Hopp til innhold

Kunnskap

Hendelseshåndtering Kommune 8 min lesing

Grepene som reddet Gran kommune fra en potensiell katastrofe

Tirsdag 17. desember startet som en vanlig førjulsdag — inntil IKT-avdelingen oppdaget tegn til aktivitet i nettverket.

·

Snakk med oss Tilbake til kunnskap
Grepene som reddet Gran kommune fra en potensiell katastrofe

Tirsdag 17. desember er i utgangspunktet en helt vanlig førjulsdag på rådhuset. De fleste forbereder seg på juleferien, og inne hos IKT-avdelingen pågår rutinearbeid som vanlig. Likevel var det nettopp denne tilsynelatende rolige dagen som viste hvor avgjørende god beredskap og tidlig oppdagelse kan være.

< 45 min

Fra første varsel til eskalert hendelsesteam

12

Kritiske systemer isolert uten unødig nedetid

0

Bekreftet datalekkasje til offentligheten

En vanlig dag som ble annerledes

Klokken 09:14 kom det første varselet fra overvåkningsplattformen: uvanlig påloggingsmønster mot en eldre filserver, etterfulgt av tegn til lateral bevegelse mot Active Directory. Analytikerne i SOC så ikke bare et enkelt avvik — de så et mønster som lignet på tidligere angrep mot offentlig sektor.

Abstrakt visualisering av nettverksovervåking og hendelsesrespons
Overvåkning og hendelseshåndtering hang sammen — uten det hadde avviket sannsynligvis blitt oppdaget for sent.

Tidslinje for hendelsen

Slik utviklet dagen seg

  1. 09:14

    Første varsel

    SOC oppdager uvanlig lateral bevegelse og eskalerer til hendelsesleder hos Synja.

  2. 09:52

    Hendelsesteam aktivert

    Fellessamtale med IKT-leder og kommunikasjonsansvarlig. Beredskapsplan trukket frem.

  3. 11:30

    Isolering og bevissikring

    Kritiske systemer segmentert. Minneavbildning og logger sikret for videre analyse.

  4. 16:45

    Stabilisert situasjon

    Truslen er begrenset. Kommunen kan fortsette drift med kontrollerte tiltak frem mot helg.

Vi hadde øvd på dette scenarioet — men ingenting forbereder deg helt på tempoet når det skjer på ekte. At vi hadde noen utenfor som kunne ta tak i det tekniske mens vi ledet kommunen, var avgjørende.

Leder IKT, Gran kommune Sitat er anonymisert for artikkelen

Koordinert respons

Gjennom tett samarbeid med kommunens IT-ledelse ble kritiske systemer isolert, bevis sikret og kommunikasjon mot ledelse etablert etter beredskapsplan. Kommunikasjonen mot innbyggere ble holdt tilbake til man hadde oversikt — et bevisst valg som unngikk unødig uro.

Dette gjorde hendelsesteamet

  • Etablerte felles hendelsesrom med klare roller mellom SOC, IKT og ledelse
  • Kartla angrepsvektor og prioriterte systemer etter konsekvens for innbyggertjenester
  • Isolerte kompromitterte konti og segmenterte nettverk uten å stenge hele kommunen
  • Sikret logger og minneavbildning for politianmeldelse og videre etterforskning
  • Leverte skriftlig status til kommunestyret samme dag

Hva andre kommuner kan ta med seg

Hendelsen understreker verdien av forberedt beredskap, øvelser og en partner som kan støtte når tempoet er høyt. Det handler ikke om å «unngå alle angrep», men om å oppdage tidlig, handle raskt og kommunisere kontrollert.

  • Overvåkning er ikke nok alene — noen må tolke varslene og eskalere.
  • Øv på kommunikasjon, ikke bare teknisk isolering.
  • Ha avtale på plass før hendelsen — ikke når presset er størst.