Efter hackerangreb: Norsk datatilsyn giver millionbøde til kommune

1. november 2021 kl. 10:431
Efter hackerangreb: Norsk datatilsyn giver millionbøde til kommune
Illustration: kb-photodesign, BigStock.
Østre Toten kommune har fået en bøde på 4 millioner norske kroner, efter hackere krypterede og lagde borgeres persondata på det mørke net.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Datatilsynet i Norge har givet Østre Toten kommune en bøde på 4 millioner norske kroner – omkring 3 millioner danske kroner – efter hackere sidste januar brød ind i kommunens it-system med et ransomwareangreb og stjal persondata.

Det skriver tilsynsmyndigheden på sin hjemmeside.

Datatilsynets bødeindstillinger til offentlige myndigheder

Hidtil har Datatilsynet i Danmark indstillet ti offentlige myndigheder til bøder, men ingen af dem kommer tæt på bødebeløbet i Norge. De største herhjemme er på 500.000 kroner og er begge givet til Region Syddanmark.

  • Gladsaxe Kommune: 100.000 kroner
  • Hørsholm Kommune: 50.000 kroner
  • Lejre Kommune: 50.000 kroner
  • Guldborgsund Kommune: 50.000 kroner
  • Vejle Kommune: 200.000 kroner
  • Region Syddanmark: 500.000 kroner
  • Udlændingestyrelsen: 150.000 kroner
  • Region Midtjylland: 400.000 kroner
  • Favrskov Kommune: 75.000 kroner
  • Region Syddanmark: 500.000 kroner

De kriminelle har sandsynligvis fået adgang til systemet gennem fjernadgangsløsninger som RDP, Citrix, VPN eller Teamviewer og stjålne loginoplysninger, viser de tekniske undersøgelser.

Artiklen fortsætter efter annoncen

Herefter har hackerne krypteret omkring 30.000 dokumenter, der blandt andet indeholder oplysninger om borgeres etnicitet, politiske og religiøse overbevisning, fagforeningsmedlemskab, seksuelle forhold, helbredsoplysninger, diagnoser, crp-nummer, kontooplysninger og MinID (svarende til det danske NemID).

Omkring 2000 dokumenter med persondata er også endt på det mørke net.

De kriminelle har sandsynligvis overført 31,5 GB data fra en af kommunens Exchange-servere til en IP-adresse i Holland.

»Ydermere havde trusselsaktøren eksporteret en lang række indbakker fraExchange-serveren. I alt udgør indbakker og andre filer ca. 160 GB data. Trusselsaktøren har haft administratoradgang til alle computere, og alle filer fra de servere, der blev undersøgt kan i princippet være blevet eksfiltreret,« skriver det norske datatilsyn i afgørelsen.

Brud på GDPR

Kommunen havde både mangler i forhold til logning, backup af data, og så brugte man ikke to-faktor-godkendelse, hvilket gjorde det lettere for hackerne at bryde ind:

»Dette viser en svaghed både i kommunens evne til at identificere et hackerangreb og mangelfuld informationssikkerhed i systemet,« skriver tilsynet og uddyber:

»Som følge af mangelfuld informationssikkerhed, sammenholdt med ledelsens og ansattes manglende bevidsthed om mulige sikkerhedstrusler og dataangreb, har Østre Toten kommune brudt det grundlæggende princip om pligten til at varetage oplysningers fortrolighed og integritet.«

Man henviser også til forordningens artikel 32, der siger, at dataansvarlige skal sørge for at lave passende sikkerhedsforanstaltninger for at beskytte registreredes data. Og det har kommunen ikke gjort.

Efter angrebet har Østre Toten dog brugt omkring 32 millioner norske kroner på at optimere it-sikkerheden, skriver tilsynet i pressemeddelelsen.

Dansk virksomhed får alvorlig kritik

For et par uger siden kom der en lignende afgørelse fra det danske datatilsyn, efter virksomheden Dantherm sidste år havde været udsat for et hackerangreb.

De kriminelle havde – ligesom i Norge – stjålet data og lagt det ud på det mørke net. Man havde dog ikke afskåret virksomhedens adgang til oplysningerne.

Også i den danske sag henviser Datatilsynet til, at Dantherm har brudt med GDPRs artikel 32, og blandt andet på den baggrund vælger man at give alvorlig kritik.

1 kommentar.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
1
1. november 2021 kl. 11:47

"De kriminelle havde – ligesom i Norge – stjålet data og lagt det ud på det mørke net. Man havde dog ikke afskåret virksomhedens adgang til oplysningerne. Også i den danske sag henviser Datatilsynet til, at Dantherm har brudt med GDPRs artikel 32, og blandt andet på den baggrund vælger man at give alvorlig kritik."

Hvor barbarisk - "Alvorlig kritik"? Kunne de ikke have nøjedes med en påtale og indkaldelse til kammeratlig samtale (den slags med kaffe og kage - så glider snakken lettere, og man kan lettere nå til indbyrdes forståelse (konsensus)...)