Datatilsynet har ilagt Østre Toten kommune et overtredelsesgebyr på 4 millioner kroner. Kommunen er også pålagt å implementere et egnet styringssystem for informasjonssikkerhet og personopplysningssikkerhet.
Kommunen ble utsatt for et alvorlig dataangrep i januar 2021. Som konsekvens fikk ansatte ikke lenger tilgang til de fleste av kommunens IT-systemer, kommunens data var blitt kryptert og sikkerhetskopier slettet. Løsepengebrev ble funnet på en mengde lokasjoner. I mars 2021 ble det kjent at deler av dataene hadde blitt publisert på det mørke nettet («dark web»). Kommunen har anslått at ca. 30 000 dokumenter var omfattet av angrepet. Dokumentene inneholdt dels svært sensitive opplysninger om kommunens innbyggere og ansatte.
- Datatilsynet har vurdert at det var store og grunnleggende mangler ved Østre Totens personopplysningssikkerhet, sier direktør Bjørn Erik Thon.
Manglene knytter seg både til logg og logganalyse, sikring av backup og manglende tofaktorautentisering eller tilsvarende sikkerhetstiltak. Brannmuren var sparsommelig konfigurert med tanke på logging, og mye interntrafikk ble aldri logget. Servere var ikke konfigurert til å sende logg til sentralt loggmottak og manglet også logging av viktige hendelser. Videre manglet kommunen beskyttelse av sikkerhetskopier mot tilsiktet og utilsiktet sletting, manipulering og avlesning.
- Vi anser dataangrepet som særlig alvorlig fordi det har rammet en betydelig del av kommunens data, kontrollen over personopplysningene er fullstendig tapt og opplysninger er delt på det mørke nettet i ukjent omfang, sier Thon.
Datatilsynet har derfor vurdert at det er grunnlag for å gi Østre Toten kommune et overtredelsesgebyr på kr. 4 000 000 og et pålegg om å implementere tilfredsstillende personopplysningssikkerhet.
Som følge av dataangrepet, har kommunen måttet bruke store summer på å gjenopprette et fungerende IT-system og sørge for tilfredsstillende informasjonssikkerhet. Kommunens økonomiske situasjon har hatt betydning for vår utmåling av gebyret. Vi har også vektlagt at kommunen har gjort et omfattende arbeid opp mot tilsynsmyndigheter, politi og innbyggere/ansatte etter at avviket ble oppdaget.
- Uten disse forholdene, ville overtredelsesgebyret blitt satt vesentlig høyere, avslutter Thon.