Varsel om gebyr til Østre Toten kommune

Østre Toten kommune ble utsatt for et løsepengeangrep i januar 2021.

Trusselaktøren tok kontroll over kommunens IT-systemer og samtlige data, herunder alle personopplysninger om kommunens innbyggere og ansatte. En større mengde data ble senere publisert på det mørke nettet.

Grunnleggende mangler

- Kontrollsaken har avdekket at kommunen har hatt grunnleggende mangler ved personopplysningssikkerheten og tilhørende internkontroll. Blant annet har kommunen ikke brukt tofakturautentisering ved pålogging, og de har manglet tilfredsstillende backup-systemer og logging av viktige hendelser, sier direktør Bjørn Erik Thon.

I etterkant av angrepet har Østre Toten kommune gjort et omfattende arbeid med å opprette fungerende og sikre IT-systemer. Dette har kostet kommunen minst kr. 32 millioner til nå. Kommunen har også gitt god informasjon til innbyggerne om alle trinn i prosessen.

Helhetsvurdering av situasjonen

Med bakgrunn i de grunnleggende manglende ved kommunens personopplysningssikkerhet og internkontroll, ville Datatilsynet i utgangspunktet varslet om et vesentlig høyere overtredelsesgebyr.

- Etter en helhetsvurdering, sett i lys av kommunens økonomiske situasjon og arbeidet som er gjort i etterkant, har vi vurdert fire millioner kroner som en riktig sum, sier avdelingsdirektør Veronica Jarnskjold Buer.

Østre Toten kommune pålegges også å etablere og dokumentere at et egnet styringssystem for informasjonssikkerhet og personopplysningssikkerhet er implementert. Herunder må kommunen gjennomføre risiko- og sårbarhetsanalyser for alle sentrale systemerog løsninger i infrastrukturen, med det formål å identifisere behovet for risikoreduserende tiltak.

Last ned

Datatilsynets varsel om vedtak til Østre Toten kommune (pdf)