Den uge Frederiksberg mistede sit netværk

For et år siden mistede Frederiksberg kommune kontrollen over sit netværk i forbindelse med et virusangreb.

Da medarbejderne i it-afdelingen i Frederiksberg kommune mødte på arbejde den 15. februar 2009, blev det hurtigt en kendsgerning, at dagen skulle blive begyndelsen på et langt it-mareridt.

På denne dag piblede de første tegn på et virusangreb nemlig frem, og angrebet skulle vise sig, at være så omfattende, at it-afdelingen helt mistede kontrollen over kommunens store netværk.

"Virusangreb er ikke sjældne, og vi bekæmper dem jævnligt," fortæller Flemming Engstrøm, it-chef i Frederiksberg kommune.

"Men dette Conficker-angreb kunne vores antivirus-programmer ikke modstå. De gav helt op," fortæller han.

De første tegn på problemerne dukkede op på skolernes 1.600 computere, hvor det pludselig blev meget svært at logge på maskinerne, og fik man endelig adgang til netværket, var svartiderne meget lange.

Hurtigt bredte problemerne sig til resten af netværket.
"Efter få timer når vi til den erkendelse, at vi ikke kan styre tingene," siger Flemming Engstrøm.

Til forskel for de øvrige virusangreb, kommunen havde været ude for, var tingene pludselig ude af kontrol.
"Stemningen voksede til kaos, og der var brug for en speciel redningsplan, som vi ikke havde."

Antivirus bukkede under
Den specielle situation var blandt forårsaget af, at kommunens antivirusprogrammer ikke kunne bekæmpe angrebet. I den erkendelse måtte man ty til utraditionelle metoder.

"Conficker lukker blandt andet bruger-konti, og derfor udviklede vi et script, der automatisk åbnede alle konti, hver gang de blev deaktiveret. Det er en drastisk beslutning, der kan give øretæver bag efter," fortæller Flemming Engstrøm.

"Vi lukkede desuden for alle services på både klienter og servere. Vi var nødt til at forsøge noget."

Da kaoset brød ud, tog kommunen naturligvis fat i sin antivirus-leverandør, der kom med en ny version. Den virkede dog stadig ikke.

"Vi brugte en uge på at få det til at fungere, men det kom aldrig til at virke," beretter han.

Derfor skiftede man til en anden leverandør, og nu kom effekten. Men samtidig dukkede der nye problemer op.

"Vi måtte konstatere, at der stadig var 400 pc'er uden for vores kontrol. Der var tale om decentrale enheder som eksempelvis låne-computere på bibliotekerne," siger Flemming Engstrøm.

"Dem måtte vi opsøge manuelt." Kommunen havde begået den fejl, at den ikke havde kontrol over alle servere i netværket.

Kommunikationen til it-brugerne i Frederiksberg kommune foregår normalt via intranettet, men denne kommandovej blev lukket, da man mistede grebet over netværket.

Kommunikation blev pludselig et kæmpe problem, hvor kommunen måtte sætte sedler op og bruge mund-til-mund-metoden, og der gik flere uger før alle var informeret.

"Vi måtte bruge kræfterne på kommunikation i stedet for virusbekæmpelse," siger Flemming Engstrøm.

Konsekvensen af de hårde angreb blev, at kommunens netværk var nede, eller behæftet med lange svartider, i mere end 40 dage, før man for alvor fik tilkæmpet sig herredømmet igen. Problemerne havde dog længerevarende konsekvenser.

"Da vi brugte alle kræfterne på at bekæmpe angrebet, blev alle andre opgaver lagt til side, hvilket betød, at der efterfølgende var lange ventetider på almindelige it-opgaver," siger Flemming Engstrøm.

Rykker sammen i krisetider
De fleste it-chefer får givetvis koldsved ved tanken om at havne i samme situation som Frederiksberg kommune. Men det kaotiske forløb har givet en stor portion erfaring og erkendelse i kommunen.

Der blev blandt andet rettet et kraftigt lys på vigtigheden af it og de medarbejdere, der bestyrer driften af netværket.

"Vigtigheden af it-folkene og deres arbejde bliver ikke altid erkendt, men med vores krise blev det ændret. Medarbejderne blev meget synlige i kommunen, og de fik samtidig en masse erfaring," siger Flemming Engstrøm.

Netværksproblemerne fik desuden den konsekvens, at der blev udviklet en helt ny it-strategi.

It-afdelingen havde, før angrebet satte ind, gjort opmærksom på mange af de problemer, der var i netværket, men manglende ressourcer til driften betød, at der ikke blev gjort nok ved svaghederne.

Efter driftsproblemerne fik man ressourcer til at udarbejde en analyse, der medførte en revideret handlingsplan for kommunens it.

De praktiske konsekvenser har været en meget centralt styret kontrol med driften.

Samtidig har man strammet op på en række områder. Der skal eksempelvis være antivirus på alle maskiner, der skal være de nyeste patches på maskinerne, og password-politikken er ligeledes blevet skærpet.

Desuden har man besluttet sig for at modernisere maskinparken og fået bevilget penge til processen.

Mange års udsultning af it-drift og indkøb bærer en stor del af skylden, men det bliver der nu rettet op på.

Vær klar til kriser
Flemming Engstrøm giver desuden dette råd: Forbered dig grundigt på det uventede.

"Når det går galt, skal man hurtigt erkende, at der er tale om en krise, som skal håndteres på en helt speciel måde. Forbered derfor et beredskab på både it- og kommunikationssiden til sådanne situationer."

"Når krisen er overstået, bør man desuden bruge erfaringerne til at ændre sin strategi og justere de områder, der hiver sikkerheden ned," siger han.

Sikkerheden i netværket fylder i dag rigtig meget i Frederiksberg Kommune.

Læs også