Staden får underkänt i granskning – löper stor risk vid it-attacker
Mölndals stad kan löpa ”en mycket hög risk” att utsättas för en så kallad phishingattack och personalens kompetens i att motstå sådana attacker behöver förbättras. Det framgår av en granskning som gjorts på 1 500 tjänstepersoner i kommunen.
I våras beslutade kommunens revisorer att genomföra en granskning av medarbetarnas kunskaper inom it-säkerhet. Detta skedde genom att man simulerade en så kallad phishingattack, vilket innebar att mejl innehållande falska länkar som skulle kunnat vara skadliga skickades ut till medarbetare inom stadens olika förvaltningar. Den som följde länken i de falska mejlen togs sedan till en webbsida där man ombads att fylla i användaruppgifter.
– Granskningen handlade inte om att pröva några tekniska säkerhetsåtgärder, utan det var bara medarbetares beteende och hur de agerat som man kollade på. Vi behövde göra flera undantag i våra säkerhetssystem för att simuleringen skulle kunna genomföras, säger Annika Samuelsson som är it- och digitaliseringschef hos Mölndals stad.
I granskningen kollade man på hur många anställda som klickade på länkarna, hur många som gav ut användaruppgifter, samt hur många som blev misstänksamma över mejlen och rapporterade om dem i kommunens interna system.
– Det kan räcka med att klicka på en länk för att det ska vara farligt.
Sen om du lämnar dina användaruppgifter är det klart att du har gått ett steg till – då kan hackaren ta över på ett annat sätt, säger Annika Samuelsson.
Vad man kunde slå fast var att alltför många medarbetare inom kommunens olika förvaltningar dels klickade på phishinglänkarna, dels uppgav sin användarinformation. Så här står det i rapporten:
”En jämförelse av resultaten med de på förhand definierade acceptansnivåerna indikerar att Mölndals stad löper en mycket hög risk att utsättas för en phishingattack ifall attacken lyckas ta sig igenom existerade tekniska skyddsåtgärder. Staden rekommenderas således att vidta åtgärder för att stärka kunskapen och medvetenheten hos personalen och därigenom åtgärda svagheter i motståndskraften mot phishingattacker.”
Enligt Annika Samuelsson har Mölndals stad en hög säkerhet vad gäller de tekniska skyddsåtgärderna, alltså datasystem som till exempel blockerar skadliga mejl. Däremot medger hon att fler insatser kommer behövas för att höja kunskapen bland medarbetare.
– Vi körde en större informationssäkerhetsutbildning i höstas och har gjort en del informationsinsatser under våren, men nu ser vi att det kommer krävas fler åtgärder – det blir väldigt tydligt, säger Annika Samuelsson.
Totalt var det ungefär 1 500 tjänstpersoner som undersöktes i granskningen. I rapporten presenterades bland annat hur stor andel medarbetare per förvaltning som lämnade ut användaruppgifter efter att ha klickat på länkarna som skickades ut. Gränsen för när risken i sådana situationer bedömdes som mycket hög låg på fyra procent, något som alla förvaltningar överskred.
I och med att förvaltningarna är olika stora är det svårt att jämföra dem med varandra. Granskningen lyfter dock social- och arbetsmarknadsförvaltningen som den med högst andel medarbetare som gav ut användarinformation. Där handlade det om cirka 20 procent, alltså ungefär en femtedel av personalen.
På liknande nivåer hamnade även serviceförvaltningen och stadsledningsförvaltningens som båda landade på ungefär 15 procent.
– Jag tror det är en utmaning i alla kommuner att kunna stå emot de här krafterna. Det krävs mycket utbildning, så det är bara för oss att fortsätta jobba med det och att bli bättre på det, säger Helen Smith, förvaltningschef på social- och arbetsmarknadsförvaltningen, och fortsätter:
– Man får se det i relation till vad och hur omständigheterna ser ut. Det finns många saker som spelar in, men jag tänker att granskningen ger en signal att vi behöver träna upp oss på det här ännu mer. Det är vad som blir tydligt.
Nu med facit i hand försäkrar kommuncheferna att man kommer vidta åtgärder för att stärka upp medarbetares kompetens vad gäller it-säkerhet.
– Jag kommer sätta mig tillsammans med säkerhets- och beredskapsenheten för att se hur vi ska ta oss an det på bästa sätt. Det behöver bli tydligt för cheferna att det kommer krävas en utbildningsinsats som når ut till alla anställd, säger Annika Samuelsson.
– Jag tänker att vi inom staden får ta ett grepp och stärka kompetensen. Sen får varje förvaltning kolla på hur man ska göra. Det är ändå tydligt att vi behöver bli bättre, säger Helen Smith.
Det finns många saker som spelar in, men jag tänker att granskningen ger en signal att vi behöver träna upp oss på det här ännu mer.
Helen Smith förvaltningschef