Svenska myndigheter och kommuner har dåligt skydd mot cyberkriminella. Piteå är långt ifrån den första kommunen som attackeras. I december utsattes Ekerö för samma sak och ungefär 1 500 anställda fick mejlet – ungefär lika många som i Piteå.
Två veckor senare kom en andra cyberattack mot Ekerö kommun som då gick upp i stabsläge. Nu befarar IT-avdelningen i Piteå att en ny attack kan komma även här och nu vill man ha råd av Stockholmskommunen.
– Vi har kontaktat Ekerö kommun i syfte att ta del av erfarenheter och kanske har de andra tips och råd att ge. De utsattes på ungefär likvärdigt sätt som vi. När de kommit till rätta med den första attacken så utsattes de igen, säger Eva Wikström, IT-chef Piteå kommun.
Är ni oroliga för en ny attack?
– Vi tänker att allt kan vara möjligt nu för tiden. Att ta del av andras erfarenheter är ett led i att kunna rusta sig och förbereda sig på bästa sätt, säger Wikström.
Att det finns brister i IT-skyddet i Piteå konstaterar IT-säkerhetsexperten Martin Lindgren. Genom en snabb undersökning av domänen pitea.se hittar han svagheter på bara några sekunder.
– Du måste ha en Dmarc-policy på plats som kontrollerar vilka som får skicka mejl i ditt namn eller inte, det har inte Piteå kommun. Tittar man på Norge och Danmark är det obligatoriskt för offentliga sektorn att ha det här på plats, sådana krav finns inte i Sverige, säger han.
Om mejlet som gick ut till 1 500 anställda inom Piteå kommun såg ut att komma från någon kollega är oklart.
– Det är inte helt otänkbart att mejlet de fått ser ut att komma från pitea.se. Eftersom de inte har policyn på plats så skulle det absolut kunna vara så, säger Martin Lindgren.
Enligt IT-säkerhetsexperten har försvararsidan ett försprång mot cyberskurkarna och det stavas AI-teknik.
– En rekommendation till Piteå kommun är att titta på något skydd som använder AI-teknik, det är välinvesterade pengar. Att göra något åt Dmarc kostar inget, det är en policy man slår på för att autentisera vem som kan skicka e-post i sitt namn och något man enkelt kan aktivera. Det sänker risken för alla att få phishing-attacker i framtiden.
IT-chefen Eva Wikström tar till sig av kritiken.
– Det här är någonting vi måste titta på och se om vi behöver förstärka på något sätt. Vi behöver få tid på oss att titta på vad som hänt och vad vi behöver ta till för åtgärder, säger hon.