– Det har vært en tøff opplevelse Stabssjef Petter Høiseth
Petter Høiseth og Pål NedregottenFoto: Erik Waatland
Siden da har noen titalls dataeksperter jobbet mot en ukjent fiende fra et krigsrom i Akersgata 34.
– «The Fog Of War» er et begrep i krigsjournalistikken og det kjennes litt sånn ut. - Pål Nedregotten, konserndirektør
AmediaFoto: Erik Waatland
På innsiden:
Fra dette bygget kjemper Amedia mot ukjente hackere som lammet konsernets aviser
Fra krigsrommet i toppetasjen har ledelsen sittet i krisestab siden romjula. – «The Fog Of War» er et begrep i krigsjournalistikken og det kjennes litt sånn ut.
Temperaturen viser seks minusgrader og vinden blåser opp til åtte meter i sekunder denne natta i Oslo. Det er tomt i gatene i sentrum. Akkurat som Amedias egne aviser, er ledelsen spredt rundt omkring i landet. Fullstendig uvitende om at julefreden er i ferd med å bli erstattet av en digital krigføring den norske mediebransjen trolig aldri før har sett maken til.
– Det har vært en tøff opplevelse for Amedia.
Stabssjef Petter Høiseth slipper oss inn i Akersgata 34. Han avbrøt ferien og kastet seg på første fly til hovedstaden – som så mange andre av hans kolleger.
Bygget er omringet av mediebedrifter, forlag og samfunnets viktigste institusjoner. Fra denne adressen har noen titalls dataeksperter jobbet mot en ukjent fiende siden 28. desember. Da gikk alarmen.
– Det har vært en skikkelig belastning og tøff erfaring å oppleve noe sånt. Også skjer det i jula hvor moduset egentlig skal være harmoni og tid med familie. Man ble brått revet ut av juleidyllen.
Vi tar heisen opp mot toppetasjen i det ellers tilnærmet tomme bygget. I én av etasjene vi passerer, sitter egne og innleide IT-eksperter, som febrilsk forsøker å lappe over konsernets egne systemer. Målet er å få systemet til å fungere igjen, men ikke på en slik måte at de kan angripes på ny.
Her får vi ikke slippe inn. Konsernet er livredd for å fôre hackerne med ytterligere informasjon og kunnskap.
Ping. Vi stopper i toppetasjen.
Ut heisdøra og innover i gangen sitter krisestaben. Rundt bordet, som vanligvis brukes av styret, har de samlet IT-direktør Terje Haug, stabssjef Petter Høiseth, konserndirektør Pål Nedregotten for data og teknologi, konserndirektør Marte Ingul for samfunns- og myndighetskontakt, utviklingsdirektør Håvard Solheim og sikkerhetssjef Stein Damman.
Krise-rommet til AmediaFoto: Erik Waatland
Her har de sittet sammen flere ganger gjennom dagen siden romjula.
– Nå handler alt om å få opp systemene bit for bit på en trygg måte.
Krisestaben til AmediaFoto: Erik Waatland
Ingen rundt bordet vet hva angrepet har kostet.
Disse seks utgjør krisestaben som rapporterer til konsernledelsen to ganger om dagen om statusen på angrepet, hva de har gjort for å løse det – og forsøke å peile ut en vei ut av cyberkrigen. For fortsatt er det ingen rundt dette bordet som vet hvem fienden er – utover et digitalt notat om at de må betale løsepenger for å få tilbake kontrollen. Det er det ingen her som verken vil eller har noe særlig tro på.
«The Fog Of War»
– Det er stor grad av usikkerhet.
Ordene kommer fra en alvorstynget konserndirektør. Pål Nedregotten har det øverste ansvaret i Amedia for områdene data og teknologi – og ble for alvor kjent for det norske folk gjennom TV-sendinger, radioinnslag og en rekke oppslag i mediene da angrepet ble offentliggjort.
– «The Fog Of War» er et begrep i krigsjournalistikken og det kjennes litt sånn ut. Det er til enhver tid mer ting du ikke vet enn det du vet. Også er det masse usikkerhet. Etter hvert får du en økende grad av sikkerhet og bekreftelse på ting du tror, men veldig mange av disse tingene kan du ikke være helt sikker på heller.
På toppen av usikkerheten flagrer spørsmålene. Fra pressen. Fra egne ansatte. Fra abonnenter. Fra samarbeidspartnere – og myndighetene. På toppen av dette igjen er det satt i gang en politietterforskning etter at mediekonsernet leverte anmeldelsen 28. desember.
Sannsynligheten for å avsløre de kriminelle er derimot lav. Det vet Stein Damman godt. I dag jobber han som sikkerhetssjef i Amedia, men kom fra jobben som informasjonssikkerhetsleder (CISO) i Kripos, der han hadde vært i 11 år.
– Heldigvis har ikke Kripos selv opplevd et slikt løsepengevirus, men er jo nær slike saker og i min rolle der får man innsyn i kompleksiteten, omfang og hvor krevende arbeid det er for politiet å finne de som står bak. Hydro-saken er et godt eksempel på det – og nå nylig så ble jo noen bakmenn tatt i en større kontekst. Det er veldig krevende for de som står i det – og det er også ganske krevende for politiet i sin rolle å faktisk finne ut av det, forteller Damman, og viser til at det er svært mange uløste saker av denne karakteren.
Mange spørsmål – få svar
I Amedia jobber det over tusen redaksjonelt ansatte i over 80 aviser. Alle har til felles at de ble berørt av angrepet. Aviser som har kommet ut hver bidige dag etter andre verdenskrig, måtte for første gang stoppe avispressa. Og usikkerheten blant ansatte, som ikke vet om deres sensitive data er tatt av ukjente hackere, er stor.
– Helt forståelig, så vil folk internt i Amedia ha svar, men mange av de svarene har vi kanskje ikke på det tidspunktet de vil ha det, eller det kan være svar vi ikke kan gå ut med av hensyn til ansattes sikkerhet, forteller Nedregotten.
Krisestaben sier det aldri var et spørsmål om de ikke skulle være åpen om angrepet. Men det har kostet tid og krefter når de samtidig må kjempe mot en lammelse de aldri har opplevd før. Og frykten er stor for at data kan være tapt – eller i hendene på krefter som ikke skal ha dem.
For Amedia har vært åpen om at angrepet kan ha rammet data om abonnenter, så som navn, adresse, mobilnummer, e-postadresser og forhold knyttet til abonnementshistorikken deres. For ansatte i Amedia gjelder det data om ulike forhold knyttet til deres ansettelsesforhold, herunder opplysninger om personnummer og lønn.
– Hvor vanskelig er avveiningen mellom offentlighetens interesse og konsernets sikkerhet?
– Den er vanskelig og det er kanskje det som er mest krevende. Balansen, spesielt for et konsern som har en åpenhetslinje som prinsipp, er vrien, sier Nedregotten.
– Vi må kontinuerlig veie hensynet til åpenhet mot hensyn til politietterforskning og vern av ansatte og kunder. Så har Amedia mange ulike grupper å kommunisere med. Én ting er informasjonen vi kan gå ut å bekrefte, men informasjonsbehovet til våre ansatte er viktigst å ivareta, men også myndigheter, våre abonnenter og annonsører skal vi kommunisere med, forteller konserndirektør Marte Ingul for samfunns- og myndighetskontakt.
IT-direktør Terje Haug, stabssjef Petter Høiseth, konserndirektør Pål Nedregotten for data og teknologi, konserndirektør Marte Ingul for samfunns- og myndighetskontakt, utviklingsdirektør Håvard Solheim og sikkerhetssjef Stein Damman sitter i krigsrommet flere ganger om dagenFoto: Erik Waatland
Møkkete kaffekopper og fastfood-rester
I dette krigsrommet er det nå ryddet, men vanligvis er det fylt av dokumenter, skjermer, skitne kaffekopper og fastfood-rester.
Ingen rundt dette bordet vet hva angrepet har kostet. Én ting er dataene de kan ha tapt, men en annen er tapt arbeidsfortjeneste, annonsører som har banket på døren og abonnenter som ikke har fått varen de har kjøpt. Den oppsummeringen får komme i andre rekke, opplyser stabssjef Høiseth.
Heldigvis gikk ikke angrepet utover nettavisene, som har kommet ut mer eller mindre som normalt, konstaterer de.
Men hva er veien videre nå? Kommer alt til å bli som normalt?
– Nå handler alt om å få opp systemene bit for bit på en trygg måte. Det er et møysommelig arbeid, for vi må være sikker på at når vi tar tilbake sikkerhetskopier, så tar vi ikke tilbake noe som er korrumpert. Vi tar ingen sjanser med å implementere og sette opp ting som før, så vi sjekker alt for skadevare før vi implementerer backuper, forteller Nedregotten.
Snakker ikke med fienden
De har kontroll nå. I alle fall tror de det. Fortsatt kan det være skjulte virus gjemt i høystakken, men de følger nøye med. For nå handler alt om gjenåpning av systemene.
– Det er et vanskelig spørsmål. Men vi må med fasiten i hånd si at det skjedde og at det spørsmålet blir noe vi må se nærmere på når vi får vite årsaken og hvordan det kunne skje. Så er det uomtvistelig at vi må jobbe enda mer med sikkerhet. Det gjelder mange virksomheter. Vi var forberedt, men så er spørsmålet om vi var godt nok forberedt. Vi må konstatere at de klarte å bryte seg inn.
– Vet dere noe om fienden?
– Vi vet en del om moduset til den type aktører – også har vi en del informasjon som vi jobber med å få verifisert som vi ikke er i posisjon til å verifisere per nå.
Amedias lokaler i Akersgata 34.Foto: Erik Waatland
– Men har dere vært i dialog med dem?
– Det vi har kommunisert er at dette var et løsepengevirus med et notat for å ta kontakt. Det bestemte vi oss for at vi ikke gjør. Vi har av prinsipp ikke hatt noe dialog med dem, konstaterer stabssjefen.
I notatet lå det en lenke med et brukernavn og et passord.
Mistenker ikke utro tjener
Dataangrep kan skje på mange ulike vis. Noen ganger er det med hjelp fra noen på innsiden – andre ikke. Amedia sier de ikke vil kommentere årsaker til angrepet – fordi det er et arbeid som pågår med å finne ut av akkurat nå.
– Kan det ha vært en ansatt som trykket på noe vedkommende ikke burde gjort?
– For øyeblikket kan vi ikke kommentere det. Men det er flere muligheter i et slikt type angrep. Vi undersøker alle muligheter. Men holdepunkter vi har nå, tilsier at dette er en ekstern aktør. Vi har med andre ord ingen mistanke om en utro tjener.
– Det er kanskje litt konspiratorisk å spørre om, men vi spør likevel. Amedia har en større operasjon i Russland, et land som ofte er knyttet til dataangrep. Kan det spille inn her?
– Vi har ingen opplysninger om at dette kobles til trykkerivirksomheten i Russland. Vi har heller ingen holdepunkter nå for å si at vi var et spesifikt mål.
Høiseth er uansett sikker på én ting: Amedia og alle andre virksomheter i og utenfor mediebransjen må jobbe enda mer med IT-sikkerhet.
– Vi har fått noen tøffe påminnelser om det i det siste.
