IT-chefen Eva Wikström skrev att Piteå kommun är sämre förberedd mot IT-attacker än många andra kommuner. "Som vi vet visade resultatet på vår första (och enda mejl-test) att det idag är tämligen ett svagt försvar och med det uppenbart låg motståndskraft mot cyberattacker."
IT-chefen Eva Wikström togs ur tjänst bara en vecka efter phishing-attacken mot Piteå kommun där 1 500 anställda fick ett mejl med skadlig kod.
Genom anonyma källor och hemliga interna dokument kan PT nu avslöja att IT-chefen slagit larm om brister i kommunens IT-säkerhet drygt två månader innan attacken. Den 9 januari 2023 skickade Eva Wikström ett mejl till kommunledningsgruppen där hon själv inte ingår.
"Här kommer en komplettering av den information jag höll den 16 december – Ett år efter Kalixattacken. Informationen innehåller ett antal förslag utifrån vad jag bedömer behöver göras för att stärka reliensen och komma ikapp IT- och cybersäkerhetsmässigt."
I dokumentet som gått ut till kommunchef, förvaltningschefer samt personalchef och ekonomichef skriver Eva Wikström att det varje dag sker försök till intrång i kommunens IT-miljö och att motståndskraften mot cyberattacker måste höjas.
"Vi ligger efter i våra förberedelser, de är sämre än många andra kommuner. Som vi vet visade resultatet på vår första (och enda mejl-test) att det idag är tämligen ett svagt försvar och med det uppenbart låg motståndskraft mot cyberattacker", skriver IT-chefen.
Eva Wikström skriver att IT-avdelningen, i samverkan med kommunens informationssäkerhetsfunktion, påbörjat ett akut införande av multifaktorautentisering (MFA) – en säkerhetsfunktion där användare måste verifiera sig genom flera identifieringsmetoder.
Hon påtalar även att hennes rekommendation fortsatt är att ledningen involveras och att engagemang på högsta nivå skapas. Bland annat vill Eva Wikström att IT- och cybersäkerhet blir en fråga för ledningsgruppen – inte ett ansvar som enbart ligger hos IT-avdelningen.
IT-chefen vill att frågorna ges högsta prioritet och att avdelningscheferna får i uppdrag att ansvara för införande och kompetenshöjande åtgärder.
"Jag fortsätter att hävda att Piteå kommuns högsta ledning måste involveras i det systematiska IT-säkerhetsarbetet vilket MSB och Kalix kommun också rekommenderar. Medvetenheten och kompetensen hos ansvariga bedömer jag måste höjas och ansvaret ska ligga på cheferna att säkerställa att verksamheternas egna användare aktivt jobbar med Piteå kommuns systematiska säkerhetsarbete (i nuläget, att anställda börjar nyttja MFA som säker autentiseringsmetod)."
"Min rekommendation är fortsatt att ledningen involveras och engagemang på högsta nivå skapas". Det skriver Eva Wikström i ett mejl mindre än tre månader före hon tas ur tjänst av kommunchefen Andreas Lind. (Arkivbild)
Eva Wikström rekommenderade även att Piteå kommun börjar använda sig av mätningar och nyckeltal för att säkerställa att de nödvändiga säkerhetsfunktionerna införs.
"Som jag tidigare lyft är denna riktning helt avgörande och nödvändigt för att klara kraven på IT-säkerheten inom kommunen."
Enligt rekommendationen som mejlats ut till kommunledningsgruppen framgår att Eva Wikström inte fått gehör för sina förslag om bättre motstånd mot cyberattacker. Enligt källor till PT med insyn i konflikten har IT-chefen flera gånger slagit larm om Piteå kommuns bristfälliga IT-säkerhet – utan att få respons. Bland annat ska Eva Wikström ha föreslagit att kommunchefen tar fram en krishanteringsplan vid en eventuell cyberattack samt lyft att det behövs en krisövning. Detta utan att få respons.
Nu riktar källorna hård kritik mot kommunchefen Andreas Lind.
– Det är väl knappast en överdrift att säga att bilagan den 9 januari framstår som något av ett nödrop från en frustrerad IT-chef som inser att situationen är ohållbar. Den avslutande formuleringen att kommunen har "ett tämligt svagt försvar och med det uppenbart låg motståndskraft mot cyberattacker" borde självfallet ha utlöst omedelbara reaktioner från kommunchefens sida, säger en källa som vill vara anonym på grund av rädsla för repressalier.
Källan tycker att kommunchefen skyndsamt borde ha inkallat såväl IT-chef samt förvaltningschefer för att omedelbart ta ställning till Wikströms förslag om högre säkerhet och hur de skulle kunna genomföras så snabbt som möjligt.
– Såvitt vi vet gjorde kommunchefen i stället absolut ingenting med anledning av detta med en nonchalans som framstår som obegriplig med tanke på hur cyberattackerna riktade mot bland annat kommuner ökat markant under det senaste året, säger källan och får medhåll av en annan källa:
– Om det är någon som borde stå till svars för att det finns allvarliga och förebyggningsbara brister i kommunens IT-säkerhet som borde ha åtgärdats vid det här laget så är det Andreas Lind och ingen annan.
PT har varit i kontakt med Eva Wikström som bekräftar uppgifterna att hon vid upprepade gånger slagit larm om brister i IT-säkerheten, men inte fått någon respons av kommunchefen Andreas Lind. Däremot vill hon inte uttala sig med hänvisning till processen mot Piteå kommun.
– I nuläget har jag inte några ytterligare kommentarer, säger Eva Wikström.
Andreas Lind, kommunchef i Piteå kommun, vill inte bemöta kritiken. "Det enda jag vill tillägga är att jag är helt trygg i att frågorna inte på något sätt hanterats med ointresse eller nonchalans."
Andreas Lind vill inte svara på våra frågor med hänvisning till tre anledningar.
– För det första för att de rör vår IT-beredskap vilket inte ska diskuteras brett och öppet, för det andra av hänsyn till de personer som är inblandade i personalärendet och för det tredje för att jag är mån om att inte vilseleda någon gällande vad detta personalärende handlar om, skriver han i ett mejl.
Frågorna vi ställde till Andreas Lind var bland annat hur han ser på kritiken mot att han inte ska ha agerat på Eva Wikström rekommendationer, om han informerade kommunstyrelsen om Eva Wikström larm samt om cyberattacken den 28 mars hade kunnat undvikas om man lyssnat på IT-chefen.
– Det enda jag vill tillägga är att jag är helt trygg i att frågorna inte på något sätt hanterats med ointresse eller nonchalans. Dessa frågor har, inte minst sedan IT-attacken mot Kalix 16 december 2021, i hög utsträckning präglat min och verksamhetens vardag och har lyfts, diskuterats och agerats på. Detta gäller på såväl politisk nivå, i ledningsgruppen och i övrig verksamhet, skriver Andreas Lind och tillägger:
– Frågornas art får detta att se ut som en verksamhet i ett krisläge, men jag vill poängtera att vi i Piteå i dessa osäkra tider ska vara stolta och glada över det kunnande och engagemang vi har inom IT- och informationssäkerhet i Piteå kommun.