Ét svagt led. Tre kommuner nede.
Danske kommuner oplever hundredvis af angrebsforsøg om dagen, ifølge KL.
I London gik det galt.
Tre kommuner med fælles IT blev ramt samtidig
Den 24. november opdagede Kensington & Chelsea et cyberangreb. Hurtigt efter var Westminster og Hammersmith & Fulham også ramt.
De tre kommuner har delt IT-infrastruktur siden 2011. Ét svagt led. Tre kommuner nede.
Over 500.000 borgere betjenes af de tre kommuner. Telefonlinjer forsvandt. Boligsager stoppede. Betalinger blev forsinket. Data blev kopieret ud af systemerne.
Kommunerne regner med flere måneders genopretning.
Nabokommunen reagerede inden for timer
Hackney Kommune ligger ved siden af. De deler ikke IT med de tre andre. De blev ikke ramt.
Men de hævede straks deres trusselsniveau til “kritisk” og advarede medarbejdere mod at klikke på links fra kollegerne i de ramte kommuner.
Den reaktion forhindrede spredning. De antog det værste og handlede derefter. Det er præcis, hvad en god beredskabsplan gør.
Hackney ved, hvad et angreb koster
Det er ikke første gang en London-kommune rammes hårdt.
I 2020 blev Hackney selv ramt af ransomware. 440.000 filer krypteret. 280.000 borgere berørt. Genopretning tog to år og kostede over 100 millioner kroner.
Indgangen var en konto fra 2005 med brugernavn og password sat til “kiosk”.
En dormant konto. 15 år gammel. Aldrig deaktiveret. Det var alt, hackerne behøvede.
Danmark deler også systemer på tværs
I Danmark deler vi også systemer på tværs af kommuner og offentlige myndigheder. Fælles infrastruktur, fælles løsninger, fælles leverandører.
Det giver mening økonomisk. Det giver mening administrativt. Men det kræver fælles opmærksomhed på sikkerheden.
For når ét led kompromitteres, kan angrebet sprede sig til alle, der er forbundet.
Ifølge en undersøgelse fra KL’s Momentum svarer 97 procent af kommunale IT-chefer, at cybertruslen mod deres kommune er større end de ressourcer, de har til at håndtere den.
97 procent. Næsten alle.
Fem ting I kan gøre nu
Segmentér delte systemer. Ét kompromitteret system må ikke give adgang til alle andre. Netværkssegmentering er ikke valgfrit. Hvis en angriber kommer ind ét sted, skal de møde lukkede døre, ikke en åben motorvej til resten af infrastrukturen.
Ryd op i gamle konti. Hackney blev kompromitteret via en dormant konto fra 2005. Gennemgå alle brugerkonti. Deaktivér dem, der ikke bruges. I dag. Ikke næste måned. Ikke ved næste revision. I dag. Gamle konti er åbne døre, I har glemt eksisterer.
Test beredskabet. De ramte kommuner aktiverede øvede nødplaner. De kunne stadig levere kritiske ydelser, selvom systemerne var nede. Har I prøvet at køre uden e-mail, telefon og sagsbehandlingssystemer samtidig? Hvis ikke, ved I ikke, om jeres plan virker.
Kend jeres leverandørers sikkerhed. Hvis I deler systemer med andre organisationer, er I afhængige af deres sikkerhedsniveau. Stil krav. Få dokumentation. Følg op. En leverandøraudit kan hjælpe jer med at vurdere, om jeres samarbejdspartnere lever op til et acceptabelt sikkerhedsniveau.
Isolér hurtigt ved mistanke. Hackney reagerede inden for timer og advarede mod links fra de ramte kommuner. Har I en procedure for at afskære forbindelser til kompromitterede samarbejdspartnere? Ved I, hvem I skal kontakte, og hvem der har mandat til at trække stikket?
Besparelsen forsvinder, når genopretningen tager år
Delte systemer sparer penge. Det er hele pointen med at dele infrastruktur på tværs af organisationer.
Men besparelsen forsvinder hurtigt, når genopretningen tager år og koster hundrede millioner. Hackney brugte to år på at komme tilbage til normal drift. De tre London-kommuner regner med måneders arbejde.
Det er ikke kun IT-omkostninger. Det er borgere, der ikke kan få svar. Sager, der hober sig op. Medarbejdere, der arbejder med manuelle processer. Omdømme, der lider skade.
Selvrevision finder sjældent egne fejl
Hvornår har I sidst fået foretaget en grundig cybersikkerhedsaudit af en uafhængig part?
Den leverandør, der har sat systemerne op, finder sjældent fejl i sin egen opsætning. Det er ikke ond vilje. Det er menneskeligt. Vi ser ikke vores egne blinde vinkler.
Der er en grund til, at revisorloven forbyder selvrevision. Den samme logik gælder for IT-sikkerhed.
En sikkerhedsaudit for offentlig sektor giver jer et uafhængigt blik på jeres systemer. Ikke fra dem, der har bygget dem. Men fra nogen, der tør sige tingene, som de er.
Hvornår fik I sidst en uafhængig gennemgang af jeres IT-sikkerhed?
Har du brug for en uvildig vurdering af jeres sikkerhedsniveau og beredskab? Kontakt Nielco IT på telefon 70 13 63 23 eller via kontaktformularen.
