Tillbaka till huvudmeny

”Spara inte på säkerheten”

Nu har det gått snart ett halvår sedan Kalix kommun blev attackerade av hackers som krävde en större lösensumma för att återställa kommunens IT-system. Händelsen som blev mycket omtalad i media, skakade om den offentliga sektorn på djupet. Ingen kan längre vara säker från cyberkriminella.

Kenneth Björnfot, stabschef på Kommunledningsförvaltningen ger sina tips efter cyberattacken 2021.
Kenneth Björnfot, stabschef på Kommunledningsförvaltningen i Kalix.

Tydlig och transparent information gav momentum

Det var natten mot den 16 december 2021 som attacken upptäcktes. Det blev starten på ett frenetiskt arbete att inte bara återställa skadan, utan även lägga grunden för en säkrare framtid. Konsulter kallades in och IT-avdelningen jobbade dygnet runt för att identifiera vad som skett, hur det gått till, vad som krävdes för att få tillbaka kontrollen och hur man ska skydda kommunen mot framtida attacker. 

Kommunen var snabb på att informera alla berörda parter, både på den nya webbplatsen och i media.

 – Vi valde att gå rakt på sak och berätta öppet om attacken. Vi gjorde så för att informera om det allvarliga läget och samtidigt vara steget före ryktesspridning. På det här sättet fick vi med oss alla, vilket gjorde arbetet lättare, säger Kenneth Björnfot, stabschef på Kommunledningsförvaltningen.

Säkerhetskopior blev räddningen

Räddningen från totalhaveri och ett nödvändigt andrum var kommunens säkerhetskopior som var lagrade på annan plats. 

– Förutsättningen för att komma tillbaka och ta grepp om situationen var att våra säkerhetskopior var intakta. De var inte ens i samma lokal, berättar Kenneth när vi frågar om hur de så snabbt kunde reda ut situationen. Att lagra all information i flera kopior, och på olika ställen, är bara en av Kenneths lärdomar och tips till andra verksamheter. Han rekommenderar även att ha en 10-punkters checklista som i detalj går igenom säkerheten. Ett tips från Kenneth är att titta på den lista som MSB tagit fram om cybersäkerhet.

När vi frågar Kenneth om vilka lärdomar han själv fått från händelsen funderar han en stund. 

– Nu när det gått en tid och vi fått klarhet i allt är det just tiden som är viktigast. Det vill säga hur uthålliga vi är om det händer igen. Numera klarar vi upp till en månad om vi skulle bli attackerade. Det mest tidskritiska är myndighetsbeslut, löner, fakturor och beslutunderlag för politiken. Det är viktigt att ha en prioriteringslista på vad som ska komma igång först, berättar han.

Innan vi avslutar intervjun säger Kenneth:

– En av de absolut viktigaste lärdomarna är att inte spara på säkerheten. Välj lösningar som skyddar!

Kalix kommun använder både ekonomisystem och personalsystem från Visma. Innan attacken hade man systemen OnPrem men efter attacken valde kommunen att lägga dem i Vismas privata molnlösning för att öka säkerheten. Med Vismas molntjänst körs lönesystemet centralt på servrar i Småland. I lösningen ingår även att Visma sköter driftsäkerheten och uppdaterar efter gällande lagar och regler.

Läs mer om våra molnlösningar

Lyssna på Lönepoddens avsnitt om incidenten

Vill du veta mer om hur du kan öka IT-säkerheten och förebygga cyberattacker? Missa inte Lönepoddens avsnitt 52 samt 54 som båda tar upp incidenten i Kalix.
Till Lönepodden: Cyberattacken i Kalix kommun
Till Lönepodden: Cyberattacker – hur kan löneavdelningen jobba proaktivt?

Mest populära

  • Kan arbetsgivare betala ut pengar istället för semester?

    När semesteråret når sitt slut, och de anställda har semesterdagar kvar, vad kan du som arbetsgivare göra? Kan du betala ut pengar istället för att ge medarbetaren semester? Det är en vanlig fråga, och svaret finns i semesterlagen.

  • Räknas restid som arbetstid?

    Betald restid – en definitionsfråga med flera svar. Många yrkesgrupper spenderar många timmar i veckan på att resa mellan olika projekt eller arbetsplatser. Det finns tillfällen då restid räknas som arbetstid. Däremot räknas inte resan till och från den ordinarie arbetsplatsen som restid – dina medarbetare har alltså inte rätt till kompensation för tiden de lägger på att ta sig till arbetet.