KOMBIT: massivt DDOS-angreb afværget med open source

KOMBIT’s brug af open source platformen MatterMost var afgørende i forsvaret mod et omfattende russisk DDoS-angreb på danske kommuner op til kommunevalget sidste år. Over platformen blev tidskritiske informationer pushet ud til kommunerne, så de var klar, når angrebene ramte. MatterMost betød, at kommunerne og deres leverandører hurtigt og effektivt kunne lukke for angrebene, fortæller KOMBIT-direktør Johanne Strabo Svendsen. Selv om MatterMost i dag er standarden for krisekommunikation, er DKCERT dog i færd med at afklare sine behov i forhold til en fremtidig kommunikationsplatform.

Af Peder Bjerge
kvinde i blaser

Klokken tre om eftermiddagen udsendte Politiets Efterretningstjenesten (PET) en trusselsvurdering: ”Cybertruslen mod kommunal- og regionsrådsvalget er HØJ. Det er sandsynligt, at pro-russiske hackergrupper vil udføre DDoS-angreb mod hjemmesider i forbindelse med valget.”
Og mandag den 10. november blev Vejle Kommune som en af de første ramt, hvor hjemmesiden kortvarigt gik ned.

Lolland var også et mål

Længere syd på i landet var Allan Eriksen, IT-sikkerhedskonsulent i Lolland Kommune, og hans kolleger klar til at afværge angrebet fra den prorussiske hackergruppe NoName057(16). Hver morgen udsendte KOMBIT daglige lister over, hvilke kommuner der kunne være mål.
”Samtidig udsendte KOMBIT sammen med SAMSIK (Styrelsen for Samfundssikkerhed, red.) og KL informationer om, hvad man kunne gøre. De var ret gode til at informere leverandørerne, så alle vores leverandører var fuldt klædt på og klar,” siger han, og tilføjer: ”Selv om vi var et mål, oplevede vi ikke noget udfald, men kunne bestemt godt se, at der var – for at sige det mildt – meget trafik, som der normalt ikke var.”

Ifølge Johanne Strabo Svendsen, direktør for Compliance, Kvalitet og Sikkerhed i KOMBIT, anvender KOMBIT open source-platformen MatterMost til at pushe vigtige kommunikationer ud til landets kommuner.
”Gennem KommuneCERT har vi taget MatterMost i brug med henblik på den slags angreb, som bliver brugt til at skabe utryghed og destabilisere samfundet, når vi går til valg,” siger hun.

Lige så snart vi kunne se, hvor angrebene kom fra, fik vi det kommunikeret ud til kommunernes leverandører.

Johanne Strabo Svendsen

Se hvor angrebene kom fra

Johanne Strabo Svendsen understreger, at platformen til at dele viden viste sig at være meget effektiv til at få vigtige informationer ud til de enkelte kommuner. MatterMost er en open source-platform, der oftest beskrives som et alternativ til f.eks. Microsoft Teams og Slack. Gennem platformen er det bl.a. muligt at chatte og afholde videomøder.
”Lige så snart vi kunne se, hvor angrebene kom fra, fik vi det kommunikeret ud til kommunernes leverandører af f.eks. hjemmesider. Vi fik koblet dem på ret hurtigt, så de hurtigt kunne lukke ned for de mailadresser, der blev brugt i angrebet. Det viste sig operativt at være en ret god løsning,” siger Strabo Svendsen.

På Lolland betød det, at Allan Eriksen og hans kolleger kunne undgå, at det store flertal af kommunens borgere blev berørt af angrebene.
”Vi kunne godt mærke på vores leverandører, at de onde også blev klogere undervejs, hvor de afprøvede nye typer angreb. Her skulle vores leverandører lige bruge et par timer på at rette ind efter det, siger han. Selv finder han det positivt, at der bliver anvendt en open source løsning, der også bruges af DKCERT. Ifølge Galina Ianchina, chef for DKCERT, er man dog i færd med en behovsafklaring i forhold til en fremtidig løsning.

”Vi ser blandt andet på, hvilke løsninger man anvender i EU og andre sektororganisationer,” siger hun.
Galina Ianchina fremhæver, at MatterMost er open source, hvilket giver en række fordele i forhold til transparens, fleksibilitet og muligheden for selv at kontrollere deployment og datasikkerhed. Men det er vigtigt at bemærke, at løsningen udvikles af et amerikansk selskab, og derfor ikke i sig selv er en “europæisk” platform.
”Mattermost er et koordinationsværktøj – det hjælper os med at dele information hurtigt under en hændelse, men det er ikke det, der stopper et DDoS-angreb,” tilføjer hun.
Ifølge Johanne Strabo Svendsen er MatterMost blot en af flere dele af KOMBIT’s strategi for at øge IT-sikkerheden. Det handler bl.a. også om at sikre, at leverandørerne har det fornødne sikkerhedsniveau.
”Vi skal huske på, at vi leverer en del af den kritiske infrastruktur i samfundet,” siger hun.

Kort om MatterMost

Det særlige ved Mattermost er især, at platformen er open source, så organisationer selv kan hoste systemet, kontrollere data, tilpasse funktioner og mindske afhængighed af amerikanske cloudgiganter. Det er en vigtig årsag til, at platformen bruges i dele af den offentlige sektor i Europa.
Kilde: bl.a. https://mattermost.com.

Læs også

Mand i tshirt

Sådan implementerer kommunerne NIS2: Her er drejebogen for kommunernes cyber-forsvar

Med de daglige voldsomme digitale angreb på tværs af Danmarks kritiske infrastruktur og digitale løsninger er også kommunerne udsatte. Kommunerne er da også fuldt omfattet af den danske NIS2-lov, der gennemfører EU’s NIS2-direktiv om øget cybersikkerhed. Kommunerne får et markant større ansvar for cybersikkerhed. KL har nu lanceret en NIS2-drejebog, som kommunerne kan finde anbefalinger og redskaber i, fortæller Marianne Just Mortensen, chefkonsulent i KL.

Hvad laver den kommunale IT-chef, når jobbet stopper?

Jobbet som kommunal IT-chef kan være en stor, næsten altopslugende del af livet. Man går til jobbet med passion og intentioner om at gøre en forskel for medarbejdere og kommunen. Det er der, man har sit netværk, og der er stærke relationer på tværs af kommunegrænser. Det er en del af ens identitet.
Men hvad sker der så den dag man stopper? Det er vi nogle eks-IT-chefer og tidligere KITA-medlemmer, som underholder hinanden med et par gange om året.

Download