Konserndirektør for teknologi og utvikling i Amedia, Pål Nedregotten, håper på en roligere romjul i 2022.Foto: Endre Simonsen
Ett år etter dataangrepet: Telefonen til Amedia-direktøren «eksploderte» den første dagen
– Med fasiten i hånd så synes jeg vi leverte veldig godt på både informasjon og håndteringen av angrepet, konserndirektør for teknologi og utvikling i Amedia, Pål Nedregotten.
28. desember 2021 våkner konserndirektør for teknologi og utvikling i Amedia, Pål Nedregotten, på hytta på Sjusjøen til en tekstmelding fra en av sine tekniske ledere:
Der står det: «Vi har trøbbel».
«Trøbbel» kan være alt fra midlertidige bagateller til større hendelser, men Nedregotten kunne nok ikke forestille seg hvilke utfordringer som sto foran ham og Amedia i de kommende månedene.
Det tok ikke lang tid før det ble klart at «trøbbelet» var et dataangrep mot flere av konsernets sentrale IT-systemer. Etter hvert ble det også åpenbart at angrepet var et forsøk på pengeutpressing, et såkalt løsepengevirus.
I den tidlige fasen ante de ikke om de var utsatt for et målrettet angrep eller om de var et tilfeldig offer.
– Ikke mange ukene tidligere hadde Maria Ressa og Dmitry Muratov mottatt Nobels fredspris i Oslo, og det er klart det gikk flere tanker i den retningen. Med fasit i hånd så er vi ganske sikre på at dette var et økonomisk motivert angrep og at det var tilfeldig at nettopp vi ble angrepet, sier Nedregotten til Medier24.
Angrepet krypterte deler store av mediekonsernets serverpark og satte flere sentrale systemer ut av spill.
All produksjon av papiravis ble rammet, det var ikke mulig å booke papirannonser og abonnementssystemet var ute av drift.
I den ellers så stille romjulsstemningen, blir dataangrepet på Amedia den store saken i mediebildet.
– Da vi gikk ut med at vi var angrepet, «eksploderte» for alle praktiske formål telefonen min, forteller Nedregotten.
– Omtrent alt av journalister på jobb som kunne krype og gå ringte meg, i tillegg til telefoner fra mange av våre egne redaktører, og bransjekollegaer.
Nedregotten forteller at han fikk oppunder femti anrop første halvtimen – de fleste av dem ubesvart, og mange av dem fulgt opp med tekstmeldinger når de ikke fikk svar.
Journalistene ville vite hva som hadde skjedd, deres egne redaktører hvor lenge de ville være ute av drift, og bransjekollegaer lurte på om de også risikerte angrep.
Trøkket var enormt, og dataangrepet ble toppsak i både Dagsrevyen og nyhetene på TV 2 samme kveld, forteller Nedregotten.
Han forklarer at det var åpenbart at de måtte få en bedre måte å håndtere informasjonsbehovet på.
– Vi prioriterte de samtalene som måtte håndteres umiddelbart, og innkalte til virtuelle pressekonferanser fra dag to. Behovet for info i første fase var enormt, og det var umiddelbart komplisert å håndtere, siden de av oss som satt i krisestaben var spredt over hele Norge og med nøkkelressurser på juleferie i utlandet.
I tillegg til at omverden krevde svar på hva som skjedde i Amedia, var det også et betydelig behov for å få ut informasjon internt, noe som er en utfordrende øvelse i seg selv.
Konsernet består av 150 selskaper, i tillegg til en rekke partneraviser.
– Det var spesielt krevende siden alle var på ferie. Vi måtte samle alle lederne våre, alle regiondirektørene og alle redaktørene våre midt i romjula, med folk spredt på både hytter, hoteller og hjemmekontor.
Sånn sett kan man si at det var flaks at samfunnet nettopp var kommet gjennom covid-pandemien og alle hadde mengde trening i videokonferanser, påpeker Nedregotten.
– Det gjorde det lettere å både sette krisestab, arrangere virtuelle ledermøter og legge til rette for å få informasjonen frem til både den enkelte leder og i neste runde til de ansatte. Interninformasjon var en av de åpenbart mest tidkrevende prosessene vi måtte rigge – og en ekstremt viktig funksjon.
Telefonen til konserndirektør for teknologi og utvikling i Amedia, Pål Nedregotten, fikk kjørt seg da alle landets journalister ville vite hva som foregikk.Foto: Endre Simonsen
– Leverte veldig godt på både informasjon og håndteringen
– Jeg har ingen problemer med å forstå behovet til de ansatte om rask, god og presis informasjon. Vi visste tidlig at det kunne være persondata om de ansatte i systemene som ble rammet, og vi skal ha betydelig respekt for at mange følte en stor grad av usikkerhet, svarer Nedregotten.
Samtidig var det mye selv krisestaben ikke visste i den innledende fasen, og konsernet var bevisst på å ikke spekulere, enn så mye de ønsket å informere, forteller han.
– Der vi ennå ikke hadde fakta viste vi til prosess, fordi all informasjon vi bekrefter i en krise må være kvalitetssikret – ellers risikerer du bare å øke uroen.
Nedregotten påpeker at det er lett å glemme så lenge i ettertid at de opererte i en situasjon preget av stor usikkerhet.
– Selv om krisestaben satt med mye informasjon, var det mye vi ikke visste, eller ikke var sikre på. I en slik situasjon ville det vært uansvarlig å spekulere, både overfor de ansatte og i offentligheten. I ettertid vet vi at at ting vi trodde, eller til og med var sikre på, ikke stemte. Bildet blir tydeligere underveis, men spesielt de første dagene var det meste heftet med usikkerhet.
Han understreker at de ikke har noen indikasjoner på at personinformasjon virkelig har vært på avveie, selv om det ikke er mulig å slå det fast. Det endelige svaret får de kanskje aldri.
Ett år etter så mener han konsernet sto godt gjennom krisen.
– Med fasiten i hånd så synes jeg vi leverte veldig godt på både informasjon og håndteringen av angrepet, sier han.
– Her ble nesten 100 aviser satt ut av ett angrep. Er medienes infrastruktur mer utsatt når et slikt angrep kommer igjennom sikkerhetsmuren, når så mange aviser er bundet sammen i ett konsern?
– Jeg skjønner poenget, men jeg er ikke enig. Datasikkerhet er dessverre blitt et ekstremt spesialisert fagområde som krever betydelige innsats over tid, med et trusselbilde i løpende utvikling.
– Du skal både ha evne og kapasitet til å være motstandsdyktig mot angrep, til å oppdage trusselsituasjoner, til å håndtere hendelser og ikke minst til å komme raskt tilbake i drift, svarer Nedregotten og fortsetter:
– Jeg vil si at vi generelt vil være bedre i stand til å håndtere sikkerheten til våre informasjonsverdier bedre enn en mindre aktør. Et konsern som har jobbet godt med datasikkerhet over tid, vil være godt rigget til å håndtere alle faser i en trusselsituasjon, ikke minst hva gjelder å håndtere angrepet og å komme raskt tilbake i drift.
De var tilbake på gaten med 13 aviser dag to etter angrepet.
– Det etter en innsats fra ansatte i hele konsernet som var dypt imponerende, og godt hjulpet av blant annet trykkerikapasitet hos bransjekollegaer i Schibsted og Polaris. Dette var krevende selv for et konsern med så store ressurser som vårt.
I etterkant av angrepet har Amedia ønsket å dele så mye som mulig av deres erfaringer fra dataangrepet. Nedregotten selv har vært og snakket på utallige sesjoner.
– Er du glad for at du fikk den erfaringen?
– Jeg unner ingen å gå gjennom det vi erfarte. Det er klart at vi har lært mye. Datasikkerhet har gått fra teori til smertefull praksis - og det kan og har vi brukt til noe positivt. Men om jeg ville vært det foruten? Svaret på det er et rungende ja.
