På fredagsmorgonen är stadsdirektör Christoffer Masar i Grankulla lättad över att e-posten som legat nere i en hel vecka äntligen är återställd. Men fortfarande vet ingen varför just Grankulla angreps, vem it-brottslingen är och skadornas slutliga konsekvenser.

Klart är att den omedelbara notan går lös på tiotusentals euro. 

Christoffer Masar, varför tog det en hel vecka för e-posten att fungera igen?

– Orsaken till att det dragit ut på tiden är att vi inte längre vågade lägga ut den gamla e-postservern på nätet. Vi kommer alltså aldrig mer att ta den i bruk utan måste bygga upp en helt ny server – med bygga upp menar jag teknisk planering och konstruktion. Trots att vi har anlitat utomstående experter har vi ännu heller inte lyckats komma underfund med vem det är som har gjort precis vad. 

Läs mera: Grankullas e-post fortfarande nedstängd

Vad försökte brottslingarna komma över? Vilket var syftet tror du?

– Det kan vi inte ännu med säkerhet säga. Vanligtvis strävar förövarna efter en eller annan form av ekonomisk nytta, men vi vet helt enkelt inte ännu. Vi samarbetar med kunniga aktörer som på alla sätt jobbar på att bilda sig en uppfattning om vad det egentligen var frågan om.

Christoffer Masar är stadsdirektör i Grankulla.

Vill du berätta vem era samarbetspartner är?

– Vi har några olika it-firmor vi har använt men vi vill inte gå ut med namnen. Det kan nämligen ha en viss betydelse för utredningen. Senare, när det inte längre är en riskfaktor för oss, så är vi så öppna som möjligt. Det är vi också nu förstås.

– Vissa saker sköter vi själva och allt mer köper vi av andra. Granis e-postserver sköts av en utomstående i andra utrymmen än Granis, det kan jag berätta.

Kännetecknande för cyberattacker är visst att de blir dyra att fixa?

– Ja, det stämmer. Notan kommer att röra sig kring minst tiotusentals euro, inte tusentals. Och då är det frågan om de direkta kostnaderna. Om vi får stå för räkningen själva eller om vi kan få något från försäkringen – eller andra aktörer – blir en senare fråga att utreda.

Hur var kapet möjligt, var era anordningar otillräckligt skyddade?

– Vi har jobbat hårt de senaste åren på att förbättra vår cybersäkerhet. Men helt klart är det så att vi kunde ha gjort vissa saker ännu bättre för att förhindra angreppet. Samtidigt lär det vara så att en tillräckligt skicklig förövare är så gott som omöjlig att hindra. Nu ska vi i alla fall jobba hårt för att minska på risken för framtida attacker.

Enligt Cybersäkerhetscentret vid Transport- och kommunikationsverkets kan man dataintrång bli av med pengar, identitet, känslig information, nätuppkopplingen och – sitt rykte. Har Grankullas rykte blivit lidande?

– Helt säkert har vårt rykte fått sej en törn. När jag har deltagit i olika möten under den gångna veckan så är det första folk frågar ”hur går det med er e-post?” Men inte tror jag att staden i det långa loppet kommer att associeras med det här. Och alla jag mött har visat en viss förståelse för att en mindre organisation inte har det helt lätt när det gäller att gardera sej.

Det var telefonsamtal som gällde då Grankulla stads e-post slutade fungera.

Vad hände egentligen?

Vi vet fortfarande inte exakt vad som har häntm säger Christoffer Masar till Kommuntorget.

– På torsdagseftermiddagen förra veckan började det på väldigt kort tid komma en mängd e-post till våra egna anställda med kauniainen.fi-adresser från andra inom organisationen. Mycket snabbt därefter började det komma samtal från andra kommuner och myndigheter att ”vad skickar ni riktigt för skräp åt oss”? Då förstod vi att något var på tok.

– Först trodde vi det var något enstaka enskilt konton någon kapat, men ganska snart förstod vi att någon utomstående har kommit åt hela vår e-postserver. Då blev vi ganska så chockade.

Vad gjorde ni då?

– Ganska snabbt – redan samma kväll – drog vi slutsatsen att vi måste köra ner e-postservern genast. Vi bröt på det sättet den tekniska kontakten mellan servern och yttervärlden med omedelbar verkan. Det betydde att Grankulla stad inte kunde ta emot eller skicka ut någon e-post. Och att spammen inte längre kunde skickas ut.

– Följande dag gjorde vi en polisanmälan och anmälan till dataskyddsombudsmannen. I början var det oklart om också andra datasystem och personuppgifter hade kapats. Nu är vår uppfattning för tillfället att det bara är e-posten och inga andra system som hälsovårdens Maisa eller skolsystemet Wilma som utsatts.

– Det är en jättetur för annars skulle det ha varit mycket mer allvarligt. Jobbigt har det förstås i alla fall varit; alla vet hur viktig e-posten är i dagens värld, speciellt i kommunikationen utåt.

Vilka andra system har ni använt under veckan?

– Tur i oturen är att vi under pandemitiden har börjat använda speciellt Teams mycket. Så vi hade redan före angreppet bildat många Teams-grupper, bland annat en för att sköta kommunikationen. Via den gruppen kom vi snabbt överens om hur vi kommunicerar internt och extern. Den delen har gått bra, Vi har fått vara innovativa och exempelvis satt ut listor till våra förtroendevalda via Finder, och använt WA och telefoner.  

Kan man tala om en förlorad vecka i form av försvunna e-poster?

– Ja, till viss del är det korrekt. I första hand kommer vi nu att kunna ta emot och skicka e-post igen. Och sen på lite längre sikt får vi åtminstone största delen av arkiven tillbaka. Problemet är att den epost som har skickats inte längre finns, den har försvunnit. Det kan ha kommit något vi aldrig får vet om, vi vet helt enkelt inte vilken viktig kommunikation som har gått förlorad. Vi kommer att lösa det genom att samarbeta med våra kommungrannar som kanske kan bistå med ”paket” på sånt som har skickats från exempelvis ministerierna om huvudstadsregionen.

– Om Grankullaborna har varit i kontakt så har de fått ett felmeddelande så det är kanske inte så farligt. De har kunnat ringa eller besöka oss.  

Vad menar du med att arkiven kommer att återfås?

– Vi har en stor del av all korrespondens och alla avtal säkerhetskopierade och det får tillbaka men det tar en tid. Vårt system har gjort back-up kopior på e-postservern med några dagars mellanrum. Men det kan hända att vi förlorat någon dag, till exempel torsdag och fredag. Förr fanns det alla möjliga tjocka mappar i förråden med telex-, fax- och utskriftspapper. Vad har man till pappers nuförtiden?

Christoffer Masar berättar att det finns bara några få kommuner som har tillstånd att bara ha helt digitala arkiv” och vi är inte en av dem.

– De viktigaste dokumenten har vi därför i ett pappersarkiv. Undertecknade avtal om upphandlingar, till exempel. De finns aldrig enbart i e-posten trots elektroniska underskrifter. Också bland e-post så är ju idén att den ska skicka till registraturen så att den inte bara ska bli i en enskild tjänstepersons system.

Ändrade sig arbetsrutinerna under den här veckan utan mejl?

– Ja, det gjorde de verkligen! En stor del av dagen brukar gå åt till att läsa och skriva e-post och nu gick tiden åt till andra system. Teams blev helt klart den viktigaste kommunikationskanalen.

– Handlederna har varit riktigt ömma på kvällarna när jag skrivit så mycket med telefonen i Whatsapp och andra system. Problemet var också de många olika systemen: Ibland fick jag info om något i en textare, sedan i Teams och olika WA-grupper – jag använde mycket tid till att söka fram något, att ”vänta nu vem var det och var det?’”

– En egen historia var att hålla reda på möten varje dag. Vår elektroniska kalender med tidigare bokningar fungerade men man kunde inte göra några nya bokningar. Vi har sen haft olika, personliga hybridmodeller. Jag hade vissa möten noterade i e-kalendern och andra på post-it-lappar, det fungerade ju inte alltid klockrent.

– En del av personalen var lyckligt lottade, nämligen de som tidigare fått höra lite skälmskt att ’”har du ännu den där papperskalendern”? Men nu har de varit nöjda och utbrustit att ”vad var det jag sa”! Det är inte helt illa att vara gammalmodig.

Har Grankulla nu blivit berömd för det här it-caset?

– Det är inget vi är glada över, men vår it-chef redan blivit ombedd att komma och hålla anföranden på konferenser. Vad hände? Hur reagerade vi? Vi har fått beröm för hur vi reagerade i den utmanande situationen och det har jag varit nöjd med. Nu försöker vi ta reda på vad som brast.

Är du överraskad över att du som stadsdirektör nu har tvingats ge sådana här intervjuer till medierna och Kommuntorget?

– Överraskad och överraskad, nu visste man att det finns en risk att något sådant här kan hända. Det är svårt att säga om angreppet har med Ukraina-läget att göra eller inte. Förra veckan när det här började sade vår it-chef att ”inte så illa förutspått av dig under vårt förra månadsmötet!”   

Inte första gången

Jari Ylikoski, specialsakkunnig vid Kommunförbundet vid en enhet som rådger kommuner ibland annat digital arkitektur. Vad säger du om motivet till cyberattacken mot Grankulla?

– Jag tror inte att den här kaparen var ute efter ekonomisk vinning utan snarare uppmärksamhet och eventuellt ville man också destabilisera samhället och skapa oro som i slutändan kan leda till minskat förtroende för myndigheterna. Det finns en reell risk att man inte någonsin får reda på förövarens identitet eller motiv.

Har en kommun i Finland tidigare attackerats på det här sättet?

– Den allvarligaste attacken skedde för tre år sedan. Sommaren 2019 fanns det tre stora fall, man talade om LKP-fenomenet enligt de tre angripna städerna Lahtis, Kokemäki och Björneborg (P för Pori i förkortningen på finska). Den största av de här tre städerna, Lahtis, drabbades värst av serviceavbrottet ekonomiskt.

Kan en kommun skydda sig till hundra procent?

– Nej, tyvärr. De digitala infrastrukturerna är så sårbara att det inte går att skapa en helt tät, ogenomträngbar organisation. Så pass otäckt proffsiga och kunniga är förövarna nuförtiden. Men det betyder inte att man inte ska göra sitt yttersta för att får till en så maximalt säker cyberorganisation som möjligt. Man kan öva sig på hur man handskas med ett angrepp om man råkar ut för ett.

Läs mer (på finska) om LKP-angreppet här.