”Vi har vaknat upp i en helt ny värld”
Inget fejk. Och med en rejäl portion ilska. ”Jag blev så förbannad”, säger Maria Henriksson, kommundirektören som stod stadigt i cyberstormen och vägrade förhandla med utpressarna som släckte ner Kalix. Nu hyllas hon som hjälte, men priset för livet som ledare har stundtals varit högt.
Klockan är 02.53 en decembermorgon strax före jul. Ett par-tre minusgrader i luften.
Hemtjänstens nattpatrull i Kalix är på väg ut, men det är något som inte stämmer.
Personalen tar sig inte in i systemen. Listorna över ruttplanering och medicinering går inte att komma åt. Människors liv och hälsa är i fara.
”Fast då alldeles i början var jag inte så orolig. Inte på allvar. För vi hade redan upplevt ett antal störningar under hösten, med krånglande e-post och liknande. Jag tänkte att det är nog bara något tillfälligt.”
Ett halvår senare.
Snödrivorna i Kalix har smält undan och ersatts av skiraste försommargrönska. Kommundirektören i Kalix, Maria Henriksson, blickar tillbaka mot vad som visade sig vara en cyberattack av episka mått. Vi träffas i hennes arbetsrum på kommunhuset.
”Klockan var väl tjugo i åtta när socialchefen Anna-Lena Andersson ringde upp. Vi skulle ha ledningsgrupp klockan nio. Men Anna-Lena var så pass tydlig med att det här inte var någon vanlig vajsing, att jag tänkte: Vi ställer in. Nu kallar vi till krisledningsgrupp i stället. Tills dess hann jag skicka ut ett uppdrag, hur ser det ut i organisationen just nu? Jag ville ha en ögonblicksbild av hur vi var påverkade redan då”, berättar Maria Henriksson om den ödesdigra morgonen den 16 december i fjol, som var inledningen till vad som bara kan kallas en chefs värsta mardröm.
Under veckor och månader stod Maria Henriksson längst fram i kampen mot den ansiktslösa cyberbrottsligheten, medan hon lotsade en stor organisation genom den ovisshet, förvirring och kris som hackarnas ransomware orsakade.
Allt från it-telefoni till skrivare, intranät och telefonväxel slogs ut eller fick släckas ner av säkerhetsskäl. Samma sak med den automatiserade värmen och ventilationen i kommunala fastigheter som äldreboenden och skolor, i ett läge då temperaturen lätt kan krypa ner till trettio minusgrader.
Hur kommunicerar man med 1 700 medarbetare utan vare sig mejl eller telefoni? Plötsligt kom papper och penna till heders igen. Personalen fick gräva fram scheman ur papperskorgar och anteckna hemtjänstrutter på gula post-it-lappar.
”Jag tror det är en läggningsfråga. Ju rörigare världen är, desto lugnare blir jag. Det skulle inte ha fungerat om jag gått i taket.”
”Det är i lägen som dessa man upptäcker vilken kapacitet människor har. Det är inte så att deras hjärnor upphör att fungera bara för att datorerna lägger av.”
Genom sin krishantering blev Maria Henriksson en symbol för den lilla människans kamp mot en illasinnad cyber-Goliat. Kalix placerades ”på kartan” på ett sätt som varken turistbyrån eller någon annan i det lilla samhället vid älvmynningen mot Bottenviken velat eller kunnat föreställa sig.
Det har kostat på.
Maria Henrikssons världsbild är förändrad.
”Vi har vaknat upp i en helt ny värld. Vi trodde kanske att vi inte var så intressanta för cyberutpressare. Jag menar, en stackars kommun, offentlig verksamhet, här finns inte särskilt mycket pengar. Jag tror vi har varit … jo, lite naiva. Jag känner inte samma trygghet som tidigare. Och fortfarande har jag inte fått alla svar”, säger Maria Henriksson.
Att det var frågan om just utpressning stod klart sedan it-teknikerna tagit emot ett hotfullt meddelande via en av kommunens servrar, som Maria Henriksson tog del av.
”Budskapet var formulerat på engelska och gick ut på att hackerattacken inte är något personligt. Utan en ren affärsuppgörelse: Bara vi betalade skulle de hjälpa oss ur det här.”
Din reaktion?
”Motsatt avsedd verkan. Utpressningsbrevet blev som bränsle för oss. Jag blev så förbannad: Det är klart att man tar det här personligt. När de förstör så här mycket, när det finns folk som kan dö på grund av vad de gör. Inte för ett ögonblick övervägde vi att betala ut någon lösensumma.”
”Under tre månader levde, tänkte och pratade jag oavbrutet om följderna av it-attacken, var ständigt tillgänglig på telefon – det är kanske inte rimligt, under så pass lång tid.”
Exakt hur mycket pengar som utpressarna krävde för att låsa upp systemen vet inte Maria Henriksson. Hon och kommunen klickade sig aldrig vidare till det betalningsformulär som cyberutpressarna skickat ut. Men enligt experter kan det ha handlat om 10–15 miljoner kronor.
Under det första krisledningsstabsmötet i kommunhusets ”war room” var det viktigaste verktyget en tio meter lång whiteboardtavla som Maria Henriksson visar upp på en bild.
”Visst ser det jättefånigt ut? Men det var tack vare den här strukturen som det aldrig blev kaos. På tavlan fyllde vi på med information under rubriker som Händelse, Åtgärder på kort och lång sikt, Resurs, Informationsplan och Arbetsplan. Ett vanligt stabsarbete, fast manuellt – ingen av oss kom ju åt någon uppkopplad dator.”
Läget var alltså kritiskt, men ändå inte helt obekant:
”Du ska komma ihåg att vi inte bara har övat krisledning skarpt, utan faktiskt fortfarande befann oss i en pandemi, där vi under lång tid fått förhålla oss till frågor om liv och död hela tiden. Det fanns alltså redan upparbetade rutiner kring resursfördelning och att inte tänka i ’stuprör’. Alla hjälptes åt. Det var samarbete som gällde. Prioriteringsordningen var Liv, Demokrati, Ekonomi. Det kan verka som en liten sak i sammanhanget, men frågan om hur vi skulle få ut våra medarbetares löner var ett av de största orosmolnen. Vi befann oss bara några dagar före jul och att som enskild människa i det läget stå utan pengar kan närmast vara liktydigt med katastrof. Lönerna var en viktig symbolfråga, som våra arbetsgrupper jobbade dygnet runt med under flera dagar”, säger Maria Henriksson.
Lösningen blev att med hjälp av en fil från programleverantören fiska fram uppgifterna om novemberlönerna, som betalades ut via banken en gång till.
Samtidigt jobbade kommunens it-tekniker med att undersöka allt material som säkerhetskopierats före attacken – backupen. Den visade sig vara oskadd, och i den änden inleddes det långa och mödosamma arbetet med att ta sig tillbaka.
MARIA HENRIKSSON
Gör: Kommundirektör i Kalix.
Bor: I ett Per Albin-torp som farföräldrarna byggde 1926, i Svartbyn där hon också växte upp.
Ålder: 56 år.
Familj: Gift, tre vuxna barn, fyra barnbarn.
Fritid: Musik, körsång, hundar, odling. ”Jag brukar ordna någon musikkväll då och då, tillsammans med min dotter. Hon kan sjunga! Själv sjunger jag inte så där jättebra. Men det gör väl inte Håkan Hellström heller …”
Karriär i korthet: Civilekonom. Projektledare Kunskapslyftet i Överkalix i fyra år, därefter kommunchef i samma kommun under 14 år. Sedan 2016 kommundirektör i Kalix.
Hur lyckades du behålla ditt lugn?
”Jag tror det är en läggningsfråga. Ju rörigare världen är, desto lugnare blir jag. Det skulle inte ha fungerat om jag gått i taket.”
Information var en betydande del av krishanteringen.
I stället för att mörka och ligga lågt, den vanligaste strategin bland andra organisationer som drabbas av hackerattacker, valde Maria Henriksson och Kalix kommun full transparens.
Under dagliga presskonferenser i både sociala och traditionella medier berättade hon och informationschefen Reine Sundqvist så utförligt som möjligt om cyberangreppet och dess verkningar, utan att för den skull störa polisutredningen. Under några veckor var Maria Henriksson en av Sveriges mest omskrivna personer.
”Vi valde öppenheten därför att ’tant Agda’ inte skulle ligga och dö. Våra äldre skulle veta att om hemtjänsten inte kom, fanns ett nummer att ringa. Media blev vår vän, som hjälpte oss att minimera krisen och få medborgarna att känna sig trygga.”
Hon såg också ett annat skäl till att inte ansluta sig till det hemlighetsmakeri som är cyberutpressarnas signum.
”De trivs ju inte i ljuset. Tigande vore att ge efter, ett stöttande av brottslig handling”, menar Maria Henriksson.
Hon fortsätter:
”Jag blev förvånad över det mediala genomslaget. Men jag försökte aldrig att skapa någon mediebild, utan var bara mig själv. I min roll som chef och företrädare för kommunen. Genom att enkelt förklara läget, hur det var och vad vi gjorde, lyckades jag väl förmedla informationen så att den blev tillgänglig för alla.”
För en tid sedan utsågs Maria Henriksson till Årets mest inflytelserika person inom tech, en utmärkelse som delas ut av IDG och branschorganisationen Tech-Sverige.
Hon höll på att trilla av stolen av förvåning. Bland de andra nominerade fanns nämligen celebriteter som Ericsson-vd:n Börje Ekholm, Spotifys Daniel Ek och vice riksbankschefen, Cecilia Skingsley.
I motiveringen heter det att Maria Henriksson ”klev fram när det var som tuffast” och är ”en sann ledare som de flesta av oss skulle önska att vi vore eller hade att luta oss emot i svåra stunder. Som tog ansvar och stod upp för sina medarbetare och sin kommun när ransomware slog ut alla it-system mitt i vintern och som gav cybersäkerhet ett mänskligt ansikte. Med sitt rättframma agerande har hon gjort mer för att lyfta frågorna om it- och cybersäkerhet än de flesta.”
Vad säger man?
”Jag hade inte en tanke på att vinna. Tech är egentligen inte alls min bransch. Men jag är tagen och stolt över den fina motiveringen. Det här bekräftar att vår hantering har betydelse och kanske kan bidra till ett robustare Sverige. Mest stolt är jag över att utmärkelsen inte bygger på en enskild individs prestation, utan att vi inom kommunen gjort det här tillsammans som ett team”, säger Maria Henriksson, som också upplevt bakslag i sin karriär. Till sin stora besvikelse fick hon 2015 lämna sitt tidigare uppdrag som kommunchef i grannkommunen Överkalix.
”Visst, det blir ofta så när ett nytt politiskt styre tar över, att man vill peka ut en ny riktning genom att göra sig av med kommunchefer som anses vara förknippade med en tidigare majoritet – det är the name of the game. Ändå var det helt chockartat. Jobbet har alltid varit viktigt för mig och jag visste att jag hade gjort en bra insats som chef. Det var svårt att lämna människor jag tycker om och allt vi byggt upp tillsammans. Det var som att delta i sin egen begravning”, säger Maria Henriksson och syftar på alla medarbetare som med blommor i hand strömmade till för att stötta, trösta och tacka av.
En livskris?
”Icke. Visst var det tufft och jobbigt i stunden, men samtidigt något av det bästa som hänt mig. För jag fick tillfälle att göra något helt annat.”
Med avgångsvederlaget på fickan valde Maria Henriksson att gå Kyrkans basår, en kurs för sökande och troende som är intresserade av arbete inom Svenska kyrkan.
”Tänk dig, att efter att jobbat i 180, alltid varit i framkant som chef och utan tid att liksom vänta in sig själv, få flytta in på en folkhögskola bland alla sorters människor. Få läsa högintressant litteratur, prata livsfrågor som du aldrig annars tangerar, under professionell ledning. Men vid det laget hade jag fyllt 50 och att i den åldern läsa till präst kändes lite sent. Skulle jag bli diakon? Men så hade jag ett sådant jättebra samtal med en handledare där på skolan, en präst som pekade på möjligheten att göra gott och åstadkomma förändring precis överallt, var man än är. Han fick mig att tänka”, säger Maria Henriksson, som i dag inte har några planer på att överge sin återupptagna karriär som högsta kommunala tjänsteman.
Åklagaren har för länge sedan lagt ner brottsutredningen mot de cyberbrottslingar som attackerade Kalix, klart är att angreppet skedde på distans från utlandet men sedan tar spåren slut. Sammanlagt har kommunen tvingats lägga ut omkring 2,3 miljoner kronor på konsultinsatser och uppgradering av säkerhetssystemen, ett arbete som till viss del fortfarande pågår. På tre veckor skedde en större höjning av säkerhetsnivåerna än vad som annars var planerad på tre års sikt.
Så här i efterhand: Vad borde du ha gjort annorlunda?
”Under tre månader levde, tänkte och pratade jag oavbrutet om följderna av it-attacken, var ständigt tillgänglig på telefon – det är kanske inte rimligt, under så pass lång tid. Den trötthet jag till slut kom att känna har inte börjat släppa förrän nu. Nu gick det bra, men med facit i hand borde nog vi som var mest tillgängliga haft en tydligare plan kring delegering.”
Foto: Samuel Unéus
Så maxar du cybersäkerheten – Maria Henrikssons lärdomar från it-attacken
1) Identifiera svaga punkter.
”Se över lösenorden – det är nummer ett. Byt ut de svaga, ge personalen baskunskap om it och höj kompetensen över lag. Installera säkerhetsuppdateringar så fort det går, säkerhetskopiera, begränsa och skydda behörigheterna … Identifiera andra uppenbara risker i systemen, inte minst sådana som har med det myckna hemifrån-arbetet att göra. Hur ’tunnlar’ vi? Sedan kan man börja bena utifrån det.”
2) Lägg rätt budget.
”Antagligen kommer man i ett mer systematiskt it-säkerhetsarbete att upptäcka servrar som är så gamla att de inte längre går att uppdatera, och datorer i vilka ingen brytt sig om att köra säkerhetsprogram på åtta år. Kostnaderna för en uppgradering kommer att svida, så är det bara”, säger Maria Henriksson som i sin egen organisation räknar med uppåt tre gånger så stora kostnader för it-skydd som före cyberattacken.
3) Ha en plan.
”För att göra en så stor höjning av säkerhetsnivåerna som vi har gjort, gäller det att ha en plan – och helst inte kniven på strupen som i vårt fall”, säger Maria Henriksson som rekommenderar MSB:s checklistor för it-säkerhet som utgångspunkt.
Fortsätt läsa kostnadsfritt!
Vi behöver bara en minut…
Så roligt att du vill fortsätta läsa! Det får du strax göra, utan att betala något.
- Tillgång till våra låsta artiklar och webinar gratis!
Dina uppgifter delas aldrig med tredje part. Läs vår integritetspolicy här.