Efter hackerangreb: Norsk datatilsyn giver millionbøde til kommune
Datatilsynet i Norge har givet Østre Toten kommune en bøde på 4 millioner norske kroner – omkring 3 millioner danske kroner – efter hackere sidste januar brød ind i kommunens it-system med et ransomwareangreb og stjal persondata.
Det skriver tilsynsmyndigheden på sin hjemmeside.
Hidtil har Datatilsynet i Danmark indstillet ti offentlige myndigheder til bøder, men ingen af dem kommer tæt på bødebeløbet i Norge. De største herhjemme er på 500.000 kroner og er begge givet til Region Syddanmark.Datatilsynets bødeindstillinger til offentlige myndigheder
De kriminelle har sandsynligvis fået adgang til systemet gennem fjernadgangsløsninger som RDP, Citrix, VPN eller Teamviewer og stjålne loginoplysninger, viser de tekniske undersøgelser.
Herefter har hackerne krypteret omkring 30.000 dokumenter, der blandt andet indeholder oplysninger om borgeres etnicitet, politiske og religiøse overbevisning, fagforeningsmedlemskab, seksuelle forhold, helbredsoplysninger, diagnoser, crp-nummer, kontooplysninger og MinID (svarende til det danske NemID).
Omkring 2000 dokumenter med persondata er også endt på det mørke net.
De kriminelle har sandsynligvis overført 31,5 GB data fra en af kommunens Exchange-servere til en IP-adresse i Holland.
»Ydermere havde trusselsaktøren eksporteret en lang række indbakker fraExchange-serveren. I alt udgør indbakker og andre filer ca. 160 GB data. Trusselsaktøren har haft administratoradgang til alle computere, og alle filer fra de servere, der blev undersøgt kan i princippet være blevet eksfiltreret,« skriver det norske datatilsyn i afgørelsen.
Brud på GDPR
Kommunen havde både mangler i forhold til logning, backup af data, og så brugte man ikke to-faktor-godkendelse, hvilket gjorde det lettere for hackerne at bryde ind:
»Dette viser en svaghed både i kommunens evne til at identificere et hackerangreb og mangelfuld informationssikkerhed i systemet,« skriver tilsynet og uddyber:
»Som følge af mangelfuld informationssikkerhed, sammenholdt med ledelsens og ansattes manglende bevidsthed om mulige sikkerhedstrusler og dataangreb, har Østre Toten kommune brudt det grundlæggende princip om pligten til at varetage oplysningers fortrolighed og integritet.«
Man henviser også til forordningens artikel 32, der siger, at dataansvarlige skal sørge for at lave passende sikkerhedsforanstaltninger for at beskytte registreredes data. Og det har kommunen ikke gjort.
Efter angrebet har Østre Toten dog brugt omkring 32 millioner norske kroner på at optimere it-sikkerheden, skriver tilsynet i pressemeddelelsen.
Dansk virksomhed får alvorlig kritik
For et par uger siden kom der en lignende afgørelse fra det danske datatilsyn, efter virksomheden Dantherm sidste år havde været udsat for et hackerangreb.
De kriminelle havde – ligesom i Norge – stjålet data og lagt det ud på det mørke net. Man havde dog ikke afskåret virksomhedens adgang til oplysningerne.
Også i den danske sag henviser Datatilsynet til, at Dantherm har brudt med GDPRs artikel 32, og blandt andet på den baggrund vælger man at give alvorlig kritik.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
