Termometern på fönsterblecket har krupit ner till trettio minusgrader. Du vänder dig mot datorn, vars skärm visar ett kaos av krypterad obegriplighet. Plötsligt stormar it-chefen in: ”Hackarna kräver pengar. Femton miljoner. Vad gör vi?”.
— Man vet ju att det sker, men vi hade aldrig tänkt att det skulle hända just oss. Det gör nog ingen, säger Sara Gahm.
Hon var systemutvecklare på Kalix kommun när it-attacken lamslog hela organisationen den där decembernatten.
— De ringde fredag förmiddag och vi fattade direkt att det var allvarligt. Jag frågade Sara vilka system de fortfarande kom åt, och hon sa ”Inte ett enda. Vi är helt utelåsta”, berättar Joacim Mansfeldt, SaaS-specialist hos Visma PubliTech.
E-post, telefoni, ekonomisystem, hemtjänstens medicinlistor, värme i skolor och äldreboenden: ingenting fungerade. Gärningsmännen hade utnyttjat säkerhetsbrister till att ladda upp ett krypteringsprogram, så kallad ransomware.
— Någon tar sig in i systemet och gör sig själv till super-admin. Alla filer krypteras, sedan tar inkräktaren nyckeln och drar. Som drabbad kan du inte rädda någonting; valet står mellan att betala lösensumman för att få nyckeln, eller att återskapa precis allt, säger Joacim Mansfeldt.
En jul utan lön?
Med en vecka till julafton, utan lönesystem, skulle medarbetarna i Kalix kommun tvingas fira utan lön på kontot. Svårt för de flesta, för vissa ren katastrof.
— Att inte kunna betala ut lönerna, det kändes som en mardröm, säger Sara Gahm.
När Joacim Mansfeldt frågade efter säkerhetskopior tändes hoppet: jo, förvaltningen hade nyligen börjat med backup på en server tryggt åtskild från övriga system. Det blev decemberlönens räddning.
— Själva lösningen var en migrering från den servern till en av våra. En sådan överflyttning tar, korrekt genomförd, mellan en och två månader. Den tiden fanns ju inte, så alternativet blev en minimal uppsättning. Vi kavlade upp ärmarna och började jobba… ganska intensivt, säger Joacim Mansfeldt.
Snabbheten avgörande
Det tog en helg. Sedan hade han och kollegorna satt upp en webserver och databas, lyckats överföra backupen från den internet-lösa kommunförvaltningen, testkört och verifierat. 6-8 veckors arbete utfört på tre dagar — och så fick alla sin lön. I tid, dessutom.
— Utan backup hade det inte varit möjligt. Men lösningen var enkel; det anmärkningsvärda var snabbheten, att vi faktiskt lyckades göra det på ett par dagar, säger Joacim Mansfeldt.
När det mest kritiska var löst återstod mycket arbete med övriga system. Enligt kommunens prio-ordning och i tätt samarbete med Visma stärktes säkerheten över hela it-infrastrukturen. Idag klarar Kalix kommun uppåt en månad ifall en ny it-attack inträffar.
It-chefen: stort ansvar, små resurser
Vad som hände, hur hackarna tog sig in, vet man inte. Bara att det vore betydligt svårare nu.
— Det finns ingen anledning att peka finger eller säga ”där gjorde ni fel”. Ofta lägger man säkerhetsansvaret på it-chefen, men avsätter inte de resurser som faktiskt krävs. Säkerhetsarbetet måste pågå hela tiden, man ska hålla sig informerad om nya risker, checka av uppgraderingar och skydd, att alla följer rutinerna… Det vet it-chefen, men resten av organisationen förstår kanske först när det är för sent, säger Joacim Mansfeldt.