Gribskov og Nordfyns blev mandag eftermiddag ramt af et ransomware-angreb, hvor kommunale filer er blevet krypteret, og hackerne har krævet løsesum for at låse filerne op igen. Begge kommuner har været udsat for samme type angreb, hvor medarbejdere har klikket på vedhæftede filer i mails.
Ifølge revisionsfirmaet PwC, der har konsulteret kommunerne i forbindelse med angrebet, har flere kommuner - en lille håndfuld - været udsat for lignende angreb.
I Gribskov Kommune har der været tale om flere mails med ondsindede vedhæftede filer sendt til medarbejdere og i Nordfyns kun en enkelt mail. Men selvom det i Nordfyns tilfælde kun har været tale om en enkelt medarbejder, der klokken 12.03 mandag modtog en mail med en ondsindet fil, som blev åbnet, så har det været nok til at give sved på panden hos kommunal it-chef Per Stenaa.
For som i så mange andre organisationer, har der været koblet flere centrale netværksdrev til medarbejderens computer. Og dermed er filerne på netværksdrevene også blevet krypteret. 34.207 filer i alt.
Nordfyns kommune har dog været oppe at køre igen siden i går, onsdag, takket være en backup, så de krypterede filer har kunnet gendannes.
»Jeg kan selvfølgelig ikke sige, der ikke er en fil eller to, der ikke er kommet op endnu. Der er jo altid noget, der går galt, når man kører restore. Men dybest set burde vi være på plads,« siger Per Stenaa.
Bitcoin-opkrævning
Han fortæller, at han ikke selv har set skærmbilledet, der mødte brugeren, der åbnede den skæbnesvangre fil, men at løsesummen skulle være blevet krævet i kryptovalutaen Bitcoin. Skærmbilledet forsvandt, fordi brugeren skyndte sig at slukke for computeren.
Også i Gribskov kommune har der været sluttet netværksdrev til enkelte brugeres maskiner, som malwaren har krypteret indholdet på. Og også her er der backup af i hvert fald en del af filerne, fortæller Borgerservice- og it-chef Anne-Sofie Degn til Version2.
Hun fortæller, at kommunens medarbejdere har modtaget rigtigt mange mails med den ondsindede vedhæftede fil, men at der ikke er mange, der har åbnet den. Men som i Nordfyns tilfælde - og på grund af netværksdrevene - så er en enkelt fejlåbning af filen nok.
»Denne her programstump er gået ned på vores drev. Ikke på alle vores netværksdrev, men på to drev.«
Anne-Sofie Degn kan ikke oplyse det nøjagtige antal filer i kommunen, der er blevet ramt. Men at angrebet er gået ud over arbejdsgange i kommunen.
Som i Nordfyns, har Gribskov kommune også backup.
»Vi har en lang række ting, vi kan genskabe på den måde, men det kommer ikke til at være 100 procent,« siger Anne-Sofie Degn.
Hun fortæller, at kommunen arbejder sammen med eksterne rådgivere på at få kommunen helt tilbage til normal drift. Herunder ses der også på, om de filer, der ikke kan genskabes ud fra backup, kan låses op igen.
Både Nordfyns og Gribskov kommune har haft adskillige anti-virusløsninger på plads. Både via en ekstern leverandør, der har scannet mails, og så har der været et lokalt anti-virusprogram i drift også. Men intet af det har altså hjulpet.
Brugeradfærd
Og derfor handler det heller ikke kun om teknik, for at komme lignende angreb til livs i fremtiden, men også om at opdrage brugerne til - eksempelvis - ikke at åbne vedhæftede filer, der kan være farlige, mener Anne-Sofie Degn.
»Jeg tror personlig ikke på, at vi nogensinde kommer derhen, hvor brugere undlader at trykke på en fil, der ikke skulle have været trykket på. Det ansvar kan vi ikke lægge ud til vores brugere. Så er der selvfølgeligt spørgsmålet, om vi kan sætte endnu mere sikkerhed op rundt om os,« siger hun.
I Nordfyns kommune undrer Per Stenaa sig over, at de mange anti-malware-løsninger, kommunen har haft på plads, ikke har forhindret afpresningsangrebet.
»Vi er igennem det. Det har været et wakeup-call for mig. Vi scanner ude i byen med 6 forskellige filtre via et stort dansk firma. Og så kommer det stadig igennem - også vores eget filter. Det har kørt lige gennem alt sammen.«
Per Stenaa vil også forsøge at opdrage brugerne via en awareness-kampagne blandt kommunens ansatte for at undgå, at noget lignende gentager sig.
»Og så vil jeg nok skifte antivirus-leverandør. Jeg har indberettet det til vores spam- og antivirus leverandør ude i byen, at der nok er noget, de skal se på,« siger han.