Veileder i å planlegge for kontinuitet i tjenester når kommunens digitale tjenester ikke fungerer
Denne veilederen handler om hvordan man som kommune kan være forberedt på å håndtere konsekvensene av uønskede digitale hendelser. Formålet er å gi kommunene et hjelpemiddel til å planlegge for kontinuitet i tjenester når de digitale tjenestene ikke fungerer.
Foto: Colourbox
Digitale systemer som ikke fungerer kan få konsekvenser for liv og helse og kritiske funksjoner i kommunen.
I innledningen får dere en oversikt over hvordan veilederen er bygget opp og hvem som burde involveres på de ulike stegene.
Innledning
Hva?
Denne temaveilederen gir et hjelpemiddel til kommunene for å kartlegge sårbarheter i digitale systemer, konsekvenser ved uønskede digitale hendelser og identifisering av mulige risikoreduserende tiltak.
Veilederen inneholder råd til kommunene uten et bestemt juridisk oppheng. Det er mange lover som gir krav til kommunene på området digital sikkerhet og kommunene forutsettes å være kjent med disse.
Veilederen har som formål øke bevisstheten om digitale trusler og digital sikkerhet i samfunnssikkerhetsarbeidet til kommunene.
Ofte forbinder vi risikoreduserende tiltak innen digital sikkerhet med dyre, omfattende tiltak. Et mål med denne veilederen er å også peke på de mer lavthengende tiltakene som like fullt kan være vesentlige bidrag i å redusere risiko.
Hvorfor?
Digitale systemer er sentrale for alle samfunnsfunksjoner. Feil i digitale systemer vil kunne få store konsekvenser på alle nivåer i en kommune. Kommunene er helt sentrale i arbeidet med samfunnssikkerhet og beredskap, og innenfor totalforsvaret. Kommunene er tjenesteprodusenter, myndighet, samfunnsutviklere og en helt sentral demokratisk arena. Digital sikkerhet er derfor avgjørende for å ivareta viktige verdier som liv og helse, nasjonale sikkerhetsinteresser og kritiske samfunnsfunksjoner.
Erfaringer fra andre store hendelser (for eksempel dataangrepet i Østre Toten kommune) tilsier at det kan ta måneder før systemene er oppe å gå igjen, og man ikke er garantert å få tilbake komplette datasett. Det betyr at kommunen må være innstilt på å jobbe uten digitale verktøy i en lang periode, og at det må foretas en prioritering med hensyn til hvilke systemer som skal gjenopprettes først.
Arbeidet med å redusere risiko og sårbarhet knyttet til digitale hendelser må derfor inngå i kommunens ordinære risikostyringsprosess. Veilederen skal bidra til dette.
For hvem?
Hovedmålgruppen er kommunene. Veilederen kan brukes både av enkelt etater i kommunen for å kartlegge sårbarheter innenfor en etat, og i felles overordnede prosesser på tvers av kommunale etater. Veilederen vektlegger å koble IKT-miljøet i kommunen med øvrig beredskapsarbeid i arbeidet med kartlegging av sårbarheter.
Foto: Colourbox
Oppbygging og metode
Del 1: Kartlegging av digitale systemer og sårbarheter
Her finner kommunen spørsmål som kan være til hjelp for å få oversikt over digitale systemer i kommunen, hvem som bruker hvilke systemer, avhengigheter mellom systemer, leverandøravhengigheter og eventuelle andre forhold i kommunen som påvirker sårbarhetsbildet.
Dette arbeidet er en forberedelse til del 2. Arbeidet i del 1 og 2 kan gjøres i separate arbeidsmøter, eller det kan gjøres i én sesjon som går over flere timer. Som et minimum, bør IT-leder og beredskapskoordinator jobbe med dette sammen, men det kan også være hensiktsmessig å involvere andre. Arbeidet kan også gjøres ute i de enkelte virksomhetene.
Del 2: Scenarioanalyse og tiltak
I denne delen finner kommunen et scenario som kan være til hjelp for å vurdere hvordan en uønsket digital hendelse kan arte seg i form av konsekvenser for kommunen, og kartlegging av eksisterende tiltak i kommunen.
Dette arbeidet er en fortsettelse av del 2. Arbeidet i del 1 og 2 kan gjøres i separate arbeidsmøter, eller det kan gjøres i én sesjon som går over flere timer.
Som et minimum, bør IT-leder og beredskapskoordinator jobbe med dette sammen, men det kan også være hensiktsmessig å involvere andre. Arbeidet kan også gjøres ute i de enkelte virksomhetene. På dette punktet vil det være en fordel å involvere deler av kriseledelsen.
De neste bolkene tilhører del 2.
Hva skjer umiddelbart i håndteringen?
Her skal dere gå gjennom hendelsesforløpet og vurdere hvordan dere ville håndtert et lignende scenario. Vi har foreslått å gjøre dette i et analyseseminar.
Hvilke tiltak kan innføres?
I denne bolken skal dere identifisere tiltak som kan bidra til å redusere konsekvensene av hendelsen, med særlig oppmerksomhet på "lavthengende frukter". Disse tiltakene kan være en blanding av tiltak som på sikt forbedrer motstandsdyktigheten og dermed evnen til å ivareta kontinuitet i tjenesteleveransene, og tiltak som umiddelbart gir en effekt.
Del 1: Kartlegging av digitale systemer og sårbarheter
Kartlegging
Alle kommuner har en rekke digitale systemer som er helt eller delvis knyttet sammen, der utfall av et eller flere systemer kan føre til at kommunen ikke er i stand til å utføre sine tjenester.
Målet i denne delen er å få oversikt over digitale systemer, avhengigheter mellom systemer, leverandøravhengigheter og eventuelle andre forhold i kommunen som påvirker sårbarhetsbildet. I dette ligger også å kartlegge hvilke systemer dere bruker, hvordan disse systemene er integrert med hverandre og hvilke aktører og leverandører som forvalter disse.
I den videre delen presenteres spørsmål som kommunen bør vurdere i kartleggingen. Som et minimum bør IT-lederen og beredskapskoordinatoren jobbe sammen, og involvere andre ved behov.
Beskrivelse av kommunen
- Beskriv etater og særlig viktige tjenester for vern av liv og helse. For eksempel kommunale helse- og omsorgstjenester, vann og avløp, brann og redning, barnevernstjenester, asylmottak, sosiale trygdetjenester og kommunens kriseledelse.
- Er det andre forhold i kommunen som er særlig viktige? For eksempel sykehus, kraft- eller ekomknutepunkt, transportknutepunkter, særlig viktig næringsvirksomhet, og så videre
Digitale systemer i kommunen
- Hvilke digitale systemer bruker kommunen?
- Hvilke avhengigheter er det mellom systemene?
- Hvilke avhengigheter har vi til hovedleverandørene av systemene?
- Er vi avhengige av andre underleverandører for å drifte systemene våre?
- Er andre avhengige av våre digitale systemer?
- Hvilke barrierer er etablert for å unngå svikt i de digitale systemene våre?
Brukere
- Er noen av våre brukere særlig avhengig av våre leveranser eller tjenester?
- Kan bortfall av av digitale medføre at liv og helse settes i fare hos våre brukere?
- Finnes det andre leveranser eller tjenester der bortfall av ekom/digitale systemer kan medføre utfordringer med å opprettholde leveransen?
- Har våre leveranser avgjørende betydning for andre virksomheters/privatpersoners evne til å levere varer og tjenester?
- Hvilke eksterne leveranse/tjenester (informasjon/data) er vi avhengig av for å utføre våre oppgaver/leveranser/tjenester
- Er det oppgaver/tjenester/leveranser som kan løses av eksterne leverandører eller nabokommuner?
- Er det tjenester/leveranser som kan opprettholdes uavhengig av tilgang til digitale systemer?
Avhengigheter
Det digitale domenet er fullt av avhengigheter. IKT-systemer avhengige av hverandre, man er avhengige av leverandører, av internett og så videre. For å kunne planlegge for å levere tjenester når IKT-systemer er utilgjengelige må man å ha oversikt over avhengighetene.
Hvilke digitale tjenester er virksomheter i kommunen avhengig av?
Kan bortfall av noen tjenester medføre at liv og helse settes i fare hos våre brukere? For eksempel er hjemmesykepleien avhengig av oppdaterte pasient- og medisinlister.
Kan våre manglende leveranser påføre andre økonomisk tap?
Har våre leveranser avgjørende betydning for andre virksomheters/privatpersoners evne til levere varer og tjenester, eller kan manglende leveranser påføre dem eller andre store økonomiske tap? F.eks. knyttet til saksbehandling og vedtak etter plan- og bygningsloven (arealplanlegging, byggesaksbehandling, dispensasjoner, etc.). Hvilke digitale tjenester/systemer er vi avhengig av for å levere disse tjenestene?
Hvilke eksterne leveranser er vi avhengig av for å utføre oppgavene våre?
For eksempel tilgang til Brønnøyregistrene, tilgang til helsedata og helseregistre, osv.
Hvilke tjenester kan opprettholdes uavhengig av tilgang til digitale systemer?
Trenger vi mer personell eller ressurser for å utføre disse oppgavene når vi ikke har tilgang til digitale systemer?
Oppsummering
Dere skal nå ha en god oversikt over ulike sårbarheter og avhengigheter i kommunen eller innen deres etat/virksomhet. Denne kunnskapen er nyttig og nødvendig å ha når dere går over i del 2 av veilederen.
Del 2: Scenarioanalyse og tiltak
Innledning
I denne delen presenteres et scenario hvor kommunens IT-systemer blir rammet.
Vi anbefaler at dere leser scenarioet og deretter går videre til neste side. Dere skal da gå gjennom hendelsesforløpet og vurdere hvordan dere ville håndtert et lignende scenario. Da er det nyttig at dere sitter sammen i et analyseseminar og setter av tilstrekkelig med tid. Som i del 1, bør IT-lederen og beredskapskoordinatoren jobbe sammen og involvere andre ved behov, men her vil det også være nyttig å involvere kriseledelsen.
Scenariofortelling
Klokka er 7.30 en helt vanlig fredag morgen. Morgendisen henger fortsatt tungt over landskapet da Lene setter seg i bilen og kjører mot jobben i kommunens hjemmetjeneste. På veien plukker hun opp Anstein, en god kollega gjennom mange år. Vel fremme går de inn for å få dagens rute og tilhørende medisinliste. Det første de ser når de kommer inn døra er det bekymrede ansiktet til avdelingslederen deres, Torill. "Jeg aner ikke hva som har skjedd, men jeg får ikke tilgang til fagsystemet vårt", sier Torill. "Faktisk får jeg ikke tilgang til noen av systemene våre", fortsetter hun. "Jeg får kun opp den skjermen her", sier hun, og viser Lene og Anstein skjermen hvor det står at "Gotcha" har tatt kontroll over systemet og at alle filer er kryptert.
"Har du snakket med, IT?", spør Lene. Torill svarte at hun ikke hadde kommet så langt, men de ble enige om å ringe umiddelbart. "Dette er kritisk", sier hun.
Svaret fra IT-hjelp er nedslående – de mistenker at de er utsatt for et hackerangrep og melder om at alle sentrale datasystemer er nede. "Vi har på ingen måte full oversikt over situasjonen enda", uttrykte medarbeideren på IT.
Anstein, Lene og Torill så på hverandre, før Torill utbrøt: "Hva gjør vi nå?"
Foto: Colourbox
Hvis kommunen blir utsatt for en alvorlig digital hendelse, er det viktig å varsle relevante aktører om dette.
Statsforvalteren bør varsles, og de kan bistå med konsekvenshåndteringen og regional samordning. Statsforvalteren sørger for å varsle videre til DSB, som igjen varsler NSM.
Hvis kommunen er tilknyttet et responsmiljø må dette varsles, slik at kommunen får bistand i håndteringen av den digitale hendelsen.
DSB anbefaler alle kommuner å være tilknyttet et responsmiljø, for eksempel KommuneCSIRT, som er eksperter på kommunesektoren.
Hva er det egentlig som har skjedd?
Medarbeideren på IT hadde rett. Kommunen er offer for et dataangrep som har satt en rekke sentrale systemer ut av spill. Angrepet er av typen løsepengevirusangrep (ransomware), hvor angriperne tar kontroll over datasystemer, og krypterer alle data. Angriperne forlanger løsepenger i form av Bitcoin, eller annen kryptovaluta, for å låse opp filene igjen. I tillegg til alle systemene hjemmetjenesten bruker, har angriperne tatt kontroll over brukerdatabasen og autentiseringsserveren.
I dette tilfellet har angriperne fått tilgang til kommunens systemer ved å benytte seg av phishing-teknikker. Det vil si at de har sendt ut falske e-poster med håp om at mottakerne gjennom å klikke på vedlegg, lenker og/eller fylle inn i skjemaer har lagt igjen informasjon som kan brukes til å skaffe tilgang til kommunens IT-systemer.
Fra angriper får logget seg inn til de har kontroll over systemene og låst dem ned, tar det normalt fra 1 til 30 dager. Dette kalles «time-to-ransom» og er en operasjon som tar stadig kortere tid, fordi angriperne blir stadig dyktigere. I løpet av denne operasjonen utfører angriperne handlinger som gir dem administrator-rettigheter, de fjerner så antivirus og andre beskyttelsesmekanismer, sprer seg videre til andre servere, og mange stjeler også data som de antar kan være verdifulle. Slik datastjeling gir angriperne en dobbelt utpressingsmulighet. Trusselen om å publisere informasjon på det mørke nettet, eller selge dataene utgjør en ekstra trussel for offeret.
I dette tilfellet krever angriperne 25 millioner kroner i Bitcoin innen en uke etter angrepet.
Dataangrep kan ha mange ulike formål, og det er flere ulike teknikker angriperne kan benytte seg av for å få tilgang til offerets datasystemer. Nasjonal sikkerhetsmyndighet skriver om disse ulike formålene og teknikkene, og hvordan man kan beskytte seg.
Hver eneste type dataangrep har noen unike konsekvenser. Løsepengevirus, som brukes i dette scenarioet, gir noen problemstillinger knyttet håndtering av selve løsepengesituasjonen i tillegg den tekniske håndteringen. Felles for mange typer dataangrep er imidlertid at de gjør datasystemer utilgjengelige, noe som er hovedpoenget med dette scenarioet. At datasystemer blir utilgjengelige kan også skje ved andre typer hendelser, for eksempel bortfall av strøm.
Hendelsesforløp
Nedenfor presenteres de mest sentrale punktene i scenarioets hendelsesforløp på en tidslinje.
Oppsummering
Dere har nå satt dere inn i scenarioet og har et felles situasjonsbilde. I neste del skal dere, basert på scenarioet, snakke om hvordan dere ville håndtert situasjonen i deres virksomhet.
Hva skjer umiddelbart i håndteringen?
Hva er et analyseseminar?
Et analyseseminar gjennomføres med aktører fra samme virksomhet eller på tvers av ulike virksomheter. Gitt scenarioet, anbefaler vi i dette tilfellet at dere også involverer representanter fra det som ville vært kriseledelsen i en reell hendelse.
Vi anbefaler at dere velger en ordstyrer som er ansvarlig for at dere går gjennom alle momenter av håndteringen og hvordan dette ville sett ut for deres virksomhet. Veilederen skal være til hjelp i utformingen og gjennomføringen av analyseseminaret, men dere må selv utarbeide et opplegg som blir nyttig og relevant for deres kommune.
To viktige avklaringer
Før dere dykker ned i hendelsesforløpet, må kriseledelsen ta stilling til spørsmål knyttet til løsepenger og kommunens systemer.
- Hvordan forholder kommunen seg til kravet om løsepenger?
- Hvilke beslutninger tar kommunen når det gjelder tilgang til ulike systemer, når dere er usikre på om de er berørt? Vil kommunen fjerne tilgangen til systemene? Hvem tar den beslutningen?
Nasjonal sikkerhetsmyndighet anbefaler ikke å betale løsepenger når man blir utsatt for denne typen angrep. Kommunen må allikevel ta stilling til problemstillingen. De anbefaler også å anmelde alle slike saker til Politiet.
Hendelsesforløpet i akuttfasen
Basert på scenarioet skal dere i denne delen kartlegge hendelsesforløpet og snakke om hvordan dere ville håndtert situasjonen. Hvordan ville de første dagene sett ut? Hva sier planene deres? Dette er nyttig innsikt for å kunne si noe om dagens beredskap/planer/tiltak er tilstrekkelig for å håndtere en hendelse som ligner scenarioet.
Hjelpespørsmål
- Hvilke problemstillinger vil dere møte på i denne fasen?
- Hvordan vil manglende tilgang på systemene påvirke tjenestene og oppgavene dere skal gjøre?
- Hva haster mest, hva er mest kritisk?
- Hvilke alternative løsninger tas i bruk?
- Hvordan vil utfordringene eskalere og eventuelt endre seg etter hvert som tiden går?
- Hvordan blir andre oppgaver og tjenester påvirket etter hvert som dagene går? Hvordan ser det ut etter en uke?
Hvilke tiltak kan innføres?
Identifisere lavthengende frukter
I dette trinnet skal dere lage en prioritert oversikt over tiltak. Spesielt nyttig er det å identifisere såkalt lavthengende frukter, altså tiltak som krever lite, er raske å implementere og potensielt gir stor merverdi. For eksempel kan et tiltak være å sørge for å ha pasientlister, medisinlister, pårørendeinformasjon og lignende offline. Det kan være i form av papirutskrifter, eller nedlasting til et digitalt lagringsmedium. Uansett hvilken metode man velger må informasjonen oppbevares slik at kravene i lovverket etterleves.
Hjelpespørsmål
- Ser dere umiddelbart noen lavthengende frukter?
- Hva vil være de viktigste oppfølgingstiltakene?
- Er det noen oppgaver som kan løses av eksterne leverandører? Eller av nabokommuner? Hvilke tjenester gjelder det?
- Hvilke tiltak kunne ha begrenset konsekvensene?
- Hvilke endringer eller tiltak må på plass for å håndtere en slik hendelse?
Oppsummering
Dere er nå gjennom veilederen, og har forhåpentligvis en bedre oversikt nå enn før dere startet. Bruk innsikten videre i beredskapsarbeidet, for eksempel når dere gjennomfører ROS-analyser eller oppdaterer planverket. Vi anbefaler at dere går gjennom deler av veilederen på ny etter dere har fått jobbet med tiltakene, for å se hvordan situasjonen har endret seg.
Lykke til!