Sverige kan vänta sig ett år med allt fler riktade cyberattacker mot hälsa- och sjukvården. Attackerna följer på en global trend där sjukvården i allt högre utsträckning betraktas som legitima mål för angriparna. I januari drabbades bland annat Region Västerbotten, Region Uppsala och Region Blekinge av allvarliga störningar i sina IT-system efter riktade cyberattacker och senast idag meddelade den privata vårdgivaren Sophiahemmet att man drabbats av en cyberattack som lett till att man fått gå över till manuella rutiner. Inga telefoner fungera och man har behövt stänga ner alla IT-system för att under kontrollerade former öppna upp dem igen.
Viktigt att vara förberedd och agera snabbt vid attacker
Det är viktigt att ha en väl förberedd och övad organisation när cyberattacken väl är ett faktum. Det ska finnas rutiner som man beslutar införa för att minimera skadorna i IT-system och IT-infrastruktur. Inom sjukvården är man duktiga på att växla över till manuella rutiner vid IT-driftstörningar oavsett orsak. Det är något som övas och praktiseras relativt ofta och i vart fall ett antal gånger årligen.
Var försiktig med uttalanden i media
Vid en cyberattack mot en myndighet eller samhällsviktig verksamhet vaknar medierna blixtsnabbt. Det är väldigt viktigt att ha kriskommunikationsplan för cyberattacker. Planen ska innehåla uppgifter som vad som hänt, ungefärlig tid, vilka åtgärder som vidtas och information om hur allmänheten påverkas.
undvik uttalanden som: ”vi ser inga tecken på intrång i våra IT-system”. ”Vår säkerhet är hög och vi har läget under kontroll”.
Undvik tvärsäkra påståenden som saknar faktamässig grund och som senare kan skada allmänhetens förtroende för er krishantering.
Man ska försöka vara så transparent som möjligt men samtidigt inte kommentera uppgifter som kan försvåra en förundersökning.
Undvik kommentarer av slaget: ”vi har inte hittat några tecken på förlorad information”; vår säkerhet är hög och vi har läget under kontroll”. Är man utsatt för en misstänkt pågående cyberattack då har minst av allt kontroll. Verksamheten befinner sig på ett öppet hav utan eller mycket små möjligheter att navigera. Du har ingen aning om vad som kommer att hända eller hur stor påverkan det blir på verksamheten. Erfarenheten visar att det kan ta veckor eller månader innan man upptäcker att man förlorat information eller att filer kapats av angriparna.
Pröva istället att säga:
”natten till idag har vi utsatts för en misstänkt cyberattack, den är pågående och vi utreder just nu händelsen vilket innebär att vi inte kan kommentera något om eventuella skador. Verksamheten har övergått till manuella rutiner. Alla våra IT-system är stängda och kommer att startas upp under kontrollerade former. Vi har bildat en krisledningsgrupp som hanterar händelsen och vi kommer att ge dagliga uppdateringar på vår hemsida kl 9 och 16″. Vi tar emot våra kunder precis som vanligt men väntetiden kan vara längre än vanligt. Vi kommer inte att kommenterar frågor av teknisk natur som t ex vilka IT-system som är eller kan vara påverkade. Händelsen är anmäld till polisen.”
Kommentaren ovan innehåller den information som journalister och allmänheten vill veta. Det signalerar ni för tillfället koll på läget även om situationen kan eskalera. Ni har en plan som ni jobbar med vilket signalerar trygghet och är förtroendeskapande.
Man behöver inte vara hemlighetsfull med sådant som är uppenbart. Om telefonerna, mail och hemsidan är påverkade kan man säga det. Ge gärna ett telefonnummer dit kunderna kan ringa. Att ha ett pressnummer dit reportrar kan ringa avlastar växeln och skapar också förtroende för er krishantering.