26 | AVFALL OCH MILJÖ Nr 3 2025 TEMA BEREDSKAP Cybersäkra er verksamhet ”Your data are stolen” LÄS MER i PM 6 2025 NIS2-utredning för kommunmedlemmarna, som medlemmar kan ladda ner från avfallsverige.se Senast i höst väntas EU:s nya cybersäkerhetsdirektiv, NIS2-direktivet, vara implementerat i Sverige. Det syftar till att stärka cybersäkerheten inom EU och ställer krav på att verksamheter ska arbeta systematiskt och riskbaserat med informationssäkerhet. I ett PM summerar Avfall Sverige hur det påverkar oss inom avfallshanteringen. Hundratals utskrifter mötte personalen på VMAB när de kom till jobbet en måndag i mars förra året. De var en hälsning från hackare – bolaget hade utsatts för en Ransomeware-attack. TEXT ELIN HOLM OCH KAROLINA JIVEBÄCK PAP, SETTERWALLS ADVOKATBYRÅ TEXT KARIN JÖNSSON, AVFALL SVERIGE SÅVÄL KOMMUNER SOM kommunalförbund och i viss utsträckning kommunala bolag omfattas av NIS2-direktivet. Några initiala åtgärder som respektive avfallsverksamhet bör vidta är att: • kartlägga verksamheten och de risker/ brister som finns utifrån ett cybersäkerhetsperspektiv, • allokera resurser och utse styrgrupp, • vidta verksamhetsanpassade säkerhetsåtgärder som anses lämpliga och propor – DE HADE varit inne och döpt om alla våra mappar och filer, och de innehöll ingenting som vi kunde använda, säger Malin Håkansson, IT-ansvarig på Västblekinge Miljö AB. Hon har 13 år i IT-branschen bakom sig innan hon kom till VMAB. I teorin visste hon att riskerna att drabbas är stora, ändå kändes det overkligt att just de, ett kommunalt avfallsbolag, utsatts. – De vilel att vi skulle betala en lösensumma för att få en nyckel till att låsa upp filerna. Men det var ingenting som vi var intresserade av. Vi förlitade oss på våra backuper som förvaras på ett annat ställe. Inom en timme satt ledningsgruppen tillsammans med IT-leverantören i kristionella från ett allriskperspektiv, och • dokumentera varje beslut och bedömning som ligger bakom de åtgärder som vidtas, samt upprätta policys och styrdokument. Att anpassa sin verksamhet utifrån de krav som ställs i NIS2-direktivet kan vara ett stort arbete beroende på hur verksamheten arbetar i dagsläget, och det är därmed viktigt att komma i gång med det redan idag. möte. Insamlingsentreprenören får sina hämtrundor en vecka i förväg, så den delen klarade sig utan avbrott. Att kunna betala fakturor och att kunna få in pengar var därför en prioriterad fråga. Sedan gällde det de 40-talet anställda. – All personalens datorer fick rensas och ominstalleras. VD tyckte att han kunde sköta sitt jobb ändå, men vi beslutade ändå koppla upp hans dator först för att kunna kommunicera med styrelse, kunder och så vidare. Sov på jobbet – Därefter jobbade vi med vår biogasjour. Personalen vid vår biogasanläggning har beredskap dygnet runt, om det skulle bli något fel; om omrörarna stannar skulle vi snart få en översvämning och flera månader utan gasproduktion. De fick sova på anläggningen i flera dagar. Eftersom det fanns personuppgifter i kundregistret gjordes också en polisanmälan till Integritetsskyddsmyndigheten. Via hemsidan och sociala media meddelades kunderna om intrånget, men det genererade inga frågor. En vecka efter attacken kunde fakturor åter betalas och de anställda fick efter Något ytterligare som bör belysas är det ledningsansvar som stadgas i NIS2-direktivet. Ledningen har ansvar för att godkänna, och övervaka genomförandet av, de säkerhetsåtgärder som införs för att efterleva NIS2-direktivet. Om verksamheten skulle brista i sin efterlevnad kan därmed ledningen ansvara personligen för eventuella överträdelser. Slutligen är det också viktigt att betona att verksamheten måste fortsätta att arbeta systematiskt med cybersäkerhet. Det vill säga, det räcker inte att göra endast en initial punktinsats utan arbetet ska ske löpande. hand tillbaka sina datorer. Även telefonerna krävde handpåläggning, bland annat aktiverades en tvåfaktorsautentisering, vilket saknats. Höjer kunskapen – Det går inte att fastställa vem det var som hackade oss. Säkerligen har någon hos oss klickat på en länk som gjort det möjligt för dem att komma åt vår miljö. Vi har inte haft fokus på att ta reda på vem. Idag finns en löpande utbildning som gör personalen vaksam för nya försök att hacka systemet, och VMAB förbereder sig för NIS2-direktivet. – Vi stolta och nöjda över att det inte tog så låg tid att komma tillbaka, och att vi kunde arbeta tillsammans internt och tillsammans med vår IT-leverantör.
RkJQdWJsaXNoZXIy NDg2ODU=