagit med sig. Han har varit ute hos andra kommuner, företag och även på Connect 24 som då arrangerades i Telekom idags regi.

    Transparensen kring cyberattacker är en komplex fråga. Att vara öppen och dela erfarenheter från den privata sektorn kan potentiellt medföra ett skadat rykte. Men för den offentliga sektorn är det enligt Thomas Nilsson lite lättare.

    – Vi finns till för medborgarna och måste kunna vara öppna med dem. När det gäller den privata marknaden finns det kanske affärshemligheter och sådant som du inte vill berätta lika mycket om på ett öppet sätt. Vi kan vara mer transparenta än vad många privata företag är. Jag ställer gärna upp och delar med mig om vår erfarenhet, sen är alla välkomna att delta och ta till sig av de om de så önskar, säger Thomas Nilsson och fortsätter:

    – En stor skillnad är också att mycket av den datan vi hanterar är offentliga uppgifter till skillnad från många privata aktörer. Så Akiras hot om att de skulle publicera 200 gigabyte data från oss på Darkweb är ju tack och lov ganska tomt. Vi tänkte: ”kan ni inte begära ut dom här offentliga handlingarna som en vanlig människa och bespara oss det här besväret”. Men som sagt det hade kunnat varit värre och tack och lov så läckte ingenting ut alls.

    Tre tips

    Med erfarenhet i skarpt läge sitter Thomas på viktig kunskap om hur man ska hantera cybersäkerhetsfrågan. Vi frågade honom om hans tre bästa tips till it-chefer runt om i landet för hur de ska vässa sin säkerhet.

    Thomas Nilssons tre tips:

    1. Säkra backuper: Allt kan hända så till att de är säkra, vi har dubbla backuplösningar och offline-backuper. Det är jätteviktigt då det oftast är det hackarna går efter först.
    2. Minska attackytan: Begränsa administratörsrättigheter, stäng av rdp (fjärrskrivbord) mellan servrar, och blockera inloggningar från utländska ip-adresser.
    3. Ha en tydlig incidenthanteringsplan: Se till att alla vet vad de ska göra vid en attack och öva på scenarier regelbundet. Vi är alla utsatta i Sverige och det kommer hända fler gånger. Det kan hända här igen imorgon, ingen vet. Men ha en plan på plats för om det värsta händer.
    Branschen Cybersäkerhet IT Professional säkerhet
    publicerad 24 februari 2025
    av Linus Bengtsson

    Senaste artiklarna

    affärssystem

    SAP: ”Ny era för hur företagen kan använda sig av AI”

    28 minuter sedan
    Premium
    Säkerhet

    Larmet: Sverige halkar efter i kampen mot AI-hot: ”Extremt snabb utveckling”

    23 minuter sedan
    nytt jobb

    Branschveteran rekryteras av Nordlo: ”Ska fortsätta tillväxten”

    3 timmar sedan
    affärssystem

    Så kan AI-agenten Ava automatisera ditt affärssystem

    4 timmar sedan
    Premium
    operativsystem

    Kinesiska jätten lanserar datorer med eget operativsystem

    24 timmar sedan
    Hämtar fler artiklar
    Till startsidan
    Techtidningen

    Techtidningen Premium

    Nyhetstjänsten för dig som jobbar med professionell kommunikation. Få nischade nyhetsbrev för ditt intresseområde och utbildnings-tv.
    Prenumerera Logga in

    Utbildnings-TV

    Till avdelningen
    Premium
    Utbildnings-tv

    Utbildnings-tv: CX-experten om hur du arbetar kundfokuserat

    1 april
    IT

    Titta på webbinariet om Techbarometern 2025

    11 mars
    Premium
    Utbildnings-tv

    Utbildnings-tv: Så certifierar du företaget inom informationssäkerhet

    20 december 2024
    Premium
    Utbildnings-tv

    Utbildnings-tv: Så påverkar ai ditt cybersäkerhetsarbete

    16 december 2024
    Premium
    Utbildnings-tv

    Utbildnings-tv: Så går du vidare efter en it-attack

    9 december 2024