Lyngby-Taarbæk inficeret med ransomware tre gange i 2016

Illustration: Pressefoto: Lyngby-Taarbæk Kommune
Strukturændringer i Lyngby-Taarbæk har været afgørende i forhold til konsekvenserne af de mange angreb, kommunen har oplevet i 2016. It-chef: Vi har været mega-heldige.

Kommunerne i Danmark har været hårdt ramt af cyberangreb det seneste år. Det fremgår af den undersøgelse, DR har lavet blandt kommunerne, som Version2 tidligere har omtalt.

Læs også: Danske kommuner bombarderet med cyberangreb i 2016

It-chef Mikke Arp Illustration: Pressefoto: Lyngby-Taarbæk Kommune

En af de ramte kommuner er Lyngby-Taarbæk Kommune, der i 2016 intet mindre end tre gange er blevet inficeret med ransomware og ligeledes tre gange lagt ned af DDoS-angreb.

It-chef Mikkel Arp tør ikke spå om, hvor mange angrebsforsøg de har været udsat for, men han garanterer, at de gør alt, hvad de kan for at komme dem til livs.

»Jeg tror, at vi bliver angrebet flere gange og på flere måder, end vi er klar over,« fortæller han.

Mikkel Arp forklarer, at det heldigvis ikke er gået sådan rigtigt galt endnu, men det kunne det sagtens have gjort. For mindre end en uge inden det første ransomware-angreb lavede de nemlig en strukturændring i forhold til medarbejdernes adgange, der endte med at blive afgørende.

»Vi havde overvejet at lave den her strukturændring en rum tid, det var mere held end forstand, at vi gjorde det lige inden, angrebet fandt sted,« forklarer Mikkel Arp.

Strukturændringerne vil sige, at hvor kommunen i ‘gamle dage’ kørte med ét stort fileshare-system, som alle medarbejdere havde adgang til, nu har indført en identitetsstyringsløsning og rettighedsløsning.

»Som medarbejder er det meget specifikt, hvad man har adgang til i forhold til, hvor i organisationen man sidder,« siger Mikkel Arp.

For kommunen har det betydet, at konsekvenserne for hvert af de angreb, der har ramt dem, har været relativt begrænsede i forhold til ransomware.

Det hænger sammen med, at når malwaren angriber en klient, så forsøger den også at kryptere data på de netværksdrev, klienten har adgang til. Og når den adgang er begrænset, så er skaden, ransomwaren kan forvolde, det også.

»Syv, ni - tretten, så har vi ‘kun’ haft nedetid på to til tre timer for hvert angreb,« siger han og fortsætter:

»Den nye identitetsstyringsløsning kombineret med rettighedsløsning har betydet, at når eksempelvis ransomware bliver aktiveret, så går det ud over relativt få medarbejdere.«

Derudover praktiserer kommunen en streng backup-kultur, der har gjort, at de ved alle angreb har kunnet reetablere data på forholdsvis kort tid.

Awareness er bedste løsning

De relativt mange angreb i form af DDoS og ransomware har altså formået at påvirke driften i Lyngby-Taarbæk Kommune, men det skyldes ikke, at kommunen er ligeglad med cyberangreb, påpeger Mikkel Arp.

»Vi har selvfølgelig alle tænkelige former for beskyttelse mod uautoriseret adgang,« fortæller Mikkel Arp.

Han fortæller videre, at én ting er ransomware, men der findes mange forskellige typer af malware.

Den slags kan - som ransomware - komme ind i systemerne via vellavede phishingmails.

Et eksempel på en sådan kunne være noget så enkelt som en mail med kommunens logo og it-afdelingen som afsender.

»Hvis en phishingmail er godt lavet, falder mange i fælden,« konstaterer Mikkel Arp.

Awareness er det bedste våben

Han mener, at der selvfølgelig skal det rigtige tekniske udstyr til for at holde angriberne ude, men man skal ikke tage fejl af menneskets sunde fornuft.

»Den måde, vi imødekommer de største udfordringer på, er ved at informere vores medarbejdere om, hvad de skal være opmærksomme på. Awareness er det bedste våben,« siger han.

Ifølge Mikkel Arp er der to skrækscenarier. Det ene er naturligvis, at en hacker får adgang til borgernes personfølsomme oplysninger.

Det andet er, at eksempelvis et DDoS-angreb er så velformet, at det lægger kommunen ned i flere dage, og at kommunen derfor ikke kan arbejde for borgerne.

Balancere mellem sikkerhed og brugervenlighed

I Lyngby-Taarbæk Kommune ser de sig som pragmatikere, hvor de handler efter det generelle trusselsniveau, kombineret med hvad de oplever på egen hånd. Men kommunen er også bundet af, at der skal være en vis brugervenlighed.

»Som it-afdeling er vi primært sat i verden for at lave brugervenlige løsninger. Det er rigtigt svært at øge sikkerheden uden at slække på brugervenligheden,« forklarer Mikkel Arp.

Han fortæller, at hver gang de laver sikkerhedsændringer, så overvejer de nøje, hvordan de skal implementeres, uden at det bliver en gene for medarbejderne.

Politisk beslutning

Mikkel Arp er meget glad for, at det foreløbig ikke er gået værre, end det er, og at kommunen selv har kunnet løse problemerne.

»Vi har kompetente medarbejdere og har brugt penge på at sikre os til et vist niveau,« siger han.

Skal de sikre sig meget mere, ligger beslutningen dog ikke på Mikkel Arps bord, men politikernes.

»De løsninger, der er tilgængelige på markedet, varierer meget i pris. Hvis vi bruger en halv million på sikkerhed, så er det jo en halv million, der kunne være brugt et andet sted,« forklarer han.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (32)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#2 Anne-Marie Krogsbøll

"It-chef Mikkel Arp tør ikke spå om, hvor mange angrebsforsøg de har været udsat for, men han garanterer, at de gør alt, hvad de kan for at komme dem til livs. »Jeg tror, at vi bliver angrebet flere gange og på flere måder, end vi er klar over,« fortæller han."

Meget betryggende...

I øvrigt positivt, at man trods alt ser ud til at gøre noget systematisk for at begrænse skaderne. Gad vide, hvor mange andre kommuner, der har gjort det, for det lyder jo lidt tilfældigt, at de har fået det gjort.

  • 3
  • 0
#8 Rune Jensen

Men ikke kun kigge på det tekniske.

Da jeg var helt ny, på min forrige arbejdsplads, kom chefen for hovedafdelingen ind "uaftoriseret", dvs. udenom personaleindgangen (jeg anede ikke, hvem han var på det tidspunkt), og jeg fik en "reprimande" for ikke at spørge ind til, hvem han var og hvad han lavede dér. Af samme chef. Manden vadede jo bare ind, ikk... Man skal altid være kritisk og mistænksom ovefor alle, som ikke identificerer sig efter reglerne eller som man ikke kender - også overfor business-like herrer med slips.

  • 3
  • 0
#9 Thomas Hedberg

@AS Thomsen

Det er ikke for at være ondskabsfuld, men var det mavefornemmelse i afdelingen , der så kollektivt blev enige om at det ikke virkede praktisk? Eller blev der foretaget en egentligt risiko vurdering. I så fald, hvad var jeres estimater for hvad det ville tage af resourcer, kontra den øgede risiko ledelsen accepterer uden kontrollen.

Personligt er jeg af den overbevisning at et Applocker projekt er oplagt i mange organisationer og kræver væsentligt færre resourcer end man lige skulle tro - eventuelt på en delmængde hvor det er mest praktisk.

  • 0
  • 0
#10 Marc Haustrup-Tønnesen

Jeg arbejder selv i en borgervendt funktion i en kommune og i mit team render vi ugentligt ind i denne problemstilling.

Borgerne skriver mange emails direkte til os. Ofte er der vedhæftet alle mulige slags filer og links, som borgerne mener er relevante for deres sag.

Så er spørgsmålet så hvor langt skal vi gå som en offentlig myndighed, i vores indsats for at forstå hvad borgerne sender til os:

Skal vi afvise alle links - også til Dropbox, onedrive osv... Skal vi afvise excel-ark? Skal vi afvise den selvudpakkende exe-fil med interaktive byggetegninger, som en gammel stædig ingeniør foretrækker at bruge, i stedet for cad eller PDF?

Og så taler vi ikke om at borgerne er elendige til at skrive og formulere sig, i sådan et omfang at vi ofte er tvivl om det er skam eller en reel henvendelse. Og da er det jo vores forpligtelse at finde ud af det, for ellers skal tilsynet eller ombudsmanden nok komme efter os.

Så der vil altid være en åben ladeport så længe borgerne må sende mails med selvvalgte vedhæftninger til en kommune...

  • 8
  • 1
#12 Mads Bendixen
  • 4
  • 1
#13 Marc Haustrup-Tønnesen

Så du ville ikke brokke dig hvis din kommune afviste din henvendelse fordi de ikke måtte /kunne åbne dine vedhæftninger/links?

I så fald er du et meget atypisk menneske, for langt de fleste har en forventning om at en kommune kan modtage og håndtere alle slags filer og links.

Lidt eksempler fra min hverdag:

  • Vi bliver ofte spurgt om vi har fax - endda også telex.
  • Jeg har personligt fået en skideballe fra en bygherre, fordi vi ikke kunne åbne hans byggetegninger som kom i et proprietært filformat fra 1998.
  • Det er ikke sjældent at vi for links med adgang til hele borgerens Google drev, Dropbox eller hjemmenetværk.
  • En borger som klagede over at vi ikke ville logge ind på hans ftp-server for at hente hans klage over en p-afgift. Serveren stod vel at mærke i Rusland...
  • Borgerne er begyndt at sende videoer istedet for at skrive et langt brev.
  • Mange kan ikke finde ud af at gemme et Word dokument eller andet som PDF-filer.
  • Osv osv...
  • 7
  • 0
#15 Thomas Hedberg

@Marc Haustrup-Tønnesen,

Nej, jeg ville ikke klage over i ikke kunne håndtere alverdens formater. Det fungerer så begge veje, for naturligvis skal kommunen heller ikke forudsætte, at alle afleverer i et 60.000 kroners proprietært CAD programs format..

Jeg ville forvente en ordenlig vejledning i hvilke formater, som kommunen kan håndtere, at der var åbne formater imellem dem og at i stadig modtog tegninger på papir, såfremt der ikke var anden mulighed. Vejledningen kunne så f.eks. forklare at der er af hensyn til fællesskabets sikkerhed at man ikke vil modtage behandle materiale der kan være en risiko for IT sikkeheden.

  • 7
  • 0
#19 René Nielsen

Det er ikke kun en dansk eller en tendens som kun vedrører det offentlige. Det er tidens trend af vi er troldmænd som kan alt og aldrig laver fejl.

Jeg arbejder i en global organisation hvor vi skal støtte "Verden". Vores "kunder" er ofte højtuddannet personale som har lavet et eller andet fuldstændigt tosset - og nu forventer de at vi har en magisk knap som øjeblikkeligt retter op alverdens fejltagelser fordi der er månedsrapportering i dag.

Min liste af urimelige kunde krav matcher Marc's liste, men hvis du er ansat i "troldmandens værksted", så må du i gang med trylle, og selvom det i reglen lykkedes, så er det ikke hver gang at tiden "kan skrues tilbage".

Så på med vanten :-)

  • 3
  • 0
#20 Søren Larsen

Kommunen skal kunne servicere alle borgere uanset deres tekniske formåen. Selvfølgelig skal der være en grænse for hvilke formater man kan acceptere, men kunne en praktisk sikker løsning ikke være at al mailkommunikation med borgere foregik via et sandkassesystem uden forbindelse til resten af infrastrukturen?

  • 2
  • 0
#21 Claus Gårde Henriksen

Når folk er kommet ind er det fordi sikkerheden er for slap i forhold til de ting brugeren kan finde på. Sikkerheden er jo omvendt proprortional med bekvemmelighed, så når man ikke kan eller vil afgrænse brugernes muligheder er der jo heller ingen grænser for hvor galt det kan gå med uforsigtige brugere. Synes ikke det burde forekomme i det offentlige.

  • 0
  • 0
#23 Thomas Hedberg

Vedr VM's:

Med alt respekt for den gennemsnitlige IT bruger i en normal organisation, så tror jeg at brugen af en traditionel VM til dette formål er alt for komplekst. Sådan en løsning ville skulle pakkes virkeligt godt ind og nærmest være usynlig for dem for at fungere i praksis. Det gør heller ikke nogen forskel hvis VM'en ikke er isoleret fra alt andet.

Ikke at jeg ikke selv har foreslået sammen typer løsninger tidligere i andre regi, men det var til andre formål. For ikke så længe siden var jeg involveret i et tilbud til en sikkerheds bevidst kunde, hvor vi overvejede et tillægsvalg som bl.a. betød, at browser ikonet i virkeligheden pegede ud på en applikation der kørte i en VM på et isoleret netværk kun med Internet adgang. Alle VM's blev så nulstillet mindst hver nat og kunne iøvrigt kun gøre skade på sig selv. Det var nogle interessante tanker i projektet, men det ville ikke være så praktisk i mange installationer.

  • 0
  • 0
#24 Claus Gårde Henriksen

Men hvad så med at logge ind på en Linuxbaseret X2go/NX/Citrix... terminal server og køre email programmet. Det vil kun kræve terminal server klienten på brugerens maskine. Hvis brugeren så kan bruge Outlook Web Access er det måske nok at provisionere Firefox på en Linux box gennem X2go/NX/Citrix.. En anden ultra simpel mulighed er at starte en linux liveusb session på brugerens maskine. Den kører kun i RAM og monterer ikke noget.

  • 0
  • 0
#25 Thomas Hedberg

Men hvad så med at logge ind på en Linuxbaseret X2go/NX/Citrix... terminal .......

Hvor meget jeg ellers er for ekstra sikkerhed og den lille tekniker nede i maven ellers ønsker at lave tekniske løsninger, så skal man passe på ikke at blive for teknologi l*derlig og lige træde et skridt tilbage og tænke over hvad man som organisation ønsker at opnå. Det hele skal jo også bygges og supporteres bagefter og det er ikke gratis.

I dette tilfælde mener jeg løsningen er klart overdreven i forhold til at stille nogle simple krav til hvad man kan modtage fra borgeren. Sålænge kommunens krav er rimelige kan de godt definere nogle krav til hvad de kan behandle. Mig bekendt tager SKAT heller ikke imod en håndskreven årsopgørelse på bagsiden af en lokumsrulle og hvor urimeligt en eller tilfældig tosse syntes det er, så er det til vores fælles bedste.

  • 0
  • 0
#27 Thomas Hedberg

Der er bare defacto ingen Linux brugere der er ramt af ransomware AFAIK

Det er desværre ikke korrekt. Ransomware angreb findes på alle platforme da det kun kræver at brugeren kan starte en fil og den efterfølgende har adgang til at kryptere de filer de har adgang til. Der er selve årsagen til at brugerne ikke må kunne starte programmer der ikke er godkendt.

Synology bruger Linux som platform og jeg kender et par stykker som blev ramt og fik krypteret alle deres filer. https://www.synology.com/da-dk/solution/ransomware

Her er en anden ransomware applikation der rammer Linux baserede maskiner. http://www.bleepingcomputer.com/news/security/new-fairware-ransomware-ta...

  • 0
  • 0
#29 Thomas Hedberg

Det er muligt eftersom det ingen rettigheder kræver og kun kræver en uopmærksom eller dårligt trænet bruger..

At ingen gider sende Linux ransomware ud til klienter skyldes nok mere at chancen for at ramme en af ovenstående brugertyper der faktisk bruger Linux er til at overskue.

Platforme baseret på Linux - der er udbredt - rammes konstant af malware. Et eksempel er f.eks. Android platformen. Jeg modtager da masser af links til .apk filer.

  • 1
  • 0
#31 Thomas Hedberg

Jeg er sådan set ikke i tvivl om at der kan sendes ting ud som folk kan vælge at exekvere, fordi de ikke ved bedre og derved smadre løs. Men det kører per tradition mere manuelt i Linux, hvor standarden f.eks. er at man giver passwords før installationer og at program pakkerne kommer fra et kontrolleret repo.

Det er som sådan også helt fint. Men ransomware installeres ikke - Man starter en fil og den begynder bare at kryptere ens filer. Det virker på samme måde i begge operativ systemer og de fleste andre for den sags skyld. Jeg tror dog man man muligvis skal markere den som executable i Unix medmindre man modtager den i et pakket arkiv - men at det er lidt mere besværligt er ikke et sikkerheds argument jeg køber.

Man advares forøvigt også som standard i Windows hvis man kører en program installation. Du kan så selv bestemme om du bare vil klikke ok eller om du vil indtaste et password før man kan fortsætte. Det hedder UAC og har været der omkring 10 år hvis jeg husker nogenlunde rigtigt (Siden Vista).

  • 1
  • 0
#32 Claus Gårde Henriksen

Man starter en fil og den begynder bare at kryptere ens filer

Ja det gør man så ikke bare lige i Linux, som du også skriver. For mig et glimrende sikkerheds argument. Men du har da ret i, det bare handler om at een klaphat kører "sudo Downloads/runthis.sh" før man har nedetid og at det først og fremmest er dennes mangel på uddannelse der er problemet.

  • 0
  • 0
Log ind eller Opret konto for at kommentere