Samövning kring it-attacker stärker Varbergs kommun om det värsta händer

Varbergs kommun hade tidigare gjort ett stort arbete med att upprätta processer och riktlinjer för eventuella cyberattacker, och införa en krisstab för den typen av scenarion - med fokus på kärnverksamheten. Nu ville man i stället söka brister kopplat till stödprocesserna.

- Vi tog kontakt med Atea för att se om det gick att genomföra någon slags övning eller ett spel, där vi tillsammans med verksamheten kunde förbereda oss på ett verkligt scenario, berättar Håkan Axelsson, it-chef på Varbergs kommun.

Håkan Axelsson, it-chef på Varbergs kommun.

Socialförvaltningen utgör den största av kommunens verksamheter och bjöds därför in till samövningen, något som mottogs med entusiasm.

- Vi fick direkt med oss flera deltagare med olika professioner, inklusive förvaltningschefen. Det gjorde att vi kunde ha väldigt bra diskussioner, säger Alexandra Landin, avdelningschef för Socialförvaltningen i Varbergs kommun.

I rummet fanns systemförvaltare från socialförvaltningen, verksamhetsföreträdare för de känsligaste områdena såsom hälsosjukvård, och Alexandra själv i egenskap av ansvarig för krisberedskap. Men även serviceförvaltningens kommunikatör, som har hand om it-avdelningen, medverkade. It hade i övrigt med representanter från hela it-avdelningen, däribland de projektledare som går in som incidentansvariga vid en attack.

- Mixen av deltagare gjorde att det blev väldigt ärligt i rummet, och it fick verkligen upp ögonen för att ”aha, så här tänker en socialförvaltning” fyller Håkan i.

Bland annat vågade medarbetare i verksamheten lyfta hur jobbigt det kan kännas att bära ansvaret om en situation skulle uppstå. Ärligheten satte fingret på den trygghet som övningar kan inge.

- Vi skulle behöva plocka fram lite scenarion då och då, så att de som jobbar i linjen kan känna sig bekväma, säger Håkan.

Behövde inte bära metodiken själva

Övningen genomfördes i form av ett incidentspel. It och socialförvaltningen fick ett förberett scenario från övningsledare Roberto Söderhäll, strategisk rådgivare på Atea Sverige. Under övningens gång fördelades olika grader av information, och nya företeelser äntrade löpande spelplanen. It och socialförvaltningen, som samlats runt ett stort bord, fick ta turer i att resonera kring hur respektive enhet skulle reagera – och agera – i förhållande till ny information.

Alexandra Landin, avdelningschef för Socialförvaltningen i Varbergs kommun.

- Det var nyttigt jämfört med andra krisövningar, att ha en extern part som höll i övningen och ledde oss genom den. På så sätt krävde inte genomförandet att vi bar metodiken utan vi kunde fokusera på att företräda sakområdena och sakfrågan, förklarar Alexandra.

Uppfattningen av kris kan skilja sig åt

Något som blev tydligt under övningen var att man kanske inte hade så djup kunskap om de mekanismer som triggas på respektive håll vid it-incidenter eller potentiella attacker. Där it-service har hela kommunens perspektiv som utgångspunkt ser en förvaltning andra beroenden och sårbarheter.

- Man lever ju med vetskapen om att system går ner, men däremot finns det scenarion som kan få en helt annan vidd än vad motparten vet om. För oss kan det exempelvis vara kris men inte uppfattas så hos it, säger Alexandra.

Här kan den ökade insynen förbättra relationerna mellan it och verksamhet.

- Vi fick bekräftat att det mer handlar om en förståelsefråga, och inte att man inte bryr sig. It-service har ansvar för så många system så vi måste vara duktiga på att beskriva hur något påverkar oss.

Med den insikten väntar nu ett arbete för socialförvaltningen med att rangordna system utefter konsekvenserna om de går ner. Här behöver nedtid och påverkan beskrivas för att öka samsynen med it runt vilka prioriteringar som ska göras vid en attack.

- Vi tog med oss lärdomen att flagga för saker tidigt gentemot verksamheterna, och hellre en gång för mycket än för lite. Det finns också saker som går att förbereda redan nu inom exempelvis kommunikation, säger Håkan.

- En sådan här övning är väldigt bra för att hitta luckor som man vill täppa till på ett bekvämt sätt, så att man kan jobba proaktivt med att förbereda sig. Det finns utvecklingspotential i att jobba ännu närmare it service, synka våra årsplaneringar etcetera, säger Alexandra.

Fler samövningar och utökat samarbete i framtiden

Även om det nu gått en tid sedan övningen är känslan kring att ha övat fortfarande bra.

- Desto bättre koll vi har på varandra desto mer förberedda blir vi för en kris, även när det inte är en it-attack. Det kan ju exempelvis ske ett längre elavbrott som påverkar tillgängligheten av data. I ett sådant scenario blir vi väldigt sårbara när det gäller hemtjänsten, brukare och bemanningsutmaningar. Här vill vi träffa it-service och prata lite gemensam planering framåt, säger Alexandra.

Även Håkan är nöjd med att ha påbörjat ett närmare samarbete.

- Vi gick därifrån med mer samsyn och behöver nu jobba med att komma vidare. Men vi har tagit ett första steg, säger Håkan.

- Ja, det behöver få ta lite tid att lägga en solid grund, och den behöver stötas och blötas. Vi behöver tänka in hela Varbergs kommun, sannolikhet och konsekvenser. Ta hand om efterdyningarna av detta, instämmer Alexandra.

Framåt är förhoppningen att samövningar ska kunna genomföras med fler verksamheter.

- Det hela var väldigt enkelt och bra. Jag skulle egentligen vilja göra det med alla förvaltningar för att sätta metodiken brett. Det känns så mycket bättre när man väl fått testa processerna. Bara att få möjlighet att ställa frågan ”vad förväntar ni er av oss i det här läget” ger mycket, summerar Håkan.