Spørsmål og svar om IT-hendelsen

Et dataangrep er når noen prøver å bryte seg inn i datasystemer for å stjele informasjon, stoppe tjenester eller ta kontroll over systemer. Det kan for eksempel være at uvedkommende får tilgang til e-post, sensitive data eller viktige systemer, eller at de låser data og krever penger for å låse opp igjen.

Et dataangrep kan merkes ved at systemer ikke virker, at man ikke får logget inn, eller at informasjon kan være utilgjengelig. Angrep skjer ofte ved at angripere utnytter svake passord, lurer noen til å gi fra seg tilgang (for eksempel via en falsk innloggingslenke), eller finner tekniske sårbarheter. 

Vi har skrevet en nyhetsartikkel som forklarer hvordan dataangrepet skjedde.

Norsk helsenett holdt 29. mai et webinar om dataangrepet, med en teknisk gjennomgang av angrepet og tips til hvordan virksomheter kan beskytte seg (trykk på 29.05.2026 - Ransomware i Lørenskog). 

Vi oppdaget dataangrepet lørdag 9. mai.

Et av sykehjemmene hadde problemer med nettilgang. Det ble meldt til IT-avdelingen, som da oppdaget dataangrepet. Som en sikkerhetsmekanisme stengte IT-avdelingen ned alle kommunens systemer straks angrepet ble oppdaget.

Vi har ikke funnet tegn til at sensitive data om innbyggere eller ansatte er hentet ut. Hvis vi får informasjon om at sensitive data har kommet på avveie, vil vi ta kontakt med de som eventuelt er berørt. 

Hvis du har spørsmål om dette, kan du kontakte personvernombudet vårt på e-post personvernombud@lorenskog.kommune.no. 

Da IT-avdelingen oppdaget angrepet ble alle systemer umiddelbart stengt ned. Enkelte fagsystemer er fortsatt nede. De startes gradvis opp igjen, men dette tar tid fordi vi må ta hensyn til sikkerhet og personvern. På Vasshjulet (intranettet vårt) legges det fortløpende ut informasjon om status for systemene.

IT-avdelingen følger en fast og strukturert prosess for å få de viktigste systemene trygt opp igjen så raskt som mulig. Dette innebærer blant annet å isolere berørte systemer, bygge opp en ny struktur, og gjennomføre grundige sikkerhetssjekker og rensing før systemene gradvis startes opp igjen.

Systemene blir prioritert etter hvor kritiske de er, med særlig fokus på tjenester innen helse, omsorg og andre viktige samfunnsfunksjoner. Vi jobber også kontinuerlig med overvåking og kvalitetssikring for å sikre at gjenåpningen skjer på en stabil og sikker måte.
 

Vi har en samarbeidsavtale med et eksternt sikkerhetsselskap som ble kontaktet straks vi avdekket angrepet. Vi har satt i gang omfattende sikkerhetstiltak i samarbeid med dem. 

Vi varslet politi, Datatilsynet og Nasjonal sikkerhetsmyndighet (NSM) i henhold til våre varslingsrutiner.

Som en sikkerhetsmekanisme stengte IT-avdelingen ned alle kommunens systemer straks angrepet ble oppdaget. Mange av systemene er nå tilgjengelige igjen, og de resterende startes gradvis opp. Denne prosessen vil ta tid for å sikre at det skjer trygt og forsvarlig.

Vi har sammen med vår sikkerhetspartner gransket hendelsen for å avdekke hvordan angrepet skjedde. 

Vi vet hvilken aktør som står bak, men vi ønsker ikke å gå ut med mer informasjon om dem. Kripos jakter en konkret hackergruppe.

Gjerningspersonene la igjen et brev med oppfordring om videre dialog på en annen digital plattform. Det ble ikke fremsatt et konkret krav om løsepenger. Etter anbefaling fra vår sikkerhetspartner og Kripos går vi ikke i dialog med aktøren.

Flere av kommunes tjenester har ikke tilgang til sine fagsystemer. Dette medfører redusert kapasitet og forsinkelser i arbeidet.

Vi starter nå systemene gradvis opp igjen. Flere systemer er helt eller delvis oppe, men det gjenstår mye arbeid. Det er for tidlig å si når alle tjenestene vil ha tilgang til sine systemer som normalt. 

Ansatte bruker manuelle rutiner der det er nødvendig. For noen tjenester vil dette medføre redusert kapasitet og forsinkelser i arbeidet. Vi bruker lengre tid enn vanlig på å behandle og svare på søknader.

Grunnskoleeksamen for 10. trinn og voksenopplæring ble gjennomført som planlagt. 

IT-avdelingen arbeider med å gjenopprette alle fagsystemene. På Vasshjulet (intranettet vårt) legges det fortløpende ut informasjon om status for systemene. Vi oppfordrer alle ansatte til å følge med på Vasshjulet.

Utbetaling av lønn til kommunens ansatte er ikke berørt av dataangrepet. 

Kommunen bruker betydelige ressurser på å begrense omfanget av dataangrepet og starte opp alle IT-systemene igjen. I en orientering til formannskapet onsdag 20. mai fortalte direktør Vibeke Rørvik at dataangrepet så langt har kostet kommunen 1,6 millioner kroner. 

 Det er for tidlig å anslå hvor stor den endelige summen vil bli.

Lørenskog kommune jobber kontinuerlig for å beskytte tjenester, systemer og informasjon mot digitale trusler. Vi har over tid gjennomført en rekke tiltak for å styrke sikkerheten i kommunen. Samtidig har dataangrepet gitt oss viktig læring og vi har derfor ytterligere forsterket både tekniske løsninger, rutiner og bevisstheten rundt sikkerhet.

Tiltakene som beskrives her består både av sikkerhetstiltak vi etablerte før dataangrepet og noen nye, forsterkede tiltak som er innført basert på erfaringer fra angrepet.

Styringssystem for digitale enheter

Vi har innført et styringssystem for kommunens digitale enheter. Dette gir oss mulighet til å begrense tilganger, sikre riktig oppsett og innføre sikkerhetstiltak fortløpende på alle enheter.

Da dataangrepet skjedde var nesten alle kommunens PC-er innrullert i dette systemet. Av rundt 3000 PC-er gjenstod om lag 200. PC-en som ble rammet var en av få som ikke var innrullert.

Strengere tilgangsstyring

Det er innført strengere regler for hvor og hvordan ansatte kan få tilgang til jobbdata. Tilgangen er blant annet basert på enhet, plassering og sikkerhetsnivå.

Forsterket pålogging

Kravene til passord er skjerpet gjennom økt passordlengde.

Ekstra sikring av sensitiv informasjon

Systemer som behandler sensitiv informasjon som for eksempel pasientjournaler er ekstra sikret.

Segmenterte systemer

Kommunens systemer er segmentert. Dette begrenser konsekvensene dersom noen bryter seg inn et sted.

Ekstern backup

Kommunen lagrer sikkerhetskopier eksternt. Dette sikrer at data kan gjenopprettes ved hendelser som dataangrep eller tekniske feil.

Tverrfaglig sikkerhetsarbeid

Kommunen har et eget sikkerhetsforum med representanter fra alle sektorer, som jobber med å forebygge og håndtere risikoer.

Opplæring og bevisstgjøring

Ansatte i kommunen får opplæring gjennom hele året, blant annet gjennom årlig sikkerhetsmåned, kurs og jevnlige phishingtester. Målet er å øke bevisstheten om digitale trusler i hele organisasjonen.