Strax före jul upptäckte man en kraftig driftsstörning på Kalix kommuns it-system. Timmar efter upptäckten bekräftade kommunen att hackare hade tagit över stora delar av it-systemet, låst det och krävde en lösensumma för att låsa upp.
Hemtjänsten och hemsjukvården kom inte åt patientjournaler eller läkemedelslistor, mejlsystemet var ur bruk och decemberlönen gick inte att betala ut till kommunens 1 900 anställda. Kommunen vägrade betala ut lösensumman, och dagar och veckors arbete med att ta tillbaka kontrollen över sitt eget it-system tog vid.
Det låter som fiktion och en ond mardröm, men är en högst realistisk risk även för Enköpings kommun.
– Vi kan absolut inte slå fast att det inte skulle kunna hända oss. Tvärtom är det en stor sannolikhet att det skulle kunna hända även här. Men jag sover gott om nätterna. Vi gör allt vi kan för att det inte ska hända för de pengar som är avsatta för att skydda våra system och vår data, säger Enköpings kommuns digitaliseringschef Magnus Nideborn.
Enköpings kommun har varit utsatta för liknande försök.
– Men vi har upptäckt dem i tid och har kunnat täppa till de säkerhetshål i systemet som de har tagit sig in igenom. Men det är i princip dagligen som vi ser försök. Mest handlar det om "phising", att ta reda på personalens inloggningsuppgifter, kontoinformation eller liknande, säger Magnus Nideborn, och fortsätter:
– Vi har råkat ut för att man har lyckats, att personalens mejl har använts för massutskick av annan "phising"-mejl, och då har vi blivit svartlistade av olika tjänster för just massutskick.
Magnus Nideborn säger att kommunen har ett bra system för att upptäcka och avvärja attacker, men att det inte är vattentätt.
– Vi har tillräckligt gott skydd för det vi är satta att skydda. Vi måste skydda de uppgifter om våra medborgare som vi har sparade i våra system, det är det mest vitala. Om vi skulle bli utsatta för en attack och vi inte kan jobba som vanligt under några dagar är ändå hanterbart, men dataläckage är allvarligare. Känsliga uppgifter om medborgare som läcker, det får inte ske. Det kan vara riktigt tragiskt för individen.
Magnus Nideborn tror att Kalixattacken har varit en ögonöppnare för många.
– Alla våra verksamheter måste ha en beredskap för att sånt här kan hända, att man inte kommer åt systemen, vare sig det är ett längre strömbortfall eller att it-systemen inte fungerar av någon annan anledning. Men det är svårt. Man är så otroligt beroende av it när man väl har tagit steget över. Det är lätt att säga att man till exempel ska ha journaler och läkemedelslistor utskrivna, men att hålla dem uppdaterade parallellt är snudd på ett omöjligt jobb.
Vilka är det som utför de här försöken att ta sig in i kommunens system?
– Det är svårt att säga. Det kan vara allt från personer som tycker att det är kul att förstöra, främmande makt som vill ha uppgifter om känsliga system som till exempel VA-anläggningar, men också kriminella som är ute efter pengar på ett eller annat sätt.
Skulle Enköpings kommun någonsin betala pengar för att ta sig ur en sån här attack?
– Jag har svårt att se det. Grundinställningen är ju naturligtvis att aldrig betala.