– Det er en ganske ekkel følelse. Det er litt som å komme hjem og se ytterdøra di stå på vidt gap. Du vet ikke hva som har skjedd, eller om noen har vært der, sier IT-sjef i Tromsø kommune, Marita Tiller.
Kommunen jobber nå med å finne ut hvor mange e-poster som ble sendt ut. Over 15.000 ble forsøkt sendt. E-posten inneholdt et dokument med lenke til en falsk innloggingsside med kommunens logo på.
– Vi mistenker at vedkommende var ute etter brukernavn og passord, sier Tiller.
Tromsø kommune har så langt ikke avdekket at sensitivt informasjon har kommet på avveie.
– Men vi kan heller ikke utelukke det, sier Tiller.
Denne formen for dataangrep kalles phishing, og er en av de mest brukte. Det er en teknikk for å skaffe seg sensitiv brukerinformasjon, som passord, brukernavn eller lignende.
Ikke alle bruker sikkerhetssystem
IT-sjefen mener det kan være flere grunner til at e-posten ble hacket, men vet foreløpig ikke hva som er årsaken. Kommunen vurderer å politianmelde hendelsen.
– Det kan være skadevare på maskinen, eller at vedkommende har eksponert passordet sitt til noen andre. Det kan også være at den ansatte har trykket på en link.
Tromsø kommune har tilgang til sikkerhetssystem med to- faktor autentisering. Det vil si at man må logge seg på en konto i to trinn, ofte ved hjelp av telefon.
Denne metoden gjør det vanskeligere for uønskede å få tilgang til e-postkontoer. Men i Tromsø kommune brukes det kun der det er pålagt. Det vil si at mange ansatte ikke bruker sikkerhetssystemet.
– Vi kan ikke ha så kompliserte påloggingsprosesser at man ikke får tak i viktig informasjon når man trenger den, men på de systemene det er påkrevd er det påslått, sier Tiller.
– Burde det ikke gjelde alle?
– Det kan man si, men det er et valg man tar. Vi tar avgjørelser basert på de vurderingene og kunnskapen vi har for øyeblikket.
Kripos ser en økning i profesjonelle dataangrep. Tall fra SSB viser at én av ti norske kommuner har vært utsatt for dette.
Tidligere i år gikk Kripos ut og oppfordret til økt datasikkerhet etter Akva Group, Hurtigruten og Østre Toten kommune ble utsatt for alvorlige dataangrep.
– Hvis alle skaffer seg totrinnsbekreftelse på e-postene sine, og alle andre kontoer og tilganger som logges på over Internett, så gjør vi det mye vanskeligere for de kriminelle, sa politioverbetjent i Nasjonalt cyberkrimsenter, Øystein Andreassen i januar.
Mangel ved risikovurderingen
Også Nasjonal sikkerhetsmyndighet (NSM) anbefaler alle norske virksomheter å innføre to-faktor autentisering.
– Det gir et ekstra lag med sikkerhet. Selv om et passord kommer på avveie, vil det nødvendigvis ikke være enkelt for en uønsket aktør å komme seg inn på kontoen, sier fagdirektør i NSM, Lars Strand.
Strand ønsker ikke å kommentere den enkelte virksomhets sikkerhetssystemer, men
poengterer at det er viktig å jobbe systematisk og strukturert med sikkerhet.
– Dersom to-faktor er støttet og man ikke har gjort gode vurderinger for bruk av det, så er det kanskje en mangel ved risikovurderingen, sier han.
- Les også:
Kan få alvorlige følger
Strand fremhever at stadig flere virksomheter har blitt flinkere på IT-sikkerhet de siste årene.
– Det er positivt. Vi er helt avhengig av at norske virksomheter har et godt sikkerhetsnivå, for å øke den totale robustheten i vårt digitale samfunn, sier han.
Fagdirektøren er bekymret for hva som kan skje dersom virksomheter ikke driver et godt og systematisk sikkerhetsarbeid.
– Hvis en virksomhet driver med sensitiv informasjon kan den komme på avveie, løsninger og tjenester kan bli utilgjengelig og virksomheten kan brukes som et brohode til andre kriminelle formål, slutter Strand.