JavaScript is disabled in your web browser or browser is too old to support JavaScript. Today almost all web pages contain JavaScript, a scripting programming language that runs on visitor's web browser. It makes web pages functional for specific purposes and if disabled for some reason, the content or the functionality of the web page can be limited or unavailable.

Kathrine Geard

Hackere brøt seg inn i kommunens systemer: «Dere har hatt ubudne gjester»

Vadsø kommune ble lammet, og alle ansatte berørt av hackerangrepet. Dette er historien om hvordan de tok grep.

vigdis.alver@fagbladet.no

{O}

Kathrine Geard

{/o}

Februarmørket pakker inn Vadsø når kommunedirektør Jarle Lystad (43) rusler hjemmefra til kontoret på rådhuset.

Han er fortsatt ny i jobben etter fire måneder, men dagen føles helt vanlig når han sitter ved PC-en før møtet i formannskapet. 

Omtrent samtidig kommer IT-sjef Eirik Andreassen (56) på jobb. Som vanlig sjekker han rutinemessig de digitale loggene.

Straks ser han at noe ikke er som det skal være.

Etter noen minutter ringer mobilen. Det eksterne sikkerhetsselskapet har et varsel fra natta:

«Dere har hatt ubudne gjester» er beskjeden. 

Stenger internett

IT-sjefen kontakter raskt kommunedirektør Lystad. 

– Hvor alvorlig er dette, tenkte jeg.

STENGTE: Vadsø kommune måtte stenge internettet.

STENGTE: Vadsø kommune måtte stenge internettet.

Kathrine Geard

Så stenges internett, og kommunedirektøren setter krisestab.

– I minnedumpene fant vi spor etter en trussel-aktør som sympatiserer med land i øst. Dette har vi delt med politiet og Kripos, sier IT-sjef Andreassen.

 

Mye peker østover

Sporene peker mot en gruppe som driver med datainnbrudd og pengeutpressing ved hjelp av løsepengevirus, ifølge medier. Blant annet NRK.

Denne gruppa skal støtte Russlands annektering av Krim, og skal ha angrepet flere vestlige institusjoner.

Politiet henla angrepet i Vadsø.

VADSØ: I den lille kommunen kan man se over til Russland.

VADSØ: I den lille kommunen kan man se over til Russland.

Kathrine Geard

Det har gått over 15 måneder siden dataangrepet, og nå sitter IT-sjef Andreassen sammen med kommunedirektør Lystad ved møtebordet på hans kontor. Rullegardiner stenger skarpt sollys ute.

Få kilometer unna ligger Etterretningstjenestens stasjon i Vadsø. På den andre siden av den mektige Varangerfjorden er riksgrensa mot Russland.

Ved møtebordet gjør IT-sjefen det klart at han ikke skal fotograferes, av sikkerhetsmessige årsaker.

– Slik trusselsituasjonen er i dag, skal vi i IT være anonyme, vi kan lett miste identiteten. Vi skal ikke fronte kommunen.  

Flere systemer nede i månedsvis

Lystad og Andreassen tar oss tilbake til 2. februar 2023, og tiden etter at kommunen mistet tilgjengelighet på grunn av hackerangrepet.

Hackerne kom seg inn via et revisorfirma utenfor kommunen, der bruker hadde blitt overtatt. Inntrengerne forsøkte å etablere seg inne i kommunens systemer.

REAGERTE: Kommunedirektør Jarle Lystad satte krisestab raskt etter at hackerangrepet ble oppdaget.

REAGERTE: Kommunedirektør Jarle Lystad satte krisestab raskt etter at hackerangrepet ble oppdaget.

Kathrine Geard

Noen systemer lå nede i seks til sju måneder, samtidig pågikk en gradvis gjenåpning. En internrapport lister opp hva som ble berørt umiddelbart etter at internett måtte stenges, blant annet dette:

Kommunal e-post virket ikke, ingen i kommunen kunne motta henvendelser utenfra. Leger mistet tilgang til pasientjournaler, e-resepter kunne ikke skrives ut. Barnevernet kunne ikke motta bekymringsmeldinger og varsler. Hjemmesykepleien mistet tilgang til nettbrett, trygghetsalarmer mistet tilkoblingen.

Angrepet traff alle virksomheter som var koblet opp mot kommunens digitale systemer, inkludert vann -og avløpssystemet og blant annet Vadsø Havn. Også kommunens beredskapsplan var lagret digitalt, men det fantes en papirkopi.

Fikk tak i krypterte passord

– Hackerne kom seg inn i systemet vårt, de hadde begynt å få tilganger og å se seg rundt. Men vi fikk stanset tilgangen raskt, opplyser Andreassen.

– Den eneste fila vi vet med sikkerhet at de har klart å ta ut, er den som inneholdt krypterte passord og brukernavn.

Det ble startet en intens jakt på inntrengere, et enormt arbeid med systemene som skulle sikres, og en omfattende jobb med både intern og ekstern informasjon.

Etterarbeidet pågikk i månedsvis, og fortsatt dukker ting opp – også denne dagen har IT-sjefen fikset noe.

– Vi har brukt enormt med tid.

I samme periode som Vadsø fikk uønsket besøk, ble også flere andre kommuner og bedrifter i Finnmark forsøkt utsatt for datainnbrudd, har NRK meldt tidligere. Flere andre kommuner valgte også å stenge ned systemer i frykt for angrep.

– Ville kreve løsepenger

I januar 2021 ble Østre Toten kommune lammet etter et svært omfattende dataangrep der det ble krevd løsepenger. Kostnaden ble i etterkant estimert til på cirka 30 millioner kroner.

Kommunedirektør Lystad forteller at tankene raskt gikk dit, han kjente til det alvorlige utfallet i Østre Toten både fra media og seminarer.

– Hypotesen er jo at hackerne ønsket informasjon nok til å kreve løsepenger også her.

– Men hos oss ble det et alvorlig angrep som ikke lyktes, fordi vi oppdaget det tidlig, oppsummerer han nå.

TILBAKE I TID: Da systemene i kommunen ble stengt måtte Eli Baso benytte seg av blant annet post for å få ut informasjon.

TILBAKE I TID: Da systemene i kommunen ble stengt måtte Eli Baso benytte seg av blant annet post for å få ut informasjon.

Kathrine Geard

I samme etasje som kommunedirektøren har HR-konsulent Eli Baso (54) kontor. Hun jobber blant annet med lederstøtte og ansettelser. Mye av dette skjer via nett.

Hun forteller at hun morgenen hackingen ble oppdaget ikke merket noe annet enn litt «skurr» på nettet.

Så kom den første beskjeden til de ansatte:

«Internett er ute av drift på grunn av en hendelse. Alle interne fagsystemer fungerer som normalt».

Dermed måtte man over til gamle systemer, og alt måtte sendes via post.

Frykter uvedkommende

Baso jobber med personalsaker og personopplysninger, og frykten var der for at uvedkommende skulle få tak i disse.

– Er det noen innenfor her? tenkte jeg, før vi fikk mer informasjon og visste det var stanset.

– Jeg fikk liksom en følelse av at noen kunne se hva jeg gjorde når jeg satt foran skjermen.

Ikke lenge etter datainnbruddet skulle det være kommunestyremøte. Gøril Samuelsen (52) er politisk sekretær, med ansvar for blant annet møteinnkallelser. Uten tilgang til e-post, måtte møteinnkallelser sendes ut via sms fra Samuelsen sin private telefon.

Kathrine Geard

– Hvis ikke jeg hadde kunne bruke den, ville jeg kjørt rundt til alle med papirene.

Det var begrensninger i alle systemer en tid, og alle fikk utfordringer i jobben.

– Vi har nærheten til Russland, men jeg graver meg ikke ned i bekymringer, når jeg ikke kan gjøre noe med det. Men ofte er det ikke en god følelse ofte når vi ser på nyhetene.

«Patruljerte» mellom besøk

Helsefagarbeider Eivind Berg (29) i hjemmesykepleien forteller om kveldsvakta her på Helsehuset da han intetanende om dataangrepet gikk opp trappa til lokalene i andre etasje.

 – Jeg ble helt tatt på senga, hadde jo verken hørt eller lest noe i lokalavisa før jobb.

Han fikk en rar følelse, om noe som var skremmende.

– Jeg tenkte først at det kunne være russisk. Men det er slikt man ikke vet.

SJOKK: Eivind Berg forstod ikke noe da han kom på vakt etter dataangrepet.

SJOKK: Eivind Berg forstod ikke noe da han kom på vakt etter dataangrepet.

Kathrine Geard

Vanlige arbeidsverktøy som iPad virket ikke, og huskelapper over arbeidsoppgaver og spesielle hendelser hos beboere måtte letes fram på annet vis og skrives ut på papir.

Verst var tanken på at trygghetsalarmene til brukere ikke fungerte.

– Tenk hvis noen faller, tenkte jeg, og blir liggende uten hjelp. Jeg husker at vi «patruljerte» ekstra mellom besøkene.

«Noe henger her»

Februardagen da dataangrepet traff, var Silje Ærø (36) på jobb på kontoret sitt på Nav. Hun hadde en travel jobbeperiode som veileder i jobb med flyktninger, hovedsakelig fra Ukraina. Det meste pågikk via nett-systemer.

Plutselig kom hun ikke inn i e-posten, og heller ikke i webbasert arbeidsverktøy. «Nå er det noe som henger her», sa hun til sjefen.

– Vi tøysa litt på kontoret da vi fikk vite hva som hadde skjedd. Vi er jo nærme Russland.

TØYSET: På kontoret til Silje Ærø har de tullet mye med innbruddet.

TØYSET: På kontoret til Silje Ærø har de tullet mye med innbruddet.

Kathrine Geard

Vanlig jobbprosedyre er å dokumentere med referater og vedtak. Det fikk ikke Ærø og kolleger gjort en periode etter angrepet.

– Når vi leter etter noe i papirene i arkivene kan vi se at det ikke er registrert noe fra denne perioden, det har oppstått hull. Noe informasjon har gått tapt.

 

Stadig mer alvor

Alle kommuneansatte måtte bytte passord umiddelbart etter angrepet.

– Vi har gjort masse mer, men hva skal ingen vite, fastslår IT-sjef Andreassen.

Kommunedirektør Lystad har anslått kostnaden for angrepet til mellom tre og fire millioner kroner, bare på IT.

– Sikkerheten skal være på det beste nivået, samtidig skal den ikke skape trøbbel for de ansatte, sier Lystad.

I slutten av mai stengte regjeringen grensa mot Russland på Storskog i Finnmark for russiske turister.

Russlands angrepskrig i Ukraina påvirker trusselbildet i Norge, og bidrar til å skjerpe etterretningstrusselen fra Russland, skriver Politiets sikkerhetstjeneste (PST) i «Nasjonal trusselvurdering 2024».

Samtidig gjør Norges NATO-medlemskap og grensa mot Russland at landet vil bruke etterretningstjenestene mot norske mål i overskuelig framtid, heter det.

I Vadsø er IT-sjefen opptatt av kommunens vedvarende kamp for beskyttelse mot hackere.

– Bare fra i fjor til i år har det blitt mer alvorlig ute på nett. Det er absurd alt som skjer, og kan skje, med kunstig intelligens.

– Hvis noen naboer vil lage et helvete, er det fullt mulig. Det kan skje igjen samme hvor god sikkerhet det er.

 

Vadsø kommune:

• Vadsø er en by i Finnmark, med 5796 innbyggere (første kvartal 2024).

• Ligger på sørsiden av Varangerhalvøya, og strekker seg inn til Jakobselvvidda.

• De tjenesteytende næringene betyr i dag mer for sysselsettingen enn jordbruk, fiske og industri til sammen, særlig fordi kommunen er sete for fylkeskommunen og statsforvalteren. 

(kilde: snl.no/SSB)

Ansvarlig redaktør:
Eva Ler Nilsen
Redaksjonssjef:
Michael Brøndbo

Nettredaktør:
Knut A. Nygaard
Utviklingsredaktør:
Vidar Eriksen
Utgiver:
Fagforbundet
Kontakt redaksjonen:
tips@ignore-fagbladet.no
Annonser:
Salgsfabrikken
Sosiale medier:
FacebookTwitter
RSS:
RSS-feed
Telefon:
23 06 40 00
Adresse:
Møllergata 10, 0179 Oslo
Fagbladet er medlem av Fagpressen og redigeres etter: RedaktørplakatenVær Varsom-plakatenEtiske husregler Les også: Fagbladets personvernpolicy
BLE HACKET: Vadsø kommune ble hacket.

BLE HACKET: Vadsø kommune ble hacket.

Kathrine Geard

Kathrine Geard

vigdis.alver@fagbladet.no

{O}

Kathrine Geard

{/o}

Februarmørket pakker inn Vadsø når kommunedirektør Jarle Lystad (43) rusler hjemmefra til kontoret på rådhuset.

Han er fortsatt ny i jobben etter fire måneder, men dagen føles helt vanlig når han sitter ved PC-en før møtet i formannskapet. 

Omtrent samtidig kommer IT-sjef Eirik Andreassen (56) på jobb. Som vanlig sjekker han rutinemessig de digitale loggene.

Straks ser han at noe ikke er som det skal være.

Etter noen minutter ringer mobilen. Det eksterne sikkerhetsselskapet har et varsel fra natta:

«Dere har hatt ubudne gjester» er beskjeden. 

Stenger internett

IT-sjefen kontakter raskt kommunedirektør Lystad. 

– Hvor alvorlig er dette, tenkte jeg.

STENGTE: Vadsø kommune måtte stenge internettet.

STENGTE: Vadsø kommune måtte stenge internettet.

Kathrine Geard

Så stenges internett, og kommunedirektøren setter krisestab.

– I minnedumpene fant vi spor etter en trussel-aktør som sympatiserer med land i øst. Dette har vi delt med politiet og Kripos, sier IT-sjef Andreassen.

 

Mye peker østover

Sporene peker mot en gruppe som driver med datainnbrudd og pengeutpressing ved hjelp av løsepengevirus, ifølge medier. Blant annet NRK.

Denne gruppa skal støtte Russlands annektering av Krim, og skal ha angrepet flere vestlige institusjoner.

Politiet henla angrepet i Vadsø.

VADSØ: I den lille kommunen kan man se over til Russland.

VADSØ: I den lille kommunen kan man se over til Russland.

Kathrine Geard

Det har gått over 15 måneder siden dataangrepet, og nå sitter IT-sjef Andreassen sammen med kommunedirektør Lystad ved møtebordet på hans kontor. Rullegardiner stenger skarpt sollys ute.

Få kilometer unna ligger Etterretningstjenestens stasjon i Vadsø. På den andre siden av den mektige Varangerfjorden er riksgrensa mot Russland.

Ved møtebordet gjør IT-sjefen det klart at han ikke skal fotograferes, av sikkerhetsmessige årsaker.

– Slik trusselsituasjonen er i dag, skal vi i IT være anonyme, vi kan lett miste identiteten. Vi skal ikke fronte kommunen.  

Flere systemer nede i månedsvis

Lystad og Andreassen tar oss tilbake til 2. februar 2023, og tiden etter at kommunen mistet tilgjengelighet på grunn av hackerangrepet.

Hackerne kom seg inn via et revisorfirma utenfor kommunen, der bruker hadde blitt overtatt. Inntrengerne forsøkte å etablere seg inne i kommunens systemer.

REAGERTE: Kommunedirektør Jarle Lystad satte krisestab raskt etter at hackerangrepet ble oppdaget.

REAGERTE: Kommunedirektør Jarle Lystad satte krisestab raskt etter at hackerangrepet ble oppdaget.

Kathrine Geard

Noen systemer lå nede i seks til sju måneder, samtidig pågikk en gradvis gjenåpning. En internrapport lister opp hva som ble berørt umiddelbart etter at internett måtte stenges, blant annet dette:

Kommunal e-post virket ikke, ingen i kommunen kunne motta henvendelser utenfra. Leger mistet tilgang til pasientjournaler, e-resepter kunne ikke skrives ut. Barnevernet kunne ikke motta bekymringsmeldinger og varsler. Hjemmesykepleien mistet tilgang til nettbrett, trygghetsalarmer mistet tilkoblingen.

Angrepet traff alle virksomheter som var koblet opp mot kommunens digitale systemer, inkludert vann -og avløpssystemet og blant annet Vadsø Havn. Også kommunens beredskapsplan var lagret digitalt, men det fantes en papirkopi.

Fikk tak i krypterte passord

– Hackerne kom seg inn i systemet vårt, de hadde begynt å få tilganger og å se seg rundt. Men vi fikk stanset tilgangen raskt, opplyser Andreassen.

– Den eneste fila vi vet med sikkerhet at de har klart å ta ut, er den som inneholdt krypterte passord og brukernavn.

Det ble startet en intens jakt på inntrengere, et enormt arbeid med systemene som skulle sikres, og en omfattende jobb med både intern og ekstern informasjon.

Etterarbeidet pågikk i månedsvis, og fortsatt dukker ting opp – også denne dagen har IT-sjefen fikset noe.

– Vi har brukt enormt med tid.

I samme periode som Vadsø fikk uønsket besøk, ble også flere andre kommuner og bedrifter i Finnmark forsøkt utsatt for datainnbrudd, har NRK meldt tidligere. Flere andre kommuner valgte også å stenge ned systemer i frykt for angrep.

– Ville kreve løsepenger

I januar 2021 ble Østre Toten kommune lammet etter et svært omfattende dataangrep der det ble krevd løsepenger. Kostnaden ble i etterkant estimert til på cirka 30 millioner kroner.

Kommunedirektør Lystad forteller at tankene raskt gikk dit, han kjente til det alvorlige utfallet i Østre Toten både fra media og seminarer.

– Hypotesen er jo at hackerne ønsket informasjon nok til å kreve løsepenger også her.

– Men hos oss ble det et alvorlig angrep som ikke lyktes, fordi vi oppdaget det tidlig, oppsummerer han nå.

TILBAKE I TID: Da systemene i kommunen ble stengt måtte Eli Baso benytte seg av blant annet post for å få ut informasjon.

TILBAKE I TID: Da systemene i kommunen ble stengt måtte Eli Baso benytte seg av blant annet post for å få ut informasjon.

Kathrine Geard

I samme etasje som kommunedirektøren har HR-konsulent Eli Baso (54) kontor. Hun jobber blant annet med lederstøtte og ansettelser. Mye av dette skjer via nett.

Hun forteller at hun morgenen hackingen ble oppdaget ikke merket noe annet enn litt «skurr» på nettet.

Så kom den første beskjeden til de ansatte:

«Internett er ute av drift på grunn av en hendelse. Alle interne fagsystemer fungerer som normalt».

Dermed måtte man over til gamle systemer, og alt måtte sendes via post.

Frykter uvedkommende

Baso jobber med personalsaker og personopplysninger, og frykten var der for at uvedkommende skulle få tak i disse.

– Er det noen innenfor her? tenkte jeg, før vi fikk mer informasjon og visste det var stanset.

– Jeg fikk liksom en følelse av at noen kunne se hva jeg gjorde når jeg satt foran skjermen.

Ikke lenge etter datainnbruddet skulle det være kommunestyremøte. Gøril Samuelsen (52) er politisk sekretær, med ansvar for blant annet møteinnkallelser. Uten tilgang til e-post, måtte møteinnkallelser sendes ut via sms fra Samuelsen sin private telefon.

Kathrine Geard

– Hvis ikke jeg hadde kunne bruke den, ville jeg kjørt rundt til alle med papirene.

Det var begrensninger i alle systemer en tid, og alle fikk utfordringer i jobben.

– Vi har nærheten til Russland, men jeg graver meg ikke ned i bekymringer, når jeg ikke kan gjøre noe med det. Men ofte er det ikke en god følelse ofte når vi ser på nyhetene.

«Patruljerte» mellom besøk

Helsefagarbeider Eivind Berg (29) i hjemmesykepleien forteller om kveldsvakta her på Helsehuset da han intetanende om dataangrepet gikk opp trappa til lokalene i andre etasje.

 – Jeg ble helt tatt på senga, hadde jo verken hørt eller lest noe i lokalavisa før jobb.

Han fikk en rar følelse, om noe som var skremmende.

– Jeg tenkte først at det kunne være russisk. Men det er slikt man ikke vet.

SJOKK: Eivind Berg forstod ikke noe da han kom på vakt etter dataangrepet.

SJOKK: Eivind Berg forstod ikke noe da han kom på vakt etter dataangrepet.

Kathrine Geard

Vanlige arbeidsverktøy som iPad virket ikke, og huskelapper over arbeidsoppgaver og spesielle hendelser hos beboere måtte letes fram på annet vis og skrives ut på papir.

Verst var tanken på at trygghetsalarmene til brukere ikke fungerte.

– Tenk hvis noen faller, tenkte jeg, og blir liggende uten hjelp. Jeg husker at vi «patruljerte» ekstra mellom besøkene.

«Noe henger her»

Februardagen da dataangrepet traff, var Silje Ærø (36) på jobb på kontoret sitt på Nav. Hun hadde en travel jobbeperiode som veileder i jobb med flyktninger, hovedsakelig fra Ukraina. Det meste pågikk via nett-systemer.

Plutselig kom hun ikke inn i e-posten, og heller ikke i webbasert arbeidsverktøy. «Nå er det noe som henger her», sa hun til sjefen.

– Vi tøysa litt på kontoret da vi fikk vite hva som hadde skjedd. Vi er jo nærme Russland.

TØYSET: På kontoret til Silje Ærø har de tullet mye med innbruddet.

TØYSET: På kontoret til Silje Ærø har de tullet mye med innbruddet.

Kathrine Geard

Vanlig jobbprosedyre er å dokumentere med referater og vedtak. Det fikk ikke Ærø og kolleger gjort en periode etter angrepet.

– Når vi leter etter noe i papirene i arkivene kan vi se at det ikke er registrert noe fra denne perioden, det har oppstått hull. Noe informasjon har gått tapt.

 

Stadig mer alvor

Alle kommuneansatte måtte bytte passord umiddelbart etter angrepet.

– Vi har gjort masse mer, men hva skal ingen vite, fastslår IT-sjef Andreassen.

Kommunedirektør Lystad har anslått kostnaden for angrepet til mellom tre og fire millioner kroner, bare på IT.

– Sikkerheten skal være på det beste nivået, samtidig skal den ikke skape trøbbel for de ansatte, sier Lystad.

I slutten av mai stengte regjeringen grensa mot Russland på Storskog i Finnmark for russiske turister.

Russlands angrepskrig i Ukraina påvirker trusselbildet i Norge, og bidrar til å skjerpe etterretningstrusselen fra Russland, skriver Politiets sikkerhetstjeneste (PST) i «Nasjonal trusselvurdering 2024».

Samtidig gjør Norges NATO-medlemskap og grensa mot Russland at landet vil bruke etterretningstjenestene mot norske mål i overskuelig framtid, heter det.

I Vadsø er IT-sjefen opptatt av kommunens vedvarende kamp for beskyttelse mot hackere.

– Bare fra i fjor til i år har det blitt mer alvorlig ute på nett. Det er absurd alt som skjer, og kan skje, med kunstig intelligens.

– Hvis noen naboer vil lage et helvete, er det fullt mulig. Det kan skje igjen samme hvor god sikkerhet det er.

 

Vadsø kommune:

• Vadsø er en by i Finnmark, med 5796 innbyggere (første kvartal 2024).

• Ligger på sørsiden av Varangerhalvøya, og strekker seg inn til Jakobselvvidda.

• De tjenesteytende næringene betyr i dag mer for sysselsettingen enn jordbruk, fiske og industri til sammen, særlig fordi kommunen er sete for fylkeskommunen og statsforvalteren. 

(kilde: snl.no/SSB)