Reportage

När Kalix slocknade

Vad gör man när hela verksamheten lamslås, när ingenting fungerar? Kalix kommun stod inför detta faktum strax innan jul.

– Vi hade inga egna kanaler att jobba med. Allt var utslaget, inga system fungerade, säger informationschefen Reine Sundqvist.

Vid tretiden på natten den 16 december larmade hemtjänstpersonalen att det inte gick att logga in.

På eftermiddagen samma dag stod det klart att problemet var mycket större än så, då hade kommunen också mottagit ett utpressningsbrev om lösensumma efter en ransomware-attack (utpressningsvirus).

1 600 anställda kunde inte använda sina datorer. Det gick inte att komma åt omsorgens journaler, ej heller ekonomisystem, e-post och internet. Varken intranät eller webbsida kunde uppdateras.

– Men kalix.se var aldrig  hackad. Att webbplatsen inte var tillgänglig berodde helt enkelt på att it-enheten stängde ned och gick igenom alla servrar i jakt på rester av ransomware-attacken.

Dagen efter slocknade kommunens alla övervakningssystem, ventilationssystemen till 25 procent av fastigheterna stannade.

Vid första krismötet ringades akuta områden in.

Två var omsorgen, främst hemtjänsten, och information. Alla scheman för hemtjänsten fanns digitalt. Hur kunde man vara säker på att alla som skulle få hjälp verkligen fick besök?

– Vi får inte tappa någon vårdtagare. Och hur hör de av sig om de inte fått besök? Högsta prioritet var att nå ut med information, men utan egna kanaler är det inte så lätt. Vi kom att använda sociala medier och media.

Tämligen omgående var ett 30-tal personer, egen it-personal och konsulter, i arbete med att reparera skadan och få igång system. Personalen fick inte använda sina datorer. Alla skulle gås igenom, 1 200-1 400 datorer.

Kommunen konstaterade också snabbt att man måste berätta, inte mörka.

– Vi har alltid ansett att det är bättre att direkt berätta vad som hänt och vad vi gör och på så sätt äga informationen från start. Vi kan förstås inte berätta om det som ingår i polisutredningen, men i övrigt är det viktigt att våga berätta även om allt som inte är bra, säger Reine Sundqvist.

Kalix hade tidigt en plan för hur man skulle nå ut till både allmänhet och personal. Det togs fram en ny tillfällig webbsida för kommunen, med samma adress, på en extern server.

– Det var inte jättemånga timmar vi var utan egen hemsida. Och när vi var igång igen hänvisade vi även våra medarbetare till denna, de är ju en av våra viktigaste målgrupper.

Kommunikationen med de anställda skedde i hög grad via sociala medier, media och nya webbsidan. Den egna kanalen på Youtube fick många fler tittare.  Mobiltelefonerna användes för att koppla upp datorer mot internet och så kallade 4G-puckar köptes in för att stärka denna möjlighet.

– Självklart hade vi även fysiska möten. Men vi var inne i en tid när personal tagit ut välbehövlig ledighet. Dessutom levde vi med pandemin och ville att man skulle hålla avstånd och arbeta på distans. Smittspridningen var också värre än någonsin.

När de personella resurserna var färre än brukligt hade kommunen mer att göra än någonsin. Verksamheten skulle hållas igång och samtidigt skulle allt som var obrukbart återställas.

Utan fungerande övervakningssystem som larmar vid fel på vattenförsörjning och fastigheters värme fick anställda göra manuell övervakning med rondering. Enda sättet att lokalisera en vattenläcka var att åka ut och leta var det kom vatten ur marken.

– Vattnet är högsta prioritet. Det var extremt kallt under den här perioden och då är risken större att vattenläckor uppstår. Vilket också hände. Dessa situationer kunde lösas men det var svårare att upptäcka läckorna. Det är mycket sånt här som varit väldigt påfrestande och inneburit en ansträngd period för personalen. Att vi har fått prioritera allvarliga händelser gör också att vi ligger efter med andra saker, säger Mårten Öhman, chef för samhällsbyggnadsförvaltningen.

När fakturor med miljonsummor och anställdas löner skulle betalas ut till jul fick det ske manuellt. För de som inte kunde få lönerna via sitt konto hämtade kommunen ut pengarna i bankomat.

– Vi har verkligen försökt göra allt för att ingen ska drabbas. Det som kanske varit svårast och mest jobbigt var att personalen skulle jobba analogt. Nu har högen av dokumentation växt och allt analogt ska föras in digitalt, alla papper hos socialförvaltningen bevaras eftersom det handlar om sekretess, säger kommundirektör Maria Henriksson.

En månad efter attacken beräknades runt 80 procent av kommunens system vara i drift, dock inte fullt ut.

Parallellt med att systemen återställdes bytte kommunen också till ett nytt och säkrare it-system med bland annat mer avancerad inloggning. Ett arbete som skulle gjorts ändå, men nu skedde tidigare och under kortare tid. Kostnaderna för konsulthjälp, inklusive nya it-systemet, hade då kostat 2,5 miljoner kronor.

– Vi vet att vi måste investera i datasäkerhet. Vi som enskilda personer är största risken, vi måste öka kunskapen hos oss i personalen. Vad jag förstått har runt 200 kommuner varit med om attacker, synd att det inte pratas mer öppet om det, säger Maria Henriksson.

En ransomware-attack innebär att systemet krypteras för användaren och lösensumma begärs. Att betala angriparna var aldrig aktuellt. Vilken lösensumma som begärdes säger Maria Henriksson att man inte vet då kommunen aldrig svarat angriparna, men att experter gissar på 10-15 miljoner kronor för en kommun av Kalix storlek.

Däremot vet man hur intrånget skedde och virus spreds.

– Under den här perioden har fler attacker skett och man har försökt ta sig in med samma metod. Men då hade vi stängt alla dörrar. Det här är inga amatörer som sitter hemma och knackar, det är stora datasystem som sätts igång och gör jobbet, säger Kenneth Björnfot chef för stab-it och stab-information.

Tar man för lätt på risken för angrepp, trots att man vet att den finns?

– Man tror man pratat om det, men med den här händelsen tror jag diskussionen auktoriserats, både hos oss och hos andra, säger Reine Sundqvist.

En av Kalix ambitioner har varit att hålla igång all verksamhet och att ingen invånare drabbas av attacken.

– Jag tror faktiskt inte att någon har drabbats, mer än att man haft svårt att få kontakt med oss. Folk har haft förståelse och uppskattat att vi berättat, säger Maria Henriksson.

När fungerar allt fullt ut igen?

– Det vet vi ännu inte, det handlar både om att få igång alla system till 100 procent och om alla de ärenden som nu måste arbetas ikapp. Men med engagerade och hårt arbetande medarbetare är vi på god väg.

Läs också

Beredskap för personalresurser behövs

– Budgetera med säkerhet

Så minskar du risken för it-attacker