Efter hackerangreb: Norsk datatilsyn giver millionbøde til kommune

Illustration: kb-photodesign, BigStock
Østre Toten kommune har fået en bøde på 4 millioner norske kroner, efter hackere krypterede og lagde borgeres persondata på det mørke net.

Datatilsynet i Norge har givet Østre Toten kommune en bøde på 4 millioner norske kroner – omkring 3 millioner danske kroner – efter hackere sidste januar brød ind i kommunens it-system med et ransomwareangreb og stjal persondata.

Det skriver tilsynsmyndigheden på sin hjemmeside.

De kriminelle har sandsynligvis fået adgang til systemet gennem fjernadgangsløsninger som RDP, Citrix, VPN eller Teamviewer og stjålne loginoplysninger, viser de tekniske undersøgelser.

Herefter har hackerne krypteret omkring 30.000 dokumenter, der blandt andet indeholder oplysninger om borgeres etnicitet, politiske og religiøse overbevisning, fagforeningsmedlemskab, seksuelle forhold, helbredsoplysninger, diagnoser, crp-nummer, kontooplysninger og MinID (svarende til det danske NemID).

Omkring 2000 dokumenter med persondata er også endt på det mørke net.

De kriminelle har sandsynligvis overført 31,5 GB data fra en af kommunens Exchange-servere til en IP-adresse i Holland.

»Ydermere havde trusselsaktøren eksporteret en lang række indbakker fraExchange-serveren. I alt udgør indbakker og andre filer ca. 160 GB data. Trusselsaktøren har haft administratoradgang til alle computere, og alle filer fra de servere, der blev undersøgt kan i princippet være blevet eksfiltreret,« skriver det norske datatilsyn i afgørelsen.

Brud på GDPR

Kommunen havde både mangler i forhold til logning, backup af data, og så brugte man ikke to-faktor-godkendelse, hvilket gjorde det lettere for hackerne at bryde ind:

»Dette viser en svaghed både i kommunens evne til at identificere et hackerangreb og mangelfuld informationssikkerhed i systemet,« skriver tilsynet og uddyber:

»Som følge af mangelfuld informationssikkerhed, sammenholdt med ledelsens og ansattes manglende bevidsthed om mulige sikkerhedstrusler og dataangreb, har Østre Toten kommune brudt det grundlæggende princip om pligten til at varetage oplysningers fortrolighed og integritet.«

Man henviser også til forordningens artikel 32, der siger, at dataansvarlige skal sørge for at lave passende sikkerhedsforanstaltninger for at beskytte registreredes data. Og det har kommunen ikke gjort.

Efter angrebet har Østre Toten dog brugt omkring 32 millioner norske kroner på at optimere it-sikkerheden, skriver tilsynet i pressemeddelelsen.

Dansk virksomhed får alvorlig kritik

For et par uger siden kom der en lignende afgørelse fra det danske datatilsyn, efter virksomheden Dantherm sidste år havde været udsat for et hackerangreb.

Læs også: Kritik af danske Dantherm: Medarbejder-data endte på det mørke net

De kriminelle havde – ligesom i Norge – stjålet data og lagt det ud på det mørke net. Man havde dog ikke afskåret virksomhedens adgang til oplysningerne.

Også i den danske sag henviser Datatilsynet til, at Dantherm har brudt med GDPRs artikel 32, og blandt andet på den baggrund vælger man at give alvorlig kritik.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (1)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Anne-Marie Krogsbøll

"De kriminelle havde – ligesom i Norge – stjålet data og lagt det ud på det mørke net. Man havde dog ikke afskåret virksomhedens adgang til oplysningerne. Også i den danske sag henviser Datatilsynet til, at Dantherm har brudt med GDPRs artikel 32, og blandt andet på den baggrund vælger man at give alvorlig kritik."

Hvor barbarisk - "Alvorlig kritik"? Kunne de ikke have nøjedes med en påtale og indkaldelse til kammeratlig samtale (den slags med kaffe og kage - så glider snakken lettere, og man kan lettere nå til indbyrdes forståelse (konsensus)...)

  • 2
  • 0
Log ind eller Opret konto for at kommentere