Denne typen hendelse kan ramme hvem som helst, og angrepsmetoden er utformet på en måte som de færreste er bevisst på.
Tirsdag 7. april gjennomførte en ansatt et vanlig internettsøk. I søkeresultatene lå en nettside som fremsto som legitim, og den ansatte klikket seg inn og lastet ned en fil derfra. Filen inneholdt skadevare, som ga kriminelle hackere tilgang til den ansattes PC.
Onsdag 22. april kom hackerne seg videre inn i kommunens servere. Det ser ut til at de deretter brukte tid til å rekognosere og kartlegge kommunens nettverk før de fredag 8. mai gikk til angrep.
Sikkerhetstiltak begrenset skaden
Hackerne har tatt seg inn i et fåtall av kommunens servere før vi oppdaget angrepet. Undersøkelsene så langt tyder på at hackerne ikke har fått tilgang til personsensitiv informasjon. De har heller ikke fått tilgang til kommunens back up.
Svein Erik Engebretsen er leder for IKT i Lørenskog kommune
Farid Dino Omer, Lørenskog kommune
– Et sentralt sikkerhetstiltak er kommunens avtale om ekstern lagring av alle filer som back up. Hackerne har derfor ikke greid å lamme kommunen fullstendig, noe som ofte kan skje i et dataangrep, sier leder for IKT i Lørenskog kommune, Svein Erik Engebretsen.
Engebretsen forteller at gode rutiner internt og årvåkne ansatte gjorde at vi raskt forsto at et angrep var på gang.
– IT-avdelingen trykket umiddelbart på den store røde knappen og stengte ned alle kommunens nettverk og servere.
Vi varslet i tillegg politi, Datatilsynet og Nasjonal sikkerhetsmyndighet (NSM) i henhold til våre varslingsrutiner.
Profesjonaliserte kriminelle nettverk står bak
Kommunen har over tid arbeidet systematisk med å forebygge denne typen hendelser og styrke beredskapen.
Innføringen av en forsterket sikkerhetsløsning på alle kommunens pc-er har vært viktig i dette arbeidet. På tidspunktet for dataangrepet var utrullingen nesten fullført. Av kommunens rundt 3000 pc-er gjensto om lag 200. Den pc-en som ble hacket var én av de få som ikke hadde fått installert den nye sikkerhetsløsningen enda. Arbeidet med å sikre alle enheter er nå gjennomført.
Engebretsen beskriver denne typen dataangrep som ekstremt profesjonalisert.
– Metodene til kriminelle hackere er svært avanserte og utvikler seg raskt. Fram til nå har vi i stor grad sett at aktører oppsøker mulige ofre via e-poster som ser ut til å komme fra en legitim avsender. Dette angrepet har derimot rammet oss tilfeldig, forteller Engebretsen.
Kommunen har fått bistand fra blant annet Kripos og Nasjonal sikkerhetsmyndighet (NSM) etter dataangrepet.
En del av et større trusselbilde
NSM understreker at denne typen hendelser ikke er unike, men en del av et stadig mer krevende digitalt risikobilde.
Direktør for Nasjonal sikkerhetsmyndighet, Arne Christian Haugstøyl
Stine Østby
– Dette er ikke et spørsmål om hvis, men når det skjer. Digitale angrep rammer både offentlige og private virksomheter, og selv godt sikrede organisasjoner kan bli utsatt. Derfor er det avgjørende å arbeide systematisk med forebygging, samtidig som man har god beredskap og evne til å håndtere hendelser når de oppstår, sier Arne Christian Haugstøyl, direktør i NSM.
Godt forberedte organisasjoner kan også bli rammet. Forskjellen på utfallet handler i stor grad om hvor godt man er rustet til å håndtere situasjonen.
– Derfor er det også avgjørende at norske kommuner og virksomheter iverksetter robuste risikoreduserende tiltak for å forebygge mot fremtidige angrep, sier Haugstøyl.
NSM minner om at alle bør ha rutiner for å varsle uønskede hendelser til politiet, PST, NSM og andre relevante myndigheter.