Fra ledermøte til krisestab
Hackerne angrep – slik red Gran kommune av stormen
Kommunalsjef stab og støtte Ellen Sagengen hadde en nøkkelrolle i Gran kommunes håndtering av et cyberangrep like opp under julen 2024. Foto: Samfunnsbedriftene.
Skrevet av:
Nicolay Biørn-Lian
Publisert:
29. april 2025
– Det er en følelse av alvor når man trykker på den røde knappen og inviterer til kriseledelse, sier kommunalsjef Ellen Sagengen. Etter å ha holdt i roret under et angrep, deler hun villig av hva Gran kommune har lært.
– Det var ikke sånn at vi tenkte at det stod kjempebra til med informasjonssikkerheten hos oss før denne hendelsen inntraff. Men vi mente at vi hadde god nok kontroll.
– Vi hadde forholdt oss til nasjonale føringer på feltet. Men det er bare en sårbarhet som skal til, så er du ute i det, sier Sagengen.
Som kommunalsjef stab og støtte fikk hun mye i fanget da Gran ble angrepet av hackere rett før juleferien i fjor. Hun satt faktisk i ledermøte og drøftet informasjonssikkerhet da fagansvarlig IKT-drift plutselig fikk en melding og måtte gå.
Alarmen ble utløst fordi en IKT-konsulent oppdaget et kommandovindu med en blinkende cursor i et «remote desktop»-verktøy.
– Det bra at vår konsulent var såpass våken og slo alarm. Da kunne vi sperre en tilgang helt innledningsvis.
Tidlig varsling bidro trolig til å spare kommunen for mange problemer i tiden som fulgte. Likevel ble det tøft. For alle får kjørt seg når alarmen går.
Mye skjer i hodet
– Den psykososiale biten er krevende. Det er ekstreme arbeidsdager og netter for de som står i stormens øye. Og det er uvant med så mye oppmerksomhet. Plutselig er det mye medieomtale.
– Med mye usikkerhet, er det lett å spørre seg: Gjør vi det riktige nå? Og hva er det vi egentlig har gjort for å havne her? Å stå i dette, det er belastende.
Det gjaldt selv om Gran kommune hadde gjort mye riktig i forkant. Blant annet med tanke på opplæring av ansatte og ved å fordele roller og ansvar gjennom en sikkerhetsorganisering.
– Likevel opplever vi at vi kom sterkt ut av det. Det var aldri noen panikkstemning. Det var lagfølelse og samarbeid hele veien. Det opplevde vi som veldig positivt.
– For meg var det viktig å være «skjold». Jeg måtte bidra til gode veivalg, involvere meg i hvordan ting ble kommunisert og hvordan vi håndterte mediene.
Mye dreide seg om å skape tillit og handlingsrom. Og en lærdom var at en leder med et betydelig håndteringsansvar, ikke trengte å forstå alle IKT-detaljene.
– Jeg opplevde at det hele tiden var god samhandling mellom linjeledelse og kriseledelse. Det er viktig å la de rette folka få gjøre jobben de må gjøre.
Alarmen går
De første timene var hektiske. Etter først ha å ha sperret noen tilganger, søkte IKT bistand hos Helse- og KommuneCERT. Så ble andre i organisasjonen involvert så flere kunne stikke hodene sammen.
– Vi tok frem beredskapsplanene våre for å se hva som er naturlig å gjøre. Samtidig var vi nødt til å handle en del på instinkt. For det er ikke alt som står nedfelt i planene.
Ut fra en liste med anbefalte selskaper, tok de kontakt med Defendable, som de nylig hadde inngått en rammeavtale med gjennom Digi Innlandet.
– Da begynte snøballen å rulle. Defendable gikk raskt i gang med å undersøke og å få på plass avtaler for samarbeidet. De har sin rigg som de kjører på slike hendelser.
– På samme tidspunkt var det nødvendig for meg å varsle kriseledelsen i kommunen. For vi begynte å se konturene av at dette her kan være noe stort.
Rette folk snakker sammen
Utover kvelden ble mye jobbing med dokumentasjon og planer. Blant annet ble det avholdt et Teamsmøte mellom IKT-avdelingen, Helse- og KommuneCERT og Defendable.
– Det ble raskt skapt en del digitale plattformer for å samarbeide. Det var viktig å dele informasjon, logger og skjermbilder.
Da ledelsen skjønte at det gikk mot stengning av internettforbindelsen, var det mye som måtte forberedes. For eksempel måtte hjemmetjenesten skrive ut kjørelister og medisinlister.
– Det var viktig å ta bort de verste skadevirkningene. Vi var særlig opptatt av å varsle de 24/7 helsetjenestene vi har.
Nettet stenges ned
Klokken ti på kvelden var det første møte i kriseledelsen. De besluttet å stenge ned internettforbindelsen. Neste steg var å gi beskjed til alle ledere og ansatte.
– Vi måtte ut med veldig konkret informasjon om hvordan folk skulle forholde seg. Det handlet mye om nedstengning av nettforbindelsen. Folk kunne komme på rådhuset å jobbe, men da på 4G. Eller de kunne jobbe hjemmefra på egne nett.
Etter å gjort mange endringer i brannmuren, kunne de stenge av nett-tilgangen. Klokken var da 04:00 natt til onsdag.
De følgende dagene ble det gjort avbøtende tiltak for at kommunen skulle kunne levere sine tjenester så godt som mulig. Og da de kunne sette det meste i bero på lille julaften, hadde mange ansatte jobbet mer eller mindre kontinuerlig.
Pulsen senker seg
Da folk kom tilbake til jobb 2. januar, fikk de en liste med tiltak som de måtte gjennomføre. Blant annet måtte passord byttes rund baut. Og den 6. januar kunne de på ny åpne internettforbindelsen og teste og rette feil.
Kommunen brukte to tjenester i avtalen de hadde med Digi Innlandet. Det ene gikk på bistand under selve hendelsen. Og den andre var Nød-MDR, som er en 24/7-vaktordning der IKT-systemet blir overvåket på en helt annen måte enn før.
– Denne ordningen varer i tre måneder. Og det kjøpte oss tid med å områ oss og finne ut hva som skal være vårt sikkerhetsnivå på sikt.
Sagengen legger vekt på at de hele tiden opplevde et godt samarbeid mellom Defendable, Helse- og kommuneCERT og deres egen IKT-avdeling.
Ledelse under krise
Gran kommune hadde alt ganske mye erfaring med kriseledelse. Blant annet ble de hardt rammet av uværet «Hans». Kriseledelsen består av ledergruppen, ordfører, andre som har ansvaret for sentrale samfunnsfunksjoner og de som samkjører beredskapsarbeidet.
– Vi går aldri fra et slikt møte før vi har en felles situasjonsforståelse, og tenker at «ja, nå har vi oversikten som vi trenger per nå».
Det er også viktig å kontakte myndighetene. Dessverre er det enkelte som nøler med å kontakte Politiet dersom de blir utsatt for et cyberangrep. Kanskje frykter de å tape omdømme.
– Men et eventuelt omdømmetap ligger jo i hvordan du håndterer det. Og det er svært viktig for Politiet å være tidlig på ballen. For slike bevis er ferskvare.
Politiet har i etterkant greid å lete seg frem til dem som de mener stod bak angrepet på Gran. Heldigvis tyder ingenting på at de greide å stjele eller spre noen data.
Sagengen avslutter med en oppfordring til de som skulle bli utsatt for et cyberangrep:
– Koble på Politiet! Skal vi bekjempe kriminalitet, så må vi sørge for at myndighetene kommer i inngrep med ting.
Cyberangrepet
Den 17. desember 2024 ble Gran kommune angrepet av hackere. Kommunens folk var tidlig ute med å kontakte fagmiljøer for å få bistand.
Hackerne lyktes ikke med å plassere løsepengevirus, noe de trolig forsøkte å gjøre. Det er heller ingen tegn til at de greide å stjele data.
Suksessfaktorer
Gran kommunes håndtering kan oppsummeres slik:
- tidlig varsling og kontakt med fagmiljøer
- god dialog mellom ulike fagfolk
- begrense skadevirkninger for tjenestene
- god informasjonsflyt til ansatte og media
- melde fra til Politiet/Kripos
- finne rette nivå for fremtidig IKT-sikkerhet
Webinaret vårt
Sagengen deltok på Samfunnsbedriftenes webinar «Når kjeltringer tar over IKT-systemene» den 10. april.
SE WEBINARET NÅ
Hold deg oppdatert!
Vi gir deg siste nytt fra skjæringspunktene mellom fag og politikk, og mellom arbeidsliv og jus. Du får relevante og forståelige nyheter rett i innboksen din.
© 2022 Samfunnsbedriftene.
Fakturaadresse
EHF:
Samfunnsbedriftene er registrert i ELMA-registeret med organisasjonsnummer 912868222.
Vi ønsker fortrinnsvis å motta fakturaer i EHF-format.
Dersom dette ikke er mulig, benyttes e-post til følgende adresse: samfb@faktura.poweroffice.net
Besøksadresse
Haakon VIIs gate 9
0161 Oslo
Postadresse
Postboks 1378 Vika
0114 Oslo
Org.nr 912868222