Det var en månad sedan som anställda i Kalmar kommun möttes av störningar i it-systemen. Servrar, nätverk och internetuppkoppling stängdes snabbt ner – om det var en cyberattack var skademinimering högsta prioritet. Kommundirektören meddelade snart att man fattat beslut om stabsläge.
Nico Werge, kommunikationschef, var ansvarig för att förmedla information om vad som pågick. Detta samtidigt som man faktiskt inte visste.
Han var dessutom ny på jobbet sedan ett knappt halvår och kommunen höll just på att se över hur organisationen ska formeras i större kriser – när det plötsligt blev skarpt läge.
– Det var en helt unik situation, konstaterar Nico Werge och fortsätter:
– Det normala för mig är att berätta så mycket som möjligt. Det skapar förtroende, både medialt och internt. Men i det läget fanns stor osäkerhet kring vad vi hade råkat ut för.
Krisstaben applicerade den ”fyrfältare” i stabsmetodik som Nico Werge själv var van vid från Stockholmsregionen; fakta, antagande, inriktning, budskap.
– Vad vet vi, vad pekar det mot, vad innebär det på kort och lång sikt och hur ska vi förmedla det? Det som gjorde allt särskilt komplicerat var att det var själva informationen som var under attack.
Mycket pekade mot den ryska hackergruppen Akira, som tidigare bland annat slagit ut sjukvårdens journalsystem i Region Uppsala. Vetskapen om angriparen skapade dock nya svårigheter.
– I Kalmar är man van vid öppenhet, ringer media så svarar man. I det här fallet behövde vi bedöma: vad är en säkerhetsfråga i det här? Det var jättesvårt.
”I Kalmar är man van vid öppenhet, ringer media så svarar man. I det här fallet behövde vi bedöma: vad är en säkerhetsfråga i det här? Det var jättesvårt.”
Hotet kom inte bara från hackergruppen. På Flashback kunde kommunikatörerna följa hur användare uppmanade varandra att göra mer skada. Först när man stängt säkerhetsdörren bakom sig och öppnat den nya it-miljön kunde man berätta mer. Fokus var att skapa en gemensam bild av händelsen.
Som tur var fungerade interna molntjänster och mejl. Men, att få över 7 000 anställda på olika avdelningar att byta lösenord och använda tvåfaktorsautentisering kan ge vem som helst gråa hår av blotta tanken.
– Det var en stor apparat. Samtidigt såg vi hur det pågick phishing-försök där man utifrån försökte få fatt i de nya lösenorden.
En viktig nyckel till en lyckad hantering var att bestämma vilka roller som skulle finnas i staben, enligt Nico Werge. I synnerhet att utse en person med ansvar att följa utvecklingen hos it-avdelningen.
– Det gjorde att de kunde jobba i lugn och ro med att faktiskt lösa problemen, istället för att svara på frågor från olika håll. Det har it-chefen uttryckt att hon uppskattade.
Kommunikationschefen säger att man behöver vara ”förbannat ödmjuk” inför den utvärdering som ska göras av krisarbetet. Men, även om han upplever att det fungerade väl trots att organiseringen inte var satt, understryker han vikten av att prata om hur man vill arbeta vid en kris – innan den kommer.
– Man måste också ha modet att fatta beslut och gå framåt, parallellt med en ödmjukhet att det kan behöva omprövas. Sitter du och bara är rädd blir inget gjort, man måste våga gå vidare och vara trygg i att om det blir fel får vi justera.
Efter ungefär en och en halv vecka bedömdes attacken vara över. Händelsen är polisanmäld och förundersökning pågår.