Den københavnske advokatvirksomhed Sirius er netop blevet indstillet til en bøde på 500.000 kr.
Det sker efter et succesfuldt hackerangreb mod virksomheden tilbage i 2020, og der lader umiddelbart til at være tale om et ransomware angreb, idet Datatilsynet i en pressemeddelelse beskriver, at hackerne ikke blot fik adgang, men også »krypterede advokatfirmaets servere, som indeholdt oplysninger om virksomhedens klienter og modparter.«
Af pressemeddelelsen fremgår det også, at hackerne lykkedes med angrebet, fordi der manglede »grundlæggende sikkerhedsforanstaltninger ved opsætning af fjernadgang til virksomhedens it-systemer.«
Det skabte en alvorlig risiko for, at hackerne dermed fik adgang til personoplysninger af særlig beskyttelsesværdig karakter.
»Advokatfirmaer behandler i sagens natur mange oplysninger, som kræver en særlig beskyttelse. I dette tilfælde har SIRIUS advokater manglet basale sikkerhedsforanstaltninger, og det betød desværre, at bl.a. klienternes oplysninger blev kompromitteret. Man kan ikke gardere sig 100 % mod hackerangreb, men reglerne i GDPR kræver, at man gør en indsats for at undgå det, der svarer til risikoen,« siger Betty Husted, fuldmægtig i Datatilsynet.
Politianmeldelse og stor bøde
Nu har Datatilsynet så truffet afgørelse om at indstille Sirius til en bøde på 500.000 kr. Der er dermed tale om en ganske stor bøde i GDPR-brudssammenhæng.
Læs mere her: Fra anmeldelse til kæmpebøde: Det sker der efter GDPR-brud
Den største bøde hidtil lød på 10 mio. kr. og gik i april i år til Danske Bank for ikke at have slettet personoplysninger i overensstemmelse med databeskyttelsesreglerne.
Med bødeindstillingen følger også en politianmeldelse af Sirius. Datatilsynet har derfor ikke mulighed for at kommentere yderligere på sagen, men skriver videre i pressemeddelelsen, at bødestørrelsen skyldes at man blandt har lagt vægt på overtrædelsens karakter og alvor, men også at Sirius på tidspunktet for angrebet faktisk var i gang med at implementere multifaktor-autentifikation.
Voksende problem
Det er ikke kun Sirius, der har været udsat for krypteringsangreb. Generelt er der tale om et stigende problem.
Alene den seneste måned er mindst to danske virksomheder blevet ramt af ransomware-angreb, nemlig undertøjsvirksomheden JBS og Lokaltog A/S, der driver seks lokalbaner på Sjælland.
For begge virksomheders vedkommende har angrebene haft den konsekvens at virksomhedens data er blevet lagt til fri skue på mørkenettet, hvilket ikke er ualmindeligt når virksomheder enten ikke kan eller vil betale løsesum til hackerne.
Hvad konsekvenserne af angrebet har været for Sirius og deres klienter, og om hackerne har stillet krav om løsesum, vides ikke.
Version2 forsøger at få en kommentar fra advokathuset Sirius.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
