15. august i fjor begynte som en helt vanlig dag for IT-sjefene hos Posten Bring.



Så begynte alarmene å gå i de interne sikkerhetssystemene.

– Her var det en avansert trusselaktør inne, med en svært avansert skadevare, sier sikkerhetsdirektør Tore Orderløkken i Posten Bring.



Sammen med konserndirektør Morten Stødle delte han for første gang den dramatiske historien med offentligheten, under NSMs årlige sikkerhetskonferanse i Oslo onsdag.

Satte krisestab

Ledelsen i Posten Bring tok umiddelbart situasjonen på største alvor. Politiet ble varslet, og det ble satt krisestab.

– Vi har tjenester som er kritiske. Vi har Digipost, vi har hemmelige adresser, vi leverer til kritisk infrastruktur som Forsvaret, helse, olje og gass, sier Orderløkken.



Det var med andre ord mye som kunne gå galt. Derfor ble alle ressurser satt inn. Eksterne eksperter og leverandører ble hentet inn.

Det viste seg at inntrengerne mest sannsynlig var en såkalt APT41-gruppe som ikke er kjent for løsepengevirus eller sabotasje, men kartlegging.

Kinesiske spioner

Posten Bring ønsker ikke å spekulere om hvem som står bak gruppen eller motivene, men det er velkjent at APT41 knyttes til kinesiske myndigheter.

LETTEDE SJEFER: Morten Stødle (t.v.) og Tore Orderløkken fortalte om fire ukers hackingdrama. Foto: Kjetil H. Dale

– Det spesielle var at vi kunne følge med på dem live. Vi kunne se når de jobbet og når de ikke jobbet, sier Orderløkken.

Og legger til at inntrengerne stort sett jobbet på dagtid.

Selv om fienden var avslørt, tok det tid å få kontroll. Posten Bring overvåket situasjonen dag og natt, lørdag og søndag i hele fire uker.

– Hvorfor tok det så lang tid?

– Det ble en avveing mellom å sikre spor og skadepotensialet. sier Orderløkken til TV 2.

– Hvorfor kunne dere ikke bare kaste dem ut med en gang?

– Hvis du kaster ut en inntrenger og ikke gjenoppretter bakover, så kan skadevaren, som de la igjen, bli værende.

Dramatisk helg i september

Til slutt, etter fire uker, kom et dramatisk høydepunkt. Det var på tide å kaste ut inntrengeren. Helst en gang for alle.

– Vi satte i gang en voldsom operasjon, vi stengte hele Posten fredag klokken 23, forteller Orderløkken.

Dette var i midten av september.

Mandag var Posten oppe igjen. Da hadde 12.000 ansatte skiftet passord. Orderløkken og teamet hans hadde fjernet all skadevare, rensket opp – og de hadde monitorering på plass.



For alle regnet med at inntrengeren skulle prøve seg på nytt. Noe aktøren også gjorde. Flere ganger, helt frem til jul. Men nå var Posten Bring forberedt

– Har de kommet seg inn igjen?

– Nei.

– Fra konsernledelsens side så var det to ting som var helt kritisk, sier konserndirektør Morten Stødle.



– Det var å opprettholde normal drift. Og: Ledelsens største ansvar, sørge for at kundene våre og de tjenesten vi leverer til dem er trygge. At de ikke blir kompromittert.

Kostbart

Orderløkken erkjenner overfor TV 2 at hele operasjonen kostet mye penger.

– Ja, det er kostbart! Her får vi inn tredjeparter og sikkerhetsleverandører. Og vi får økte personellkostnader internt.

Total kom kostnadene på rundt 15 millioner kroner, opplyser Posten Bring.

Underveis måtte Posten Bring etablere egne skiftordninger, slik at det var ansatte på plass døgnet rundt. Det ble en belastning for alle involverte.

– Du sitter og ser på at det kan gå galt. Du sitter i en film som du ikke ønsker å være med på, sier Stødle.

Og legger til en observasjon som minner om en scene fra den siste Mission Impossible-filmen.

– Det er et stort tog som går og du er ikke interessert i at det toget skal tippe over kanten, det er et dilemma vi står oppe i hele tiden.

–Men så var det ikke Mission Impossible likevel?

– Nei, vi fikk jo kontroll på trusselaktøren, sier Orderløkken.

– Men i perioden når toget ruller, så er det en Mission Impossible der, du setter alle kluter til.

Hemmelighold

Mens dramatikken stod på var det om å gjøre for Posten Bring at så få mennesker som mulig fikk vite om hva som skjedde. Bare et begrenset antall mennesker var informert.

– Hvordan klarte dere å holde det hemmelig, spør programleder Siri Lill Mannes fra scenen i Oslo kongressenter.

– Vi har gått med posten i 375 år og har ikke for vane å åpne andres brev, det ligger i kulturen vår. Det var med å hjelpe oss til at vi fikk arbeidsro, sier Morten Stødle.

Hull i gammel applikasjon

Spionene kom seg inn i Postens system gjennom en applikasjon som tilhørte et av 200 datasystemer. Det gjeldende systemet skulle snart fases ut.

Det er dilemmaet for alle som jobber med datasikkerhet: Angriperen trenger bare ett hull.

Etter hendelsen har Stødle og Orderløkken ett råd til andre bedriftsledere;

– Vær mentalt forberedt.

Holde nullen

– Å være sikkerhetssjef høres nesten ut som å være fotballkeeper, det er ikke lett å holde nullen?

– Ja, det er liksom utfordringen er at det er et kontinuerlig arbeid, det vil alltid finnes veier inn, understreker Orderløkken.



– Det blir en straffekonk, ja!