Forrige uke varslet Datatilsynet at Østre Toten kommune vil bli ilagt et overtredelsesgebyr på 4 000 000 kroner på grunn av sin manglende etterlevelse av kravene etter personvernforordningen (GDPR). Varselet følger i kjølvannet av Datatilsynets omfattende undersøkelse av kommunens IT-systemer etter at kommunen i januar ble utsatt for et fatalt løsepengevirusangrep. Personopplysninger som var lekket på det mørke nettet ble oppdaget først av FBI. Sett i lys av at Datatilsynet ikke kritiserer selve måten kommunen håndterte angrepet på er dette et relativt oppsiktsvekkende resultat. Beløpet på 4 000 000 kroner er også av en nok så betydelig størrelse, særlig sett med norske øyne. Til sammenligning utstedte Datatilsynet ifølge sin seneste årsrapport gebyrer på til sammen 5 875 000 kroner i løpet av hele 2020. Gebyrets er også bemerkelsesverdig med tanke på at Datatilsynet selv uttaler at arbeidet med gjenoppretting etter angrepet foreløpig antas å ha kostet kommunen over 32 000 000 kroner og videre bemerker at dette trolig er en enorm økonomisk belastning for en kommune med knapt 15 000 innbyggere.
For å forstå Datatilsynets posisjon, og ikke minst for å unngå å bli møtt med tilsvarende sanksjon dersom man som virksomhet utsettes for et cyberangrep, må man kjenne godt til og sikre etterlevelse av de strenge informasjonssikkerhetskravene etter GDPR. Kravene gjelder for alle virksomheter som i sin daglige drift behandler opplysninger som kan knyttes til enkeltpersoner. Datatilsynets avgjørelse gir tydelige svar på hva som forventes av virksomheten og hvilke konkrete sikkerhetstiltak som må være på plass. Saken gir videre tydelige svar på hvilke forhåndsregler virksomheter forventes å ta i lys av den stadig økende risikoen for løsepengevirus og lignende cyberangrep. Dersom virksomheten vil unngå kritikk og bøteleggelse, gjerne på toppen av de ofte betydelige kostnader som er forbundet med gjenoppretting etter et slikt angrep, må man gjøre flere tiltak før angrepet skjer.
GDPR forutsetter at alle virksomheter foretar konkrete risikovurderinger og får på plass egnede tekniske og organisatoriske sikkerhetstiltak som står i forhold til den konkrete risikoen man står overfor. Det sentrale er her at virksomheten må vurdere den konkrete risikoen for at personopplysningene blir midlertidig eller permanent tapt, endret eller utsettes for konfidensialitetsbrudd. Sett hen til hvor sannsynlig og lett uønskede cyberhendelser kan forekomme, må virksomheten iverksette sikkerhetstiltak som er “egnede” til å redusere risikoen til et akseptabelt nivå.
I den konkete saken mot Østre Toten Kommune legger Datatilsynet vekt på at kommunen har ansvar for behandling av omfattende sensitive personopplysninger. Datatilsynet fokuserer da på tre grunnleggende tekniske og organisatoriske tiltak som kommunen etter tilsynets oppfatning burde ha gjennomført. For det første benyttet ikke kommunens ansatte tofaktorautentisering ved pålogging, slik at innloggingsinformasjon anskaffet på ulovlig vis ga enkel tilgang til kommunens IT-systemer. Dette var også den antatte måten trusseleaktøren fikk tilgang til systemet på. For det andre hadde ikke kommunen tilstrekkelig backcup-systemer. De manglet konkret beskyttelse av sikkerhetskopier mot både tilsiktet og utilsiktet sletting, manipulering og avlesning. Ikke bare var slike sikkerhetskopier ansett som avgjørende for god informasjons- og personopplysningssikkerhet, men det gjorde også gjenopprettelsen av driften av systemene vanskeligere slik at gjenvinning av kontroll over situasjonen ble vanskeliggjort. For det tredje var brannmuren utilstrekkelig konfigurert for logging. Mye interntrafikk ble aldri logget, og serverne var ikke konfigurert til å opprette et sentralt loggmottak. Dette vanskeliggjorde sporbarheten og avdekningen av den uautoriserte bruken, og ble også tydelig vektlagt i tilsynets vurdering av saken. Datatilsynet legger her vekt på at kommunen, på grunn av disse manglene, helt har tapt kontrollen over en betydelig mengde data.
Det er videre bemerkelsesverdig at Datatilsynet vektlegger ledelsens og ansattes manglende bevissthet rundt mulige sikkerhetstrusler og dataangrep. Dette belyser med tydelighet at enhver virksomhet forventes å øke sitt kunnskapsnivå og skaffe seg klarhet i trusselbildet til enhver tid, og dette er et ledelsesansvar. Konkret betyr dette at virksomheten må forstå og ta høyde for stadig mer avanserte forsøk på dataangrep. Man må da jevnlig foreta oppdaterte risikovurderinger etter GDPR og eventuelt forsterke beskyttelsestiltakene i lys av utviklingen.
Datatilsynet konkluderer samlet med at kommunens unnlatelser innebærer en klar overtredelse av flere bestemmelser i GDPR. Til tross for at tilsynet ikke finner noe å utsette på kommunens håndtering når først angrepet var et faktum, fastsettes overtredelsesgebyret til 4 000 000 kr. Dette er vel å merke tilsynets foreløpige vurdering og kommunen vurderer nå om de skal komme med innsigelser. Saken er uansett interessant lesing for alle virksomheter som vil forstå hvilke krav som stilles for håndtering av cyberangrep og lignende hendelser.