”It-attacken mot Kalmar kommun visar att intrång är oundvikliga”
Förra veckan var det Kalmar kommuns tur att drabbas av en it-attack av ryska hackergruppen Akira. Två veckor tidigare lyckades samma grupp ge sig på it-leverantören TietoEvery som gjorde att bland annat 120 myndigheter drabbades av stillestånd i sina HR-system och Riksdagen påverkades.Tidigare har bland annat Kalix kommun fått i stort sett alla sina it-system låsta och kommunen krävdes på pengar, så kallad ransomware, för att låsa upp it-systemen.
Det här är varken första eller sista gången som system och funktioner hos kommuner eller myndigheter drabbas av stillestånd på grund av it-attacker. Angriparna letar ständigt efter sårbarheter i olika it-system och mjukvaror. Katt- och råttaleken mellan mjukvaruleverantörers annonserade uppdateringar (patchar) och angriparnas jakt på offer som ännu inte hunnit uppdatera äldre sårbar mjukvara är lika gammal som Internet, ungefär.
”De kommuner och myndigheter som fortsätter att driva komplexa och okontrollerade it-system riskerar att även fortsättningsvis drabbas av allvarliga konsekvenser när de attackeras och även få höga böter när de inte följer reglerna i det nya EU-direktivet.”Mats Ericson, regionchef för Sverige, Danmark och Island på Nutanix.
Så om vi inte kan undvika framgångsrika it-attacker, vad kan vi göra då? Svaret är att vi istället måste göra allt vi kan för att minska effekterna av dem.
Den stora utmaningen är att IT-systemen i dag är väldigt komplexa vilket gör att det ofta saknas kontroll och överblick och administration och felsökning blir tidskrävande. För att inte tala om hur besvärligt det är att snabbt kunna agera vid en it-attack. Det är också vanligt att kommuner och myndigheter inte sköter sina egna it-system, de kan skötas av svenska företag eller delvis ligga ute i det publika molnet vilket gör att kommunens it-tekniker ibland inte är där när något allvarligt händer.
Nu kommer dessutom ett nytt it-säkerhetsdirektiv från EU som ställer tydliga krav på att samhällskritiska myndigheter och kommuner har koll på sina underleverantörer. För att klara det måste kommuner som Kalmar kommun öka sin tekniska kontroll och överblick – kommunerna behöver på ett enkelt sätt kunna styra sina it-system, vilket ofta inte är fallet i dag.
Jag menar att svenska kommuner och myndigheter behöver förbättra fyra områden inom it-infrastrukturen för att snabbt kunna studsa tillbaka efter en framgångsrik it-attack och därmed minska de säkerhetsmässiga och ekonomiska effekterna för oss medborgare.
Detta bör göras:
Standardisera. Minska antalet leverantörer av både hård - och mjukvara för att på så sätt minska antalet angreppspunkter och tekniska sårbarheter.
Minska beroenden mellan olika hård- och mjukvaror. Dessa beroenden gör att kommuner och myndigheter inte kan löpande skydda tekniska sårbarheter.
Automatisera. Genom att all mjukvara är uppsatt på exakt samma sätt kommer återställningen av it-systemen att bli enklare och kunna genomföras snabbare.
Förenkla skötseln av it-systemen. Genom att använda teknik som förenklar driften kan it-avdelningarna ta bort och uppdatera gammal teknik och lägga mer tid på att skapa robusta it-system.
De kommuner och myndigheter som fortsätter att driva komplexa och okontrollerade it-system riskerar att även fortsättningsvis drabbas av allvarliga konsekvenser när de attackeras och även få höga böter när de inte följer reglerna i det nya EU-direktivet.
Så det är dags för kommuner att investera i dessa teknikområden som medger effektiv återställning av it-systemen, för planeringen för nästa Kalmar kommun-liknande attack pågår redan idag.
Mats Ericson, regionchef för Sverige, Danmark och Island på Nutanix.
