Varsler 2 millioner kroner i gebyr etter datainnbruddet i 2020. Innføring av tofaktorautentisering hadde kunnet stanse dataangrepet, mener Datatilsynet.

Direktør Marianne Andreassen måtte i fjor orientere pressen om nye IT-angrep mot Stortinget. Nå har Stortingets administrasjon fått varsel om bot for manglende IT-sikkerhet av Datatilsynet.

24. jan. 2022 11:28 Sist oppdatert nå nettopp

– Datatilsynet ser alvorlig på at det fra Stortingets side ikke var iverksatt gode nok tekniske tiltak som kunne ha avverget overtredelsen, for eksempel gjennom bruk av tofaktorautentisering, sier Datatilsynets direktør Bjørn Erik Thon i en pressemelding.

Datainnbruddet i august 2020 var knyttet til uautorisert pålogging til e-postkontoene til et ukjent antall stortingsrepresentanter og ansatte i administrasjonen og gruppesekretariatene.

Aftenposten har avdekket at daværende stortingsdirektør Ida Børresen og stortingspresident Olemic Thommessen stanset Riksrevisjonens forsøk på å undersøke IT-sikkerheten på Stortinget i 2017.

Da manglet Norges fremste folkevalgte et gradert nettverk, det forelå ingen klassifisering av informasjon, og det var ikke gjort noen risikoanalyse av IT-tjenestene på Stortinget.

Datatilsynet har nå fattet et såkalt varsel om vedtak til overtredelsesgebyr. Det betyr at vedtaket ikke er endelig. Stortingets administrasjon har rett til å imøtegå kritikken fra Datatilsynet før det fattes endelig vedtak.

Fakta IT-angrepene mot Stortinget * I slutten av august 2020 oppdaget Stortinget at ukjente hackere hadde klart å komme seg inn på e-postkontoene til enkelte stortingsrepresentanter og ansatte. Saken ble offentlig kjent 1. september. * Både Arbeiderpartiet, Senterpartiet og Høyre har bekreftet at representanter i deres stortingsgrupper ble rammet av innbruddet. En ansatt i Venstre ble også rammet. * Stortingets analyser viser at det er lastet ned ulike mengder data, men at angriperne ikke skal ha kommet seg inn på systemene for gradert informasjon. * Privat informasjon, som kontonummer, personnummer, bankopplysninger og andre personopplysninger, kan ha kommet hackerne i hende. Det gjelder også stortingsrelaterte opplysninger om reiseruter, kontaktdata, forarbeider i forbindelse med behandling av politiske saker og noe personinformasjon. Enkelte e-postkontoer har også inneholdt helseopplysninger, som mulige allergier. * Stortinget har opplyst at et av læringspunktene fra hendelsen er at de ikke har stilt strenge nok krav til passord. * 13. oktober 2020 gikk den norske regjeringen ut og beskyldte Russland for å stå bak angrepet. Russland benekter dette. * 8. desember samme år var PST ferdig med å etterforske datainnbruddet. De mener cyberaktører som i åpne kilder omtales som APT28 og Fancy Bear, står bak. * Stortinget ble utsatt for nye angrep i februar og mars 2021. Da skal Høyres Michael Tetzschner ha blitt frastjålet minst 4000 e-poster med vedlegg. Denne gang ble det fastslått at innbruddet ble gjennomført fra Kina. (Kilder: Aftenposten, NTB, Stortinget, regjeringen) Vis mer

Kritikk for manglende IT-sikkerhet

Som Aftenposten omtalte i fjor høst, oppdaget Riksrevisjonen flere sikkerhetshull hos Stortinget i 2017. Riksrevisjonens rapporten ble imidlertid ikke ferdigstilt og heller aldri levert formelt til Stortinget. I stedet ble Riksrevisjonen stanset av Stortinget.

Da Aftenposten i fjor høst krevde innsyn i undersøkelsene, ble flere av sikkerhetshullene likevel kjent for offentligheten.

Ett av funnene Riksrevisjonen gjorde, var at partigruppene på Stortinget var mest utsatt for hacking. I februar i fjor fikk stortingsrepresentant Michael Tetzschner frastjålet 4000 e-poster etter et hacking-angrep.

Nå står stortingsadministrasjonens manglende IT-sikkerhet for politikerne sentralt for Datatilsynets kritikk:

«Datatilsynet anser det som svært alvorlig at Stortingets administrasjon har vist manglende evne til å iverksette nødvendige sikkerhetstiltak som administrasjonen selv har identifisert behovet for i kartleggingen av risikoen ved behandling av personopplysninger», skriver de i varselet om vedtak.

Tilsynet mener rutinene skulle vært strengere, slik at både ansatte og partigrupper kunne fått obligatorisk opplæring og sanksjonsmuligheter for brudd på datasikkerheten.

«Datatilsynet legger til grunn at Stortinget må regnes som et attraktivt mål for dataangrep, og at det ut fra en risikovurdering burde ha vært lagt et betydelig strengere sikkerhetsregime til grunn», skriver de.

– Burde innført tofaktorautentisering tidligere

Under datainnbruddet i 2020 lastet angripere ned data fra flere e-postkontoer, med informasjon om både folkevalgte og Stortingets ansatte. Dette omfattet blant annet bank- og kontoopplysninger, fødselsnummer og helseopplysninger.

«Mulige konsekvenser for de berørte av angrepet kan være misbruk av identitet, misbruk av betalingskort og bruk av informasjon til utpressing», slår Datatilsynet fast.

– Datatilsynet mener at dersom tofaktorautentisering hadde blitt gjennomført på et tidligere tidspunkt, så ville sjansen for et vellykket angrep vært adskillig mindre, uttaler Thon.

Datatilsynet varslet derfor mandag et overtredelsesgebyr på 2 millioner kroner til Stortingets administrasjon for ikke å ha gjennomført egnede tekniske og organisatoriske tiltak for å oppnå et tilstrekkelig sikkerhetsnivå.

Datatilsynet forventer nå at administrasjonen rydder opp:

«Vi legger til grunn at Stortingets administrasjon har en egeninteresse i å innrette Stortingets datasystemer i tråd med anbefalinger fra nasjonale fagmyndigheter. Det er administrasjonen som har ansvaret for driften av disse systemene, og ansvaret for å innføre de sikkerhetstiltakene som er nødvendige for å gjøre systemene robuste, i samsvar med lovens krav», skriver Datatilsynet.