– Hackerne hadde vært i systemet i noen måneder. Der slettet de all backup, og over natten tok de med seg viktige dokumenter, og låste døra. Over natten ble 14 500 innbyggere og 1300 ansatte tatt til gisler, forteller sjefredaktør i Oppland Arbeiderblad, Erik Sønstelie til Medier24.
Avisen har skrevet over 80 saker, podkaster og videoer sammen med datteravisen Toten Idag det siste året om hackingen, som holdt Østre Totem kommune nede for telling i flere måneder.
Dekningen har ført til heder både i Amedia og pris for beste journalistikk i NJ-Innlandet.
– Var de eneste som dekket
Et team på fire, inkludert redaktør Sønstelie, har fulgt både hackingen og alle konsekvensene det har fått for kommunene.
Sønstelie forteller at avisen var de eneste som stilte på pressekonferanse med ordføreren morgenen etter angrepet.
– Mange forsto nok ikke alvoret med en gang. Vi har hørt så mye vagt om virus og hacking, men ikke av dette kaliberet, sier Sønstelie og legger til:
– Jeg er overrasket over at ikke de nasjonale mediene tok tak i saken, for dette viser hva som skjer helt konkret i et lokalsamfunn når det digitale er tatt ut. Men ingen av de store var på denne saken, sier han.
Sønstelie forklarer at kommunen ble helt lammet i lang tid, da hele det digitale systemet ble låst.
– Alt stoppet opp. På pleiehjemmet kunne ikke beboerne si ifra når de trengte hjelp, så de ble utstyrt med bjeller. Kommunen kunne ikke sende ut regninger, hjemmesykepleien visste ikke hvilke medisiner pasientene skulle ha. Ikke engang feieren kunne gjøre jobben sin, for systemet var rent digitalt.
Protect your system, Amigo
Avisen skrev mange saker om alle som ble skadelidende av den digitale gisseltakingen, i tillegg til at de begynte å se på hvem som kunne stå bak.
– Vi fant ut at lignende angrep hadde skjedd i Frankrike og i en bydel i London.
Med hackingen fulgte et krav om løsepenger, og en beskjed på IT–ansvarlig sin pc-skjerm.
– Der var det en slags Q & A, og på spørsmålet «hva skal jeg si til sjefen min» stor det «Protect your system, Amigo». Og det var et ledespor til hvem som sto bak.
For bak sto en bande kalt PYSA, en forkortelse for svaret. De er kjent for å hacke store systemer, for så å lekke dokumenter hvis løsepengene ikke blir betalt.
Sønstelie, som har tidligere erfaring fra Schibsted-konsernet, bestemte seg for å prøve å komme nærmere hackerne.
– Vi tenkte, hvis vi kan finne nettsiden hvor dokumentene skal lekkes, kan vi på en måte stå bak en busk og hoppe fram og titte når de legger ut, sier han.
Redaktøren hadde tidligere lært seg om TOR, en nettleser for å komme seg på det mørke nettet.
– Det er litt som å ta på seg en Harry Potter–usynlighetskappe.
– Jeg tok kontakt med Amedia, og skaffet en egen datamaskin, egen programvare og VPN. Jeg lagde falske kontoer og mailer så jeg kunne laste ned programvarer.
Sønstelie påpeker at det var viktig at maskinen var helt koblet av Amedia–systemet, slik at hackere ikke kunne ta dem. Så begynte redaktøren å lete.
– Jeg fant adressen på et hackerforum. Så var det bare å vente.
– Ble årets påskekrim
Imens skrev avisen om følgene hackingen fremdeles fikk for lokalsamfunnet.
– Vi så også hvilke følger det hadde fått i London, og hvor mye penger som gikk med der.
Etter 100 dager kom den første lekkasjen sent på kvelden.
– Jeg satt utover natten og fulgte med hva slags dokumenter som kom, og filmet meg selv mens jeg forklarte. På den måten kom vi kommunen i forkjøpet når de skulle holde pressekonferanse om lekkasjene.
Sønstelie forteller at han ikke lastet ned dokumentene som ble lekket, siden det potensielt kunne være ulovlig. Istedenfor beskrev han i videoer hva han så, og laget et exel-dokument med alle filnavnene.
– Vi lastet ned alt etterhvert - og da fant vi at svært sensitive og hemmelige data om enkeltpersoner i kommunen hadde sluppet ut på nettet. Ikke minst gjaldt dette barn og mennesker med hemmelig identitet. Også beredskapsplaner og 110-nødetat-loggene var lagt ut, forteller han og legger til:
– Dette ble også vår påskekrim det året, hvor vi hadde en lengre serie på de lekkede dokumentene.
For kommunen har hackingen fått store konsekvenser og kostet 35 millioner kroner. I tillegg har Datatilsynet gitt kommunen en bot på fire millioner kroner.
– Utover høsten kastet også nasjonale medier seg på historien, men da var det gått mange måneder.
Han mener det er viktig å belyse konsekvensene slike angrep får for et lokalsamfunn.
– At 14 500 innbyggere blir tatt til gisler er en stor sak. Og da var det svært viktig for oss som lokalavis å belyse alle sidene av det.