Datatilsynet indstiller hacket advokatfirma til kæmpebøde

14. juli kl. 15:335
Datatilsynet
Datatilsynets domicil i Valby. Illustration: Datatilsynet.
Da advokatfirmaet Sirius i 2020 blev ramt af et hackerangreb manglede virksomhedens it-systemer »helt grundlæggende sikkerhedsforanstaltninger.«
Artiklen er ældre end 30 dage

Den københavnske advokatvirksomhed Sirius er netop blevet indstillet til en bøde på 500.000 kr.

Det sker efter et succesfuldt hackerangreb mod virksomheden tilbage i 2020, og der lader umiddelbart til at være tale om et ransomware angreb, idet Datatilsynet i en pressemeddelelse beskriver, at hackerne ikke blot fik adgang, men også »krypterede advokatfirmaets servere, som indeholdt oplysninger om virksomhedens klienter og modparter.«

Af pressemeddelelsen fremgår det også, at hackerne lykkedes med angrebet, fordi der manglede »grundlæggende sikkerhedsforanstaltninger ved opsætning af fjernadgang til virksomhedens it-systemer.«

Det skabte en alvorlig risiko for, at hackerne dermed fik adgang til personoplysninger af særlig beskyttelsesværdig karakter.

Artiklen fortsætter efter annoncen

»Advokatfirmaer behandler i sagens natur mange oplysninger, som kræver en særlig beskyttelse. I dette tilfælde har SIRIUS advokater manglet basale sikkerhedsforanstaltninger, og det betød desværre, at bl.a. klienternes oplysninger blev kompromitteret. Man kan ikke gardere sig 100 % mod hackerangreb, men reglerne i GDPR kræver, at man gør en indsats for at undgå det, der svarer til risikoen,« siger Betty Husted, fuldmægtig i Datatilsynet.

Politianmeldelse og stor bøde

Nu har Datatilsynet så truffet afgørelse om at indstille Sirius til en bøde på 500.000 kr. Der er dermed tale om en ganske stor bøde i GDPR-brudssammenhæng.

Læs mere her: Fra anmeldelse til kæmpebøde: Det sker der efter GDPR-brud

Den største bøde hidtil lød på 10 mio. kr. og gik i april i år til Danske Bank for ikke at have slettet personoplysninger i overensstemmelse med databeskyttelsesreglerne.

Med bødeindstillingen følger også en politianmeldelse af Sirius. Datatilsynet har derfor ikke mulighed for at kommentere yderligere på sagen, men skriver videre i pressemeddelelsen, at bødestørrelsen skyldes at man blandt har lagt vægt på overtrædelsens karakter og alvor, men også at Sirius på tidspunktet for angrebet faktisk var i gang med at implementere multifaktor-autentifikation.

Voksende problem

Det er ikke kun Sirius, der har været udsat for krypteringsangreb. Generelt er der tale om et stigende problem.
Alene den seneste måned er mindst to danske virksomheder blevet ramt af ransomware-angreb, nemlig undertøjsvirksomheden JBS og Lokaltog A/S, der driver seks lokalbaner på Sjælland.

For begge virksomheders vedkommende har angrebene haft den konsekvens at virksomhedens data er blevet lagt til fri skue på mørkenettet, hvilket ikke er ualmindeligt når virksomheder enten ikke kan eller vil betale løsesum til hackerne.

Hvad konsekvenserne af angrebet har været for Sirius og deres klienter, og om hackerne har stillet krav om løsesum, vides ikke.

Version2 forsøger at få en kommentar fra advokathuset Sirius.

5 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
5
5. august kl. 13:56

Ja, man kan undre sig over, at vi ikke har IT-havarikommision. Det kunne være interessant om Ingeniørens journalister bed sig fast i emnet og konfronterede de ansvarlige for, at vi ikke forlængst har fået en. Hvem vinder ved, at den ene IT-skandale efter den anden får lov til at udvikle sig, uden at man forsøger at uddrage læren ?

2
19. juli kl. 04:12

Umiddelbart en tilfredsstillelse i at man så småt begynder at håndhæve GDPR i danmark. Juridisk kunne jeg dog godt have ønsket mig en erstatningspligt for videregive/stjålne/solgte privat oplysninger i stedet. havde en virksomhed solgt 10000 adresser skulle det eks. kompenseres med 20 kr per bruger/adresse 200000kr var mail adresse med 20kr, navn 20kr, tlf. 20kr., billede 20kr.

Så ville der være en direkte kompensation til brugeren, samt en afskrækkende effekt for at tage oplysninger uden sammentygge.

Grunden er at jeg ikke tror på modelen med at IT-sikkerhed kan styres med compliance til Brussel. Det handler også om tid/fokus og ikke bare checkpoints.

3
21. juli kl. 13:13

Hvordan vil kompensation på ca. 100 kr. hjælpe mig, hvis mine stamdata (Navn, adresse, telefon og mail) er blevet stjålet?

En kompensation skal helst kunne bruges til at afhjælpe de konsekvenser datatabet har haft for den hvis data er stjålet, men hvis data allerede ER offentligt tilgængelige, hvilken skade skal der så kompenseres for?

Stamdata er for de flestes vedkommende nemme at finde, da ca. 2/3 af alle telefonkunder f.eks. står i telefonbogen med navn og adresse. De fleste har også et profilbillede eller 10 på facebook/linkedin/mfl.

Er det rimeligt at man som virksomhed skal kompensere kunder for tab af data, der i forvejen er offentligt tilgængelige? Hvilken skade har vedkommende der skal kompenseres reelt lidt?

Øvrige data kan vi altid tage en snak om senere, men du vælger at lægge vægt udelukkende på stamdata, som jeg dog vil mene er de MINDST kritiske data for de flestes vedkommende. Nu har jeg ikke undersøgt hvilke slags sager Sirius behandler, men er der tale om f.eks. familiesager eller straffesager, kan konsekvenserne af detaljer om sagerne kommer ud, være langt større end at andre kan se navn, adresse og telefonnummer.

4
21. juli kl. 15:08

Det har du ret i, det var også meget fiktivt. Det jeg måske advokerer lidt for, er at disse bøder nødigt skulle gå hen og blive en skattekilde (når bøderne runder 500 mio Euro eller mere), men gerne skulle afspejle tab for ofrene og en rimelig kompensation til disse.

1
18. juli kl. 23:02

Hvis en uafhængig IT-Havarikommission havde skrevet en rapport om præcis hvad det var der ikke var godt nok, kunne resten af branchen gå til deres IT-folk og sige "har vi ogs