Norge

Datatilsynet med millionbot til Stortingets administrasjon etter datainnbrudd i 2020

Varsler 2 millioner kroner i gebyr etter datainnbruddet i 2020. Innføring av tofaktorautentisering hadde kunnet stanse dataangrepet, mener Datatilsynet.

Direktør Marianne Andreassen måtte i fjor orientere pressen om nye IT-angrep mot Stortinget. Nå har Stortingets administrasjon fått varsel om bot for manglende IT-sikkerhet av Datatilsynet.
  • Thomas Olsen
    Journalist
  • Vegard Venli
    Journalist
  • NTB

– Datatilsynet ser alvorlig på at det fra Stortingets side ikke var iverksatt gode nok tekniske tiltak som kunne ha avverget overtredelsen, for eksempel gjennom bruk av tofaktorautentisering, sier Datatilsynets direktør Bjørn Erik Thon i en pressemelding.

Datainnbruddet i august 2020 var knyttet til uautorisert pålogging til e-postkontoene til et ukjent antall stortingsrepresentanter og ansatte i administrasjonen og gruppesekretariatene.

Aftenposten har avdekket at daværende stortingsdirektør Ida Børresen og stortingspresident Olemic Thommessen stanset Riksrevisjonens forsøk på å undersøke IT-sikkerheten på Stortinget i 2017.

Da manglet Norges fremste folkevalgte et gradert nettverk, det forelå ingen klassifisering av informasjon, og det var ikke gjort noen risikoanalyse av IT-tjenestene på Stortinget.

Datatilsynet har nå fattet et såkalt varsel om vedtak til overtredelsesgebyr. Det betyr at vedtaket ikke er endelig. Stortingets administrasjon har rett til å imøtegå kritikken fra Datatilsynet før det fattes endelig vedtak.

Kritikk for manglende IT-sikkerhet

Som Aftenposten omtalte i fjor høst, oppdaget Riksrevisjonen flere sikkerhetshull hos Stortinget i 2017. Riksrevisjonens rapporten ble imidlertid ikke ferdigstilt og heller aldri levert formelt til Stortinget. I stedet ble Riksrevisjonen stanset av Stortinget.

Da Aftenposten i fjor høst krevde innsyn i undersøkelsene, ble flere av sikkerhetshullene likevel kjent for offentligheten.

Ett av funnene Riksrevisjonen gjorde, var at partigruppene på Stortinget var mest utsatt for hacking. I februar i fjor fikk stortingsrepresentant Michael Tetzschner frastjålet 4000 e-poster etter et hacking-angrep.

Nå står stortingsadministrasjonens manglende IT-sikkerhet for politikerne sentralt for Datatilsynets kritikk:

«Datatilsynet anser det som svært alvorlig at Stortingets administrasjon har vist manglende evne til å iverksette nødvendige sikkerhetstiltak som administrasjonen selv har identifisert behovet for i kartleggingen av risikoen ved behandling av personopplysninger», skriver de i varselet om vedtak.

Tilsynet mener rutinene skulle vært strengere, slik at både ansatte og partigrupper kunne fått obligatorisk opplæring og sanksjonsmuligheter for brudd på datasikkerheten.

«Datatilsynet legger til grunn at Stortinget må regnes som et attraktivt mål for dataangrep, og at det ut fra en risikovurdering burde ha vært lagt et betydelig strengere sikkerhetsregime til grunn», skriver de.

– Burde innført tofaktorautentisering tidligere

Under datainnbruddet i 2020 lastet angripere ned data fra flere e-postkontoer, med informasjon om både folkevalgte og Stortingets ansatte. Dette omfattet blant annet bank- og kontoopplysninger, fødselsnummer og helseopplysninger.

«Mulige konsekvenser for de berørte av angrepet kan være misbruk av identitet, misbruk av betalingskort og bruk av informasjon til utpressing», slår Datatilsynet fast.

– Datatilsynet mener at dersom tofaktorautentisering hadde blitt gjennomført på et tidligere tidspunkt, så ville sjansen for et vellykket angrep vært adskillig mindre, uttaler Thon.

Datatilsynet varslet derfor mandag et overtredelsesgebyr på 2 millioner kroner til Stortingets administrasjon for ikke å ha gjennomført egnede tekniske og organisatoriske tiltak for å oppnå et tilstrekkelig sikkerhetsnivå.

Datatilsynet forventer nå at administrasjonen rydder opp:
«Vi legger til grunn at Stortingets administrasjon har en egeninteresse i å innrette Stortingets datasystemer i tråd med anbefalinger fra nasjonale fagmyndigheter. Det er administrasjonen som har ansvaret for driften av disse systemene, og ansvaret for å innføre de sikkerhetstiltakene som er nødvendige for å gjøre systemene robuste, i samsvar med lovens krav», skriver Datatilsynet.

Stortingets direktør Marianne Andreassen sier de har fått en frist på 14. februar på å kommentere varselet.

– Jeg ser alvorlig på forhåndsvarselet vi har fått fra Datatilsynet. Informasjonssikkerheten var ikke god nok ved angrepstidspunktet i 2020, og vi klarte dessverre ikke å hindre at personopplysninger fra 13 e-postkontoer kom på avveie. Det må derfor forventes en reaksjon fra Datatilsynet, sier Andreassen i en pressemelding.

  1. Les også

    To dataangrep på tre uker på Stortinget: Kontaktnettverk, norske standpunkter og indre konflikter har etterretningsverdi, sier E-tjenesten

  2. Les også

    Stortingstopp fikk frastjålet minst 4000 e-poster. Mistanken rettes mot kinesiske hackere.

Mest lest akkurat nå

  1. 1
    FORELDRELIV
    Publisert:

    Psykologen: Bruk tid med sønnene dine denne høsten, og vis hvordan man er en skikkelig mann anno 2022. Ikke 1942.

  2. 2
  3. 3
  4. 4
  5. 5