Testerna gjordes i november av PwC på uppdrag av kommunrevisorerna och i rapporten konstateras att konsulterna kunde ta sig in i kommunens IT-miljö relativt enkelt, skaffa sig högsta behörighet och därmed i stort sett full kontroll av IT-miljön.
När resultaten blev kända på förvaltningen sattes åtgärder in:
- Konton låstes, konton plockades bort, utökat larm och en åtstramad lösenordspolicy var några åtgärder. Vi arbetar också vidare med vår handlingsplan och andra åtgärder som föreslås i rapporten, med tydligare rutiner för incidenthantering och ytterligare höjd säkerhetsnivå på inloggning, säger Isabell Lundquist Eklund, chef för kommunledningsförvaltningen.
Enligt Isabell Lundquist Eklund har hackarna som tog sig in i kommunens IT-miljö och där kunde tillskansa sig högsta behörighet kunnat ta sig in via kommun-inloggning.
– De system och tjänster som har annat lösenord än det vanliga kommunlösenordet och de som har tvåfaktorsinloggning, som exempelvis bank-ID, drabbades inte av intrång i detta test. Det handlar bland annat om system inom skola, vård- och omsorg, socialförvaltningen och kommunens personalsystem för rehabilitering, säger Isabell Lundquist Eklund.
Om systemen inom skola, socialförvaltning och vård- och omsorg har drabbats av intrång tidigare, eller om IT-avdelningen efter PwC-testen nu spårar om sådana intrång förekommit har EP ännu inte fått svar på.