Det var om eftermiddagen, at telefonerne begyndte at ringe på Nordfyn. Mandag den 19. januar omkring klokken 15 kom de første opkald til it-chef Per Stenaa fra medarbejdere, der ikke kunne gemme deres filer.

- Vi tænkte, at der var en eller anden bruger, der havde kvajet sig, siger Per Stenaa, der ikke havde kunnet forestille sig, hvad der ventede ham og kommunen. En time senere stod omfanget klart: Et program, der var kommet ind i skjul af en harmløst udseende mail, som en medarbejder havde klikket på, havde låst 34.207 filer på kommunens fælles drev. Eksperter blev tilkaldt, og den inficerede computer blev koblet fra og sendt til politiet. På den kunne man genskabe den besked, som programmet havde vist den medarbejder, der tidligere på dagen havde modtaget mailen, klikket på den i god tro og dernæst slukket sin computer i panik over meddelelsen på skærmen. Her stod, at filerne var blevet låst og at løsesummen for at få dem lukket op var 200 dollar, fortæller Per Stenaa.

Samme dag blev Gribskov angrebet, mens Odense i starten af februar blev ramt af et lignende angreb. Her var beredskabet dog klar, og alle servere blev lukket ned
indenfor en halv time. Angrebene viser dog alle, at kommunerne er sårbare, og at der skal få fejl til, før konsekvenserne bliver store.

Fejl på stribe

Det, Nordfyn, Gribskov og Odense tidligere på året blev udsat for, var ikke et egentligt hackerangreb. Der sad ikke en mand ved en computer i Østeuropa og gik målrettet efter at trænge ind i datasystemet i to små danske kommuner. Angrebet skete med ransomware, og modellen er ganske simpel: Når man klikker på den vedhæftede fil i en ellers uskyldigt udseende mail, låses en række filer, og brugeren bliver bedt om at betale for at få dem låst op. Samtidig bruger programmet computerens kontaktoplysninger til at få virussen spredt. Det er ren automatik. Derfor findes forklaringen på, at det gik galt, heller ikke i en snedig hackerhjerne bag en flimrende skærm, men i kommunernes mangelfulde sikkerhed. Det påpeger Mikkel Mikjær, der har arbejdet i over 15 år med drift og udvikling af it-løsninger og tidligere har arbejdet med sikkerhed.

- Hovedskylden ligger hos kommunen - det er dem, der ikke har gjort det ordentligt, og der er en hel stribe af ting, de kunne have gjort for at undgå angreb som disse, siger han.

Dels burde systemet slet ikke give den enkelte ansatte adgang til så mange filer, dels burde en medarbejder, der modtager masser af mail fra borgere, være bedre til at vurdere, hvad man ikke klikker på, mener Mikkel Mikjær.

Kommunerne er generelt langt bagefter private virksomheder, når det handler om it-sikkerhed, vurderer Peter Kruse, der er it-sikkerhedsekspert i CSIS. Han mener, at kommunerne er udfordret af utilstrækkelige tekniske løsninger og uvidende ansatte, der klikker løs med hovedet under armen. Og kommunerne burde have gjort meget mere for at forebygge, mener han.

- Det her må aldrig ske, og hvis man havde brugt ressourcer på viden- og kompetenceudvikling på det her område, så havde man kunnet undgå, at medarbejderne havde åbnet det, siger Peter Kruse.

Det største problem har dog været selve krisehåndteringen, mener han.

- Der, hvor det er allerværst, er i beredskabet. Man har ikke anet, hvem man skulle kontakte, da det skete, siger han. Situationerne beviser, mener Peter Kruse, at der er behov for langt mere målrettet arbejde med it-sikkerhed.

Sikkerhedskrav bør hæves

I den nationale strategi for cybersikkerhed, som regeringen har lanceret, er der dog ingen krav til hverken de kommunale eller regionale myndigheder herhjemme om at leve op til den internationale sikkerhedsstandard, som staten har forpligtet sig til at følge. Det er et problem, mener Adam Lebech, der er branchedirektør i DI ITEK.

- Kommunerne sidder med en utrolig masse følsomme data om borgernes sociale forhold og sundhedsforhold, og dem skal de selvfølgelig beskytte. Derfor er det vigtigt, at de har et højt sikkerhedsniveau, siger han, og derfor bør kommunerne forpligtes til det samme sikkerhedsniveau som staten.

- Angrebet mod Gribskov understreger, at det er helt afgørende, at regeringen nu udvider strategien til også at gælde kommuner og regioner, siger Adam Lebech, og han bakkes op af KL.

- Folk ved uden tvivl ikke nok om, hvad de må og ikke må. Der er behov for mere viden, og behovet ligger hos kom--munen, siger Michael Hald, der er konsulent i KL. Han ærgrer sig over, at der ikke stilles krav til kommunerne i den nationale strategi.

”Det her må aldrig ske, og hvis man havde brugt res-sourcer på viden- og kompetenceudvikling på det her område, så havde man kunnet undgå, at medarbejderne havde åbnet det.”

- Det er en overdrivelse at kalde det en national strategi, når den kun omfatter staten. Der er et hul i strategien, og det er en udfordring. Data hænger jo sammen, så ideen om kun at forsvare én fæstning holder ikke længere, siger Michael Hald. Samtidig kalder han det absurd at forestille sig, at man kan have systemer, der er fuldstændig sikre. Derfor handler det om at have større fokus på medarbejdernes videnniveau, mener han.

Truslen vokser

Kampen mod skadelige programmer er et kapløb med tiden, som ikke kan vindes. Der bliver udviklet fire nye slags malware, altså skadelige programmer, hvert eneste sekund døgnet rundt, og derfor er det ikke nok at stole på en firewall, et spamfilter og et antivirusprogram.

”Vi tænkte, at der var en eller anden bruger, der havde kvajet sig”

Derfor bliver behovet for bedre sikkerhed kun større i fremtiden, og allerede nu lurer farer, der er meget værre end låste filer, advarer eksperterne. Og samtidig giver øget brug af tablets og trådløse netværk endnu større sårbarhed. Det er et ekstremt dynamisk trusselsbillede, siger Peter Kruse. Og når vi ser denne slags angreb lykkes, er der også en masse andre trusler, der vil kunne ramme os og måske allerede gør det i det mere skjulte.

- Faktum er, at kan man blive offer for ransomware, kan man også blive ramt af datatyve, og datatyveri er langt mere alvorligt end ransomware, fordi det sker i det skjulte, siger Peter Kruse. Og selvom et par kommuner har fået dyrekøbte erfaringer, er det ikke nok til at undgå angreb fremover.

- Jeg har en grim mavefornemmelse af, at det vil ske, og jeg tror ikke, at den erfaring, man har fået sig i kommunerne, er så frugtbar, som man tror, siger Peter Kruse.