“Vänersborgs kommun med dess nämnder och förvaltningar hanterar stora mängder digital information. Detta ger många nya möjligheter i form av effektivare förvaltning, uppföljning och utökad service till medborgare, samtidigt som risker uppstår när informationen inte hanteras ändamålsenligt.”
Så börjar rapporten “Informationssäkerhet i praktiken november 2024“. Rapporten är ett resultat av en alldeles nyligen utförd granskning av revisionsföretaget EY om IT-säkerhet i Vänersborgs kommun. Det var de förtroendevalda revisorerna som gav EY uppdraget. Kommunens revisorer hade nämligen:
“identifierat risker relaterat till kommunens övergripande arbete med IT- och informationssäkerhet.”
Syftet var alltså att undersöka om detta var en korrekt bedömning – fanns det brister i det praktiska arbetet med IT- och informationssäkerhet? Revisorerna bestämde att de skulle testa med en fejkad (falsk, påhittad) phishing-attack.
Phishing, eller på svenska “nätfiske”, är en metod för att, som MSB (Myndigheten för samhällsskydd och beredskap) skriver på sin hemsida:
“komma åt lösenord eller bank- och kortuppgifter. Angriparen skickar ut ett massutskick till ett stort antal mottagare i hopp om att några nappar.”
EY testade 4.613 medarbetares och förtroendevaldas medvetenhet och kunskap på området genom att fejka ett phishing-angrepp med e-post. E-postmeddelandet innehöll meddelandet:
“Detta mail är en automatiserad meddelande för att notifiera dig att din inkorg överskridit sin kvotgräns. Du kommer inte kunna skicka eller ta emot nya e-postmeddelanden förrän du har ökat utrymmet i din inkorg. 
Vänligen klicka här för att lägga till mer utrymme till ditt konto.”
Meddelandet var underskrivet med “Servicedesk” och e-posten var skickad från adressen “vanerborg.se”. Det var, som den uppmärksamme ser, en felaktig adress. E-posten innehöll också en länk. Klickade användaren på länken hamnade hen på en förfalskad sida där användaren ombads att logga in med ett Microsoft 365-konto (e-postadress och lösenord). De användare som gjorde detta informerades på nästa hemsida om att de hade deltagit i en simulerad phishing-attack.
Det var 98 medarbetare (2,1 %) som klickade på länken i e-postmeddelandet och 27 (0,6%) som skrev in sina användaruppgifter.
Resultatet bedöms av revisorerna och kommunen som ett bra resultat. Övningen visar anser de att kommunen löper en låg risk att utsättas för en fullbordad phishing-attack. Det är en snäll slutsats tycker jag. Det är som EY betonar i rapporten:
“vid en verklig attack kan [det] räcka med att endast en användare uppger sina användaruppgifter för att den cyberkriminella aktören ska kunna utföra ett lyckat intrång och, i värsta fall, ta kontroll över kommunens IT-miljöer.”
I det fejkade angreppet var det faktiskt fler än en medarbetare som lämnade ut sin e-postadress – och lösenord. Det var 27 användare…
Revisorernas syfte med hela upplägget var självklart att ingen medarbetare eller förtroendevald skulle veta om att det genomfördes ett sådant här fejkat phishing-angrepp. De förtroendevalda revisorerna skriver i ett missiv till rapporten från EY:
“Vi revisorer noterar att IT-avdelningen, trots överenskommelse om att inte förvarna om det simulerade angreppet, valt att på eget initiativ på förhand publicera information om e-postutskicket på intranätet.”
Det är lite smått otroligt tycker jag, och uppenbarligen också revisorerna. IT-kontoret gick alltså helt på eget initiativ ut och varnade alla medarbetare för att en sådan här fejkad övning skulle genomföras senare under dagen! 
Och det dessutom i strid med överenskommelsen med revisorerna…
Det kan ha minskat antalet personer som klickade på länken tror revisorerna. Det är som jag ser det helt självklart. En varning från IT-kontoret om att en sådan här e-post kommer senare under dagen är väl närmast att betrakta som ett slags sabotage på hela testet. I en enkät efter det fejkade phishing-angreppet svarar hela 28,3% på frågan varför de inte rapporterade “angreppet” till IT-kontoret:
“Nej, då jag insåg att det var en övning såg jag inget behov av att rapportera det.”
Jag undrar vad de förtroendevalda revisorerna tänker om IT-kontorets agerande. Det kostar pengar, skattebetalarnas pengar, att anlita revisionsföretaget EY och nu blev revisorerna helt eller delvis lurade på granskningsresultatet. IT-kontoret underminerade faktiskt en seriös granskning av kommunens informationssäkerhet.
Statistiken visar också att 93,9% av dem som klickade på länken i e-posten gjorde det under den första dagen. Man kan väl anta att det spred sig ganska snabbt att det var en övning…
Det gjordes alltså en enkät efter övningen. Den syftade till att undersöka medarbetarnas kunskap inom området informationssäkerhet. Det var dock bara 315 personer (6,8%) som svarade på enkäten.
Revisorerna fick veta att endast 14,3% rapporterade phishing-incidenten till IT-kontoret, som det förväntas att medarbetarna ska göra. Det är en alltför låg siffra, men det kan naturligtvis bero på att medarbetarna visste att det var övning. Det var också tänkt att kommunen skulle föra egen statistik över rapporteringsvägarna, men det gjordes inte. Det uppskattades dock att cirka 90 personer rapporterade.
Revisorerna från EY gjorde även några intervjuer med IT-kontoret, som hanterar IT-och cybersäkerhet, och Juridik & Säkerhetskontoret, som arbetar med strategisk planering, utbildning och tillsyn. EY konstaterar att uppdelningen inte fungerar särskilt bra. Det brister i samarbetet och det saknas en gemensam och enhetlig syn på informationssäkerhet.
“Den kommunikation som sker beskrivs som oregelbunden, vilket har resulterat i en bristande och osammanhängande säkerhetsstrategi kopplat till IT-relaterade säkerhetsfrågor.”
Det finns med andra ord många lärdomar och slutsatser att dra av den fejkade phishing-attacken. Cyberkriminella attackerar nämligen inte enbart den tekniska miljön utan väljer i hög utsträckning att rikta in sig på människorna i en organisation. Och egentligen bör kommunens medarbetare kunna identifiera phishing-angrepp och veta hur de ska agera för att hantera och rapportera den simulerade attacken med bibehållen säkerhet. Det anser i varje fall revisorerna, som initierade övningen. De risker som de hade identifierat relaterat till kommunens övergripande arbete med IT- och informationssäkerhet bekräftades till stor del.
Utifrån granskningens resultat lämnar de förtroendevalda revisorerna följande rekommendationer till kommunstyrelsen:
- “Upprätta styrdokument gällande incidenthantering.”
- “Säkerställ att det fortsatt sker övningsinsatser inom informationssäkerhet.”
- “Tillse en ändamålsenlig ansvarsfördelning och samverkansstruktur mellan IT-kontoret och Juridik & säkerhetskontoret vad gäller
![]()
informationssäkerhetsfrågor.”
Sedan kan man ju undra vad resultatet av phishing-övningen hade blivit om inte IT-kontoret hade förvarnat om den kommande fejkade attacken…