- Vi takker Grethe Østby for dette arbeidet. Denne rapporten bidrar til læring, ikke bare for Østre Toten kommune, men også andre kommuner, statlige myndigheter og andre virksomheter, sier kommunedirektør Ole Magnus Stensrud.
Hovedfunnene i undersøkelsen kan deles inn i sju områder
1) Cyber-angrep krever en egen plass på organisasjonens risiko- og sårbarhetsliste (kan ikke betraktes som strømbrudd eller feil med elektronisk kommunikasjon).
2) Eksterne informasjonskrav er ekstraordinære, annerledes og mer krevende enn i en «normal» hendelse (for eksempel fra nasjonale sikkerhetsorganisasjoner, etterretningsorganisasjoner, CSIRT, databeskyttelsesmyndighet etc.).
3) Beredskapsplaner må inneholde plan for og kontrakt med et eksternt IKT-hendelseshåndterings- og gjenopprettingsteam (hvis slikt personell ikke er en del av organisasjonen).
4) I tillegg bør også beredskapsplaner ha et kapittel om hvordan man håndterer sensitive personopplysninger på avveie.
5) Intern kommunikasjon omkring prioritering og løpende oppfølging av uløste situasjoner er svært krevende, og over tid kortsluttes krisestyringslinjen.
6) Det bør gjennomføres trening og øving av cyber-angrep på lik linje med andre hendelser, og vi anbefaler at det stilles krav til offentlige beredskapsorganisasjoner om å gjennomføre denne type øvelser i nær framtid.
7) Krysskoordinering (regulert) fra lokal koordinering (Statsforvalter) og nasjonale myndigheter (Nasjonal sikkerhetsmyndighet) i slike angrep skaper til tider forvirring og usikkerhet.
Kort oppsummering og fremtidige vurderinger
Denne rapporten er laget for å gi organisasjonen i seg selv og andre organisasjoner læring. Samtidig vil erfaringene fra hendelsen kunne knyttes opp mot undervisning og øvelser. Rapporten beskriver situasjonen som den er, og hvordan man bør forberede seg dersom tilsvarende skulle skje i egen organisasjon.
Rapporten omfatter imidlertid ikke samfunnsperspektivet, herunder den spente situasjonen mellom øst og vest, det at alle systemer er knyttet opp mot alt, teknologisk determinisme (determinisme er læren om at alt som skjer er strengt årsaksbestemt) med dertil utmattelse i organisasjonene (da også ved sikkerhetshendelser som denne), og ei heller noen form for motstridende tenking når det gjelder å sette seg inn i hvordan en nasjon gjennom hackergrupper eksempelvis kan sette viktige funksjoner i samfunnet ut av spill. Denne gangen var det en kommune som ble angrepet, hva om det samme skulle skje mot flere samfunnskritiske funksjoner samtidig? Å dra nytte av erfaringene fra denne hendelsen og finne synergier inn i scenarioer på regionalt og nasjonalt nivå vil også være en del av det framtidige arbeidet med opplæring, trening og øvelser.
Relatert dokument: