Kundcase: Så stärkte Piteå kommun sitt säkerhetsarbete med hjälp av Red Team Testing

När Kalix kommuns IT-system slogs ut till följd av en hackerattack valde Piteå kommun att utvärdera sin egen säkerhet med hjälp av ett Red Team-test. Resultatet blev startskottet för ett nytt säkerhetsprogram som idag genomsyrar hela verksamheten.

I slutet av 2021 drabbades Kalix kommun av en omfattande ransomware-attack som slog ut verksamhetens IT-system. Attacken resulterade bland annat i att patientjournaler blev otillgängliga, löneutbetalningar äventyrades, och verksamheten tvingades gå över till manuellt arbete med penna och papper.

I den närliggande kommunen Piteå arbetade för tillfället Ali Kraufvelin som ansvarig för kommunens IT- och informationssäkerhet. I samband med intrånget hos Kalix började han fundera över hur hans egen verksamhet skulle påverkas om samma sak drabbade dem.

- Dagen efter att attacken mot Kalix uppdagades vände jag mig till mina kollegor på IT-avdelningen och frågade hur bra koll de har på våra egna sårbarheter. Kan det här rent av drabba oss med?

För att ta reda på det valde Piteå kommun att anlita Sentor för att utföra ett så kallat Red Team-test. Målet med en sådan övning är att identifiera sårbarheter i teknik och procedurer genom att simulera verklighetstrogna attacker. Attackerna utformas enligt hotscenarier, i det här fallet externa aktörer. När resultatet från testet kom tog Ali det vidare till kommunstyrelsen.

- Jag presenterade fynden med tillhörande konsekvenser, samt tiden det potentiellt skulle kunna ta att försätta kommunen i samma situation som Kalix. Har vi råd att stå still så här många dagar? De förstod risken och gav mig och kollegorna på IT grönt ljus att åtgärda problemen.

Resultatet ledde till nytt säkerhetsprogram

Observationerna blev sedan startskottet för kommunens nya säkerhetsprogram, med målet att implementera nödvändiga åtgärder med hänsyn till de identifierade hoten såväl som aktuell lagstiftning.

- Framfarten av utpressningsprogram, likt det som drabbade Kalix, påverkar idag även tidigare förskonade verksamheter och myndigheter. Därtill omfattas vi av ny lagstiftning, såsom NIS2, som bland annat ställer krav på lämpliga tekniska och organisatoriska åtgärder för att skydda sig mot den här typen av attacker, inklusive responsplaner och nätverksövervakning.

Som ett resultat av säkerhetsprogrammet implementerade kommunen en EDR-lösning med stöttning av Sentor. Lösningen är tänkt att fungera som en av grundfunktionerna för kommunens framtida dygnet runt-övervakning.

Värdet av en erfaren säkerhetsleverantör

I arbetet med att utforma och efterleva ett säkerhetsprogram lyfter Ali fram värdet av att ha en erfaren leverantör vid sin sida. Denna ska kunna komma in i rätt skede och bidra med sin omvärldskunskap för att säkerställa att åtgärderna är nulägesanpassade.

- Vi kan endast skydda oss mot de hot och risker vi redan känner till. Med hjälp av en extern aktör kan vi identifiera både kända och tidigare okända tillgångar och deras sårbarheter och säkerställa att vi följer aktuell lagstiftning. Läser man lagkommentarerna till dataskyddsförordningen så står det att man ska övervaka intrångsmetoder. Här har Sentor varit en ovärderlig säkerhetsleverantör.

Högre ambitioner genom ökat stöd

Efter genomförda insatser beskriver Ali hur kommunens säkerhetsarbete på senare år har gått från att vara händelsebaserat till att idag bedrivas på ett systematiskt och riskbaserat sätt med stöd från branschstandarder, ramverk och best practice. Arbetet har även accelererat andra digitaliseringsprocesser i nödvändig verksamhetsdialog.

- Idag har vi tydligt uttryckta ambitionsnivåer. Det innefattar bland annat att vi försöker ha ett proaktivt och framåtlutat förhållningssätt med mer dedikerad personal. Vi har även sett en ökad medvetenheten kring behovet av IT-säkerhet inom hela organisationen, och att stödet till IT-avdelningen för deras arbete med dessa frågor har vuxit.

Kommunens plan framåt är att genomföra ytterligare ett Red Team Test under 2024 för att säkerställa att genomförda åtgärder har gett effekt. Till andra personer i samma position vill Ali ge rådet att fundera över vilka risker man är villig att acceptera, och till vilket pris.

- Ett säkerhetstest av det här slaget kostar en bråkdel av de indirekta personalkostnaderna för en dags nedtid. Kan man acceptera att verksamheten står still ens en dag? Om svaret är nej på den frågan bör man kunna motivera en investering motsvarande en säkerhetskontroll.