Cybersäkerhetsincidenten- resultat av forensisk analys, lärdomar och fortsatt arbete

Publicerad

I slutet av november drabbades Norrköpings kommun av ett allvarligt intrång i IT-miljön. Under en begränsad tid hade angriparna åtkomst och kontroll. Nu har den forensiska analysen kommit som visar agerande och tidpunkter.

IT-säkerhetsarbetet inom Norrköpings kommun är ständigt pågående, precis som i alla andra verksamheter. Dagligen förhindras intrångsförsök och incidenter.

Under kvällen den 25 november drabbades dock kommunen av ett allvarligare intrång, där angriparna efter flera intensiva och upprepade försök, lyckades hitta en väg in.

Angriparna, som har visat sig vara två välkända hacker-grupperingar med hemvist i Ryssland, attackerade Norrköpings kommun och andra verksamheter synkroniserat, och tillskansade sig full kontroll och åtkomst.

Efter intensivt arbete avvärjdes attacken och angriparna kastades ut genom begränsande åtgärder och en motattack där kommunens hela IT-miljö stängdes ner.

Händelsen polisanmäldes och anmäldes också till MSB och IMY.

Tiden som har följt har präglats av återuppbyggnad med en struktur med ännu högre säkerhet och en åtgärdsplan med flera perspektiv sjösattes i januari 2023.

Syftet med åtgärdsplanen är att förflytta kommunens IT- och Informationssäkerhetsförmåga med åtgärder som till exempel etablering av ett SOC (Security Operations Center), bemannad dygnet runt för övervakning och larmhantering samt utökad IT- och informationssäkerhetsorganisation.

Mer om arbetet med cybersäkerhetsincidenten publiceras denna vecka i form av en informationsfilm.