Pressmeddelande -

Granskning har skett efter omfattande cyberattack

I augusti ifjol drabbades en av Skellefteå kommuns systemleverantörer för en omfattande cyberattack. Ingen data läckte dock från kommunen. En extern granskning har nu skett på uppdrag av revisionen som har utvärderat det interna arbetet. Granskningen bekräftar att kommunen hanterade händelsen bra och har en stabil process, samtidigt som det finns områden där det pågående arbetet behöver förbättras.

- Vi har tagit till oss av vad den externa granskningen har kommit fram till. Det sker sedan tidigare ett gediget arbete i verksamheterna för att kommunen ska kunna hantera sådana här attacker på ett så bra sätt som möjligt. Det här är ett område där det är mycket viktigt att vi kontinuerligt jobbar med förbättringsinsatser just i och med den snabba digitala utvecklingen, säger Evelina Fahlesson (S), kommunstyrelsens vice ordförande och personalnämndens ordförande.

    I augusti ifjol utsattes Skellefteå kommuns systemleverantör Miljödata AB för en omfattande cyberattack. De system som påverkades används av HR och chefer för rehabiliteringsärenden, rapportering och hantering av arbetsskador och tillbud samt arbetsrättsliga ärenden. Ingen data läckte från Skellefteå kommun, men berörda system låg nere i en vecka, vilket är en säkerhetsåtgärd som vidtas under tiden systemleverantören genomförde åtgärder och utredde attackens omfattning.

    En extern granskning på uppdrag av revisionen har skett för att bedöma hur Skellefteå kommun hanterade attacken. Utifrån granskning har det i rapporten konstaterats att kommunstyrelsen inom flera områden visat på målmedvetenhet och handlingskraft i sitt incidenthanteringsarbete. Kommunen har en väl etablerad krisorganisation med tydliga rutiner och riktlinjer för incidenthantering och granskningen visar att kommunen i ett tidigt skede av attacken aktiverade ett arbete för att förstå attackens omfattning och konsekvenser. Granskningen har kommit fram till att kommunstyrelsen rekommenderas att vidta vissa åtgärder för att förbättra sin motståndskraft samt för att minimera sin sårbarhet inför framtida cyberattacker. Det handlar om:

    • Att ta fram relevanta styrdokument, rutiner och riktlinjer
    • Säkerställa robusta säkerhetskrav och uppföljning av leverantörsavtal
    • Implementera befattningsanpassade utbildningsinsatser
    • Säkerställa kontinuerlig insyn i incidenthantering

    Sedan tidigare sker ett flertal insatser och utvecklingsarbeten. Bland annat när det gäller att öka medarbetarnas kompetens kring medvetenhet om informationssäkerhet och det har också tagit fram en utbildningsplan i och med konsekvenserna av nya cybersäkerhetslagen. För att stärka kommunens arbete med säkerhet och uppföljning av leverantörsavtal har en systematisk informationssäkerhetsklassning införts för alla informationssystem. Vid nya IT‑upphandlingar finns dessutom ett gemensamt styrande ramverk som säkerställer enhetliga och höga säkerhetskrav. Ramverket kan även läggas till i pågående avtal.

    - Vi jobbar redan systematiskt med dessa frågor sedan ett par år tillbaka och det sker också flera anpassningar till den nya cybersäkerhetslagen. Dessa kommer att hantera ett flertal av revisionens synpunkter, bland annat när det gäller utbildning och att säkerställa att personuppgiftsincidenter rapporteras inom det tidsfönster som är beslutat för den här typen av händelser. Fokus ligger också på att öka medarbetarnas medvetenhet kring dessa frågor, vilket vi gör genom återkommande insatser, säger Mathias Rönngren, avdelningschef för IT- och verksamhetsutveckling.

    I granskningen framgår det att Skellefteå kommun inte höll sig inom tidsfristen för att anmäla personuppgiftsincidenten till Integritetsskyddsmyndigheten (IMY). Skellefteå kommun delar inte den uppfattningen, eftersom en anmälan skedde inom 48 timmar efter att man fått kännedom incidenten.

    Fakta:

    Om cyberattacken

    • Dataintrånget som skedde mot Miljödata ledde till att 1,5 miljoner svenskar fick
    • sina personuppgifter läckta. Inga personuppgifter läckte från Skellefteå kommun.
    • Totalt drabbades runt 200 kommuner och myndigheter och totalt runt 250 kunder.
    • Incidenten hanterades av bland andra Nationellt Cybersäkerhetscenter (NCSC) och CERT-SE inom Myndigheten för civilt försvar (tidigare Myndigheten för samhällsskydd och beredskap).

    För mer information, kontakta:
    Evelina Fahlesson (S), kommunstyrelsens vice ordförande och ordförande i personalnämnden, 070-523 09 94
    Mathias Rönngren, avdelningschef för IT- och verksamhetsutveckling, 073-830 50 81

    Ämnen

    Kategorier

    Regioner

    Skellefteå kommun

    Det är trivsamt att bo i Skellefteå med omnejd. Vi är många som är överens om det. Inom Skellefteå kommun finns massor av betydelsefulla yrken som går ut på samma sak – att ta hand om vår kommun och dem som bor i den. Att skapa livskvalitet, helt enkelt.

    Kontakter

    Fyll i din epostadress för att följa Skellefteå kommun på Mynewsdesk

    När du väljer att skapa ett konto och följa ett nyhetsrum kommer dina personuppgifter behandlas av Mynewsdesk och av ägaren av nyhetsrummet för att du ska kunna motta nyheter och uppdateringar enligt dina bevakningsinställningar.

    För att läsa mer om detta, var vänlig läs Mynewsdesks Integritetspolicy som berör vår behandling av dina personuppgifter, och Mynewsdesks Integritetspolicy för Contacts som berör behandlingen av dina personuppgifter från ägaren av nyhetsrummet du följer.

    Vänligen notera att Mynewsdesks Användarvillkor gäller alla våra tjänster.

    Du kan dra tillbaka ditt samtycke när som helst genom att avregistrera dig eller genom att ta bort ditt konto.
    Kolla din inkorg

    Mejl skickat till __email__. Klicka på länken i mejlet för att följa Skellefteå kommun.

    Okej