Tromsø kommune utsatt for cyberangrep: – Kan ikke utelukke at sensitiv informasjon er på avveie

15.000 e-poster med spam ble forsøkt sendt fra kontoen til en ansatt i Tromsø kommune. Det kunne vært unngått dersom nasjonale sikkerhetsråd hadde vært fulgt.

Datakriminalitet

Så mye som 15.000 e-poster ble forsøkt sendt fra en ansatt sin e-post. Dette kalles phishing og IT-sjefen i kommunen kan ikke utelukke at sensitiv informasjon kan være på avveie.

Foto: Thomas Winje Øijord / NTB scanpix

– Det er en ganske ekkel følelse. Det er litt som å komme hjem og se ytterdøra di stå på vidt gap. Du vet ikke hva som har skjedd, eller om noen har vært der, sier IT-sjef i Tromsø kommune, Marita Tiller.

Kommunen jobber nå med å finne ut hvor mange e-poster som ble sendt ut. Over 15.000 ble forsøkt sendt. E-posten inneholdt et dokument med lenke til en falsk innloggingsside med kommunens logo på.

– Vi mistenker at vedkommende var ute etter brukernavn og passord, sier Tiller.

Skjermdump. Twitter. Ansatt i Tromsø kommune.

Den ansatte som ble utsatt for dataangrepet la etter hver ut denne meldingen på sosiale medier.

Foto: Skjermdump fra facebook.

Tromsø kommune har så langt ikke avdekket at sensitivt informasjon har kommet på avveie.

– Men vi kan heller ikke utelukke det, sier Tiller.

Denne formen for dataangrep kalles phishing, og er en av de mest brukte. Det er en teknikk for å skaffe seg sensitiv brukerinformasjon, som passord, brukernavn eller lignende.

Ikke alle bruker sikkerhetssystem

IT-sjefen mener det kan være flere grunner til at e-posten ble hacket, men vet foreløpig ikke hva som er årsaken. Kommunen vurderer å politianmelde hendelsen.

– Det kan være skadevare på maskinen, eller at vedkommende har eksponert passordet sitt til noen andre. Det kan også være at den ansatte har trykket på en link.

Tromsø kommune har tilgang til sikkerhetssystem med to- faktor autentisering. Det vil si at man må logge seg på en konto i to trinn, ofte ved hjelp av telefon.

Denne metoden gjør det vanskeligere for uønskede å få tilgang til e-postkontoer. Men i Tromsø kommune brukes det kun der det er pålagt. Det vil si at mange ansatte ikke bruker sikkerhetssystemet.

– Vi kan ikke ha så kompliserte påloggingsprosesser at man ikke får tak i viktig informasjon når man trenger den, men på de systemene det er påkrevd er det påslått, sier Tiller.

Burde det ikke gjelde alle?

– Det kan man si, men det er et valg man tar. Vi tar avgjørelser basert på de vurderingene og kunnskapen vi har for øyeblikket.

Marita Tiller. IT. Tromsø kommune.

Marita Tiller utelukker ikke at sensitiv informasjon kan ha kommet på avveie.

Foto: Rune N. Andreassen / NRK

Kripos ser en økning i profesjonelle dataangrep. Tall fra SSB viser at én av ti norske kommuner har vært utsatt for dette.

Tidligere i år gikk Kripos ut og oppfordret til økt datasikkerhet etter Akva Group, Hurtigruten og Østre Toten kommune ble utsatt for alvorlige dataangrep.

– Hvis alle skaffer seg totrinnsbekreftelse på e-postene sine, og alle andre kontoer og tilganger som logges på over Internett, så gjør vi det mye vanskeligere for de kriminelle, sa politioverbetjent i Nasjonalt cyberkrimsenter, Øystein Andreassen i januar.

Rådhuset, Tromsø kommune

Ifølge tall fra SSB ble en av ti norske kommuner utsatt for dataangrep i 2019.

Foto: Marita Andersen / NRK

Mangel ved risikovurderingen

Også Nasjonal sikkerhetsmyndighet (NSM) anbefaler alle norske virksomheter å innføre to-faktor autentisering.

– Det gir et ekstra lag med sikkerhet. Selv om et passord kommer på avveie, vil det nødvendigvis ikke være enkelt for en uønsket aktør å komme seg inn på kontoen, sier fagdirektør i NSM, Lars Strand.

Strand ønsker ikke å kommentere den enkelte virksomhets sikkerhetssystemer, men

Lars Strand. Seniorrådgiver. NSM.

Lars Strand i NSM påpeker at de anbefaler alle norske virksomheter å bruke to-faktor autentisering.

Foto: NSM

poengterer at det er viktig å jobbe systematisk og strukturert med sikkerhet.

– Dersom to-faktor er støttet og man ikke har gjort gode vurderinger for bruk av det, så er det kanskje en mangel ved risikovurderingen, sier han.

Kan få alvorlige følger

Strand fremhever at stadig flere virksomheter har blitt flinkere på IT-sikkerhet de siste årene.

– Det er positivt. Vi er helt avhengig av at norske virksomheter har et godt sikkerhetsnivå, for å øke den totale robustheten i vårt digitale samfunn, sier han.

Fagdirektøren er bekymret for hva som kan skje dersom virksomheter ikke driver et godt og systematisk sikkerhetsarbeid.

– Hvis en virksomhet driver med sensitiv informasjon kan den komme på avveie, løsninger og tjenester kan bli utilgjengelig og virksomheten kan brukes som et brohode til andre kriminelle formål, slutter Strand.