Høsten 2020 ble Stortinget utsatt for datainnbrudd. Vi varsler nå et overtredelsesgebyr på 2 millioner kroner til Stortingets administrasjon for ikke å ha gjennomført egnede tekniske og organisatoriske tiltak for å oppnå et tilstrekkelig sikkerhetsnivå.
Det er særlig lagt vekt på at Stortinget ikke hadde etablert tofaktorautentisering eller tilsvarende effektive sikkerhetstiltak for å oppnå tilstrekkelig beskyttelse.
Datainnbruddet var knyttet til uautorisert pålogging til e-postkontoene til et ukjent antall stortingsrepresentanter og ansatte i administrasjonen og gruppesekretariatene.
- Datatilsynet ser alvorlig på at det fra Stortingets side ikke var iverksatt gode nok tekniske tiltak som kunne ha avverget overtredelsen, for eksempel gjennom bruk av tofaktorautentisering, sier direktør Bjørn Erik Thon.
De første undersøkelsene har avdekket at angripere hadde lastet ned data, inkludert personopplysninger fra e-postkontoene, om de folkevalgte og Stortingets ansatte. Dette omfattet blant annet bank- og kontoopplysninger, fødselsnummer og helseopplysninger.
- Resultatet er at Stortingets administrasjon og representantene har mistet kontroll over personopplysningene som har ligget i deres e-postkontoer, sier Thon.
Mulige konsekvenser for de berørte av angrepet kan være misbruk av identitet, misbruk av betalingskort og bruk av informasjon til utpressing.
- Datatilsynet mener at dersom tofaktorautentisering hadde blitt gjennomført på et tidligere tidspunkt, så ville sjansen for et vellykket angrep vært adskillig mindre, sier Thon.
Personvernforordningen krever at den behandlingsansvarlige etablerer et sikkerhetsnivå som er egnet til å sikre vedvarende konfidensialitet, integritet, tilgjengelighet og robusthet i behandlingssystemene og -tjenestene.
- Stortinget er en av samfunnets viktigste institusjoner. Det er viktig at opplysningene om de folkevalgte og de ansatte ved Stortinget behandles på en sikker måte, sier Thon.
I brevet om varsel om overtredelsesgebyr, er Stortinget gitt tre uker til å gi en tilbakemelding med deres syn på saken. Datatilsynet vil så vurdere tilbakemeldingen, og fatte endelig vedtak.