Farrokh Farrokhi, it-chef
– Vi tog omedelbart in Ateas Incident Response-team, säger it-chefen Farrokh Farrokhi.
Det var den 9 november 2022 som det upptäcktes att någon, eller några, gett sig på flera användarkonton i de kommunala verksamheterna från flera främmande länder.
– Kontona hoppade mellan länderna. Att våra egna medarbetare hade rest omkring i de här länderna vid de aktuella tidpunkterna var orimligt, så vi förstod att något inte stod rätt till, säger Johan Lovén, system- och nätverksutvecklare på NVK.
NVK sköter it-drift, support, nätverksinfrastruktur, klienter, licenser och avtal för Fagersta och Norberg. Förbundets arbete med att lyfta upp it-säkerhet som en strategiskt viktig fråga för kommunerna har pågått i flera år. När det geopolitiska läget i världen förvärrades drastiskt i samband med Rysslands invasion av Ukraina uppstod en politisk enighet att frigöra resurser till säkerhetsarbetet.
Microsoft 365 hade rullats ut i skolorna, och tvåfaktorsautentisering och en lång rad andra säkerhetsfunktioner aktiverats. Även Atea hade anlitats för att kartlägga alla svagheter i säkerheten – en kartläggning som kom att bekräfta förbundets bild av läget; att it-skyddet behövde förstärkningar i flera andra delar av verksamheterna, inte bara inom skolan.
Själva intrånget upptäcktes i samband med att Ateas konsulter genomförde de nödvändiga konfigureringarna i systemen. Omedelbart tog förbundets it-team en närmare titt på kontona:
– Då såg vi att spåren ledde vidare, in i it-miljön. Vi förstod direkt allvarligheten i situationen. Atea-konsulterna rådde oss att snabbt ta hjälp av deras kolleger i Ateas Incident Response Team, säger Johan.
Ateas incident-specialister är tränade på att skyndsamt och metodiskt agera vid alla typer av cyberincidenter, och effektivt stoppa allvarliga konsekvenser för verksamheter och, i förlängningen, medborgare och näringsliv.
Snabbt agerande gjorde att it-miljön kunde säkras efter 24 timmar
Ingen tid gick förlorad efter att incidenten upptäckts.
– Alla viktiga beslut var fattade på 30-60 minuter. Vi ställde de avgörande frågorna: Vad gör vi nu? Vilka roller behövs just nu? Vad ska göras internt, och vilken kompetens behöver vi utifrån? säger it-chefen Farrokh.
Någon timme senare var två konsulter och en incidentledare från responsteamet igång. Systematiskt gick de igenom it-miljön med hjälp av förbundets it-team.
Efter 24 timmar kunde alla andas ut; verksamhetssystemen var intakta. Kommunernas verksamhet kunde fortsätta utan avbrott.
– När vi stängde insatsen efter ett dygn var det i vetskap om att vi hade gjort alla nödvändiga åtgärder. Vi tätade till det som behövdes, och tog bort en del illaluktande ost som lockat till sig mössen, säger it-chefen Farrokh Farrokhi.
"När är det dags att sluta gräva i it-systemen?"
Johan betonar hur tryggt det kändes med responsteamets gedigna erfarenheter och systematiska process:
– Utan responsteamet hade vi inte vetat när det var dags att sluta gräva i loggarna. Hur långt behöver man gå? När kan man känna sig trygg? Vi är ju inte jättevana vid att hantera incidenter. Det var tydligt att Atea visste exakt vad som behöver göras, och i vilka steg. Det var betryggande.
Farrokh lyfter gärna de inblandades engagemang och lyhördhet under de 24 intensiva timmarna.
”Säkerhetsarbetet är ett arbete som aldrig tar slut. Man jobbar mot ett mål som ständigt förflyttar sig. Även om vi bevakar våra svagheter tills de har byggts bort, så känner man inte till det som man inte känner till”
– Jag fick klart för mig hur bra partner Atea är; en professionell konsultativ resurs som kunde förse oss med de kompetenser vi behövde, och vi fick en fantastisk projektledare. Teamet var lätt att samarbeta med. Vi hade en väldigt bra dialog i hela processen, säger han.
Vilka inkräktarna var är inte känt. Inte heller vad syftet varit.
Lösningsarkitekten Ivan Ponce, från Atea, berättar att it-skyddet bland annat stärktes på en mer övergripande nivå. Bland annat med vissa online-begräsningar:
– Vi skapade blockeringar för access till molnmiljön från vissa länder, säger han.
Med Ateas Incident Response Team har ditt företag säkerhetsövervakning dygnet runt och året om, med experter som kan hjälpa dig vid en eventuell incident.
Ateas IRT-medarbetare arbetar som ett virtuellt team och är geografiskt spridda över hela landet, vilket gör att det alltid finns någon i närheten om något skulle hända. Vi garanterar fyra timmars responstid.
"Ständig kamp mot illviljan"
Att kontinuerligt jobba förebyggande med stärkt it-skydd är ofrånkomligt. Det vet alla som jobbar med it-säkerhet. NVK har till exempel utökat det tekniska skyddet för klienter, mobiltelefoner och identiteter i samarbete med Atea, som även hjälper förbundet med ett pågående projekt som inkluderar Intune, M365, Backup och multifaktorsinloggning.
– Säkerhetsarbetet är ett arbete som aldrig tar slut. Man jobbar mot ett mål som ständigt förflyttar sig. Även om vi bevakar våra svagheter tills de har byggts bort, så känner man inte till det som man inte känner till, säger Farrokh.
Johan håller med:
– Det är en ständig kamp mot den här illviljan. Vi hamnade inte i samma situation som Kalix, men vi hamnade i något annat. Det går inte riktigt att jämföra – för vilka incidenter som sker, och hur allvarliga de blir, beror inte enbart på arbetet med it-säkerheten. Det handlar ju också om dem som utför it-attackerna, vad de vill uppnå och hur målmedvetna de är.
Avgörande att kunna agera när något händer
Förutom att löpande stärka skyddet, är det avgörande att kunna agera snabbt när något händer, med eller utan hjälp från Ateas Incident response team. I det fallet ger Farrokh sig själv och resten av kollegerna en klapp på axeln:
– Jag är stolt över är att alla viktiga beslut togs så snabbt, säger han.
Johan igen:
– Man behöver kunna dra i rätt spakar. Och det är bra att ha vägar in till externa specialister som man har förtroende för. Man tjänar väldigt mycket tid på att ha färdiga kontaktvägar, säger han.