Situation
Viborg Kommune udsættes for cyberangreb. Der findes mange former for cyberangreb, som falder ind under denne indsatsplans område:
- Virusangreb.
- DDOS-angreb.
- Ransomeware angreb.
- Trussel om offentliggørelse af persondata.
Konsekvensen ved et cyberangreb kan være:
- Altomfattende lammelse af hele netværket og services.
- Kommunens omdømme står på spil.
- Der kan være økonomiske konsekvenser ved et cyberangreb.
- Driftsstop på vitale driftsenheder og -systemer.
- Stort ressourcetræk i perioden til sikker drift er genetableret.
- Kompromittering og tab af data.
Et cyberangreb kan ramme både medarbejdere og borgere i Viborg Kommune.
Alarmering
Hvor kan alarmer komme fra?
Alarmer om cyberangreb kommer typisk fra:
- Center for Cyber-sikkerhed
- Overvågningssystemer
- Leverandører af kritiske systemer
- Brugere af kritiske systemer
- Borgere i Viborg Kommune.
Hvem skal alarmeres?
Ved konstatering af cyberangreb vurderer It-ledelsen, i samarbejde med relevante medarbejdere i It og Digitalisering, hvem og hvilke roller der skal aktiveres i It og Digitaliserings interne krisestab, hvorefter disse personer indkaldes.
It-ledelsen vurderer i hvilket omfang Stabenes øverste krisestab involveres, men som minimum vil der være behov for ekstern kommunikation.
Den interne kriseorganisation i It og Digitalisering aktiveres via telefon, sms og mail. Arbejdstelefonnumre og arbejdsmails anvendes primært.
Stabenes øverste krisestab aktiveres ved behov.
Hvordan alarmeres videre?
Alle alarmer skal gå via Service Desken på tlf. 87 87 41 99 indenfor normal arbejdstid.
Normal arbejdstid er:
Mandag til onsdag: Kl. 7.00 – 15.30
Torsdag: Kl. 7.00 – 17.00
Fredag: Kl. 7.00 – 13.30
Udenfor dette tidsrum er der en IT-vagtordning på tlf. 87 87 41 99, som er tilgængelig i tidsrummet:
Mandag til onsdag: kl. 15.30 – 21.00
Torsdag: Kl. 17.00 – 21.00
Fredag: Kl. 13.30 – 18.00
Lørdag og søndag: Kl. 8.00 – 16.00
Ved henvendelser på andre tidspunkter af døgnet er det beredskabet der svarer på tlf. 87 87 41 99. Her benyttes alarmeringslisten, som findes hos MJBR.
Opgaver
Hovedfokus er at skabe overblik over hændelsen og hvis nødvendigt inddrage samarbejdspartnere i løsning af problemet.
Et vigtigt fokus er inddæmning af hændelsen, som ud fra karakter kan være nedlukning af interne services eller lukke for forbindelsen til internettet. Interne procedurer (Best practice) for nedlukning og inddæmning følges.
Ligeledes er fokus på genetableringsprocedure og undersøgelse af konsekvenser i forbindelse med hændelsen essentiel for den fortsatte drift.
Kommunikationen med eksterne medier er essentiel for ikke at miste omdømme, hvorfor inddragelse af kommunikationsansvarlig fra Stabenes øverste krisestab er nødvendig.
Handling
Den interne krisestab i It og Digitalisering aktiveres og proceduren, rollerne og opgaverne skitseret i It og Digitaliserings interne vejledninger om krisehåndtering følges for at håndtere krise-situationen.
Der arbejdes ud fra Best practice for håndtering af cyberangreb.
- Aktivering af den interne krisestab i It og Digitalisering.
- Skab overblik over hændelsen (hvad er berørt)
- Identificering af typen af angreb
- Inddæm risikoområder (om nødvendigt kontrollerede nedlukninger af services)
- Analyse af ramte services og anden påvirkning
- Vurdere og reparere skaden
- Genetablering efter angrebet
- Rapportering af hændelsen
- Samarbejdspartnere/leverandører og center for cybersikkerhed.
Hvilke andre aktører skal indsatsen koordineres med?
I forbindelse med selve håndteringen af hændelsen inddrages relevante interne og eksterne aktører og samarbejdspartnere ud fra hvilke systemer, der er berørt.
Samarbejdet med den kommunikationsansvarlig fra Stabenes øverste krisestab anvendes primært til styring af intern kommunikation i kommunen og til styring af den eksterne kommunikation mod pressen.
It-chef rollen informerer/aktiverer stabenes øverste krisestab og fungerer som bindeled mellem denne og den interne krisestab i It og Digitalisering.
Ledelse og organisation
Hændelsen vil typisk ramme bredt, hvorfor ansvaret for ledelse af arbejdet med hændelsen som minimum vil være placeret hos Stabenes øverste krisestab.
Stabenes øverste krisestab inddrages for koordinering med pressen og hjælp til øvrige direktørområders håndtering af hændelsen.
Kriselederen i It og Digitalisering har ansvaret for håndtering af hændelsen internt i It og Digitalisering, hvor meget af det konkrete arbejde med analyse af hændelsens indvirkning på interne systemer samt genetableringen af it-driften efter hændelsen vil være placeret.
Der arbejdes typisk med nødplaner i øvrige direktørområder i perioden med selve hændelsens og genetableringens forløb.
Bemanding og udstyr
It og Digitalisering bemander den interne krisestab i It og Digitalisering, som kontakter Stabenes øverste krisestab for at få denne bemandet.
Der etableres et mødelokale, hvor krisestaben i It og Digitalisering har udgangspunkt.
Kommunikation
Intern kommunikation
Al kommunikation i It og Digitaliserings interne krisestab koordineres af kommunikationsmedarbejder i It og Digitalisering.
Koordineringen forgår i samarbejde med kommunikations-medarbejder i Stabenes øverste krisestab for den del af kommunikationen internt i Viborg Kommune.
Ekstern kommunikation
Kommunikationsmedarbejder i Stabenes øverste krisestab orienterer relevante medier om hændelsen.
Kontaktoplysninger
It-chef
Anders Schøler Kollin,
Mobil: 30 36 61 95,
Mail: akol@viborg.dk
Stedfortrædere
Afdelingsleder
Peter Jakobsen,
Mobil: 41 71 90 08,
mail: pj@viborg.dk
Afdelingsleder
Ole Christiansen,
Mobil: 30 76 20 61,
mail: okc@viborg.dk
Oprettelse/revision
Denne indsatsplan er udarbejdet af Lars Gaml
Godkendt af Erik Sørensen den 6. oktober 2021.
Revideret af Peter Jakobsen den 7. oktober 2022.
Action cards
Der henvises til It og digitaliserings interne beredskabsplaner.