Datatilsynet har varslet Stortinget om overtredelsesgebyr på to millioner kroner og ilagt Østre Toten kommune overtredelsesgebyr på fire millioner kroner. Tilsynet understreker i begge sakene at det er et klart ledelsesansvar å sikre virksomheten mot slike angrep, og at tofaktorautentisering, bevisstgjøring og en treffende risiko- og sårbarhetsanalyse er sentrale tiltak.
Under dataangrepet på Stortinget hadde hackere fått uautorisert tilgang til Stortingsrepresentanters epostkonto, og lastet ned bank- og kontoinformasjon, fødselsnummer, helseopplysninger og personopplysninger om tredjeparter. I Østre Toten kommune var mer enn 300 000 dokumenter rammet, også sensitive personopplysninger, og det ble kjent at dokumenter var videresolgt på det mørke nettet (“dark web”). Overtredelsesgebyret ble satt høyt også fordi kommunen ikke hadde tilstrekkelig intern backup eller loggføring slik at flere dokument ikke lot seg gjenopprette, og datatrafikken ikke lot seg spore. Se nærmere om saken her.
Informasjonssikkerhet er et ledelsesansvar
Personvernforordningen forutsetter at alle virksomheter har et egnet internkontrollsystem for informasjonssikkerhet. Ledelse og ansatte må kartlegge risiko for at personopplysninger blir tapt, endret eller utsatt for utilsiktet tilgang eller spredning, og iverksette konkrete tiltak for å hindre at dette skjer.
Sakene illustrerer at ledelsen plikter å kjenne til personvernregelverket og gjennomføre rette tiltak for å hindre dataangrep. Hvilke tiltak som er relevante, vil i stor grad være opp til virksomheten selv, så lenge de er egnet til å redusere den aktuelle risikoen. Virksomheter bør likevel merke seg at Datatilsynet både viser til fysiske tiltak, som autentiseringsløsninger, og organisatoriske tiltak som rutiner og opplæring av personell.
Bruk av tofaktorautentisering
Passord kan misbrukes. Enten ved at det ikke er sterkt nok, brukes etter samme mønster, ved at man bruker samme passord på flere tjenester, eller at passordet kommer på avveie. Risikoen er da stor for at hackere kan få tilgang på passordet, infiltrere en uskyldig epost og trenge inn i virksomheten. Ved bruk av to-faktorautentisering vil risikoen reduseres. Datatilsynet utelukker ikke at andre tiltak kan gi tilsvarende sikkerhet, men tofaktorautentisering er anbefalt både av Nasjonal Sikkerhetsmyndighet og Datatilsynet. Stortinget hadde identifisert at manglende tofaktorautentisering var en betydelig risiko, men ikke iverksatt det. Datatilsynet vurderer det som uaktsomt.
Organisatoriske tiltak: Rutiner, opplæring, bevisstgjøring
Det er også viktig med bevissthet hos de ansatte. Ofte får hackerne tilgang gjennom sosial påvirkning og tyveri av påloggingsinformasjon. Jevnlig opplæring, sjekklister for bruk av It- utstyr, systematiske påminninger om mulige forsøk på hacking, er da aktuelle og viktige internkontrolltiltak. Stortinget hadde selv vurdert at manglende sikkerhetskultur, lav kompetanse og lite søkelys på personvern var en svært høy risiko. Datatilsynet understreker at personvernforordningen pålegger virksomhetene å iverksette organisatoriske tiltak for slik risiko. Aktuelle tiltak er i så fall kartlegging av de ansattes kunnskap om informasjonssikkerhet og personvern og målrettet opplæring av de ansatte. Retningslinjer og rutiner for bruk av virksomhetens epostkonto er også effektive og nødvendige tiltak og bør være en del av styringssystemet for personvern og informasjonssikkerhet. Andre aktuelle tiltak er nye krav til passord, utvidet omfang av sikkerhetslogging, oppdaterte retningslinjer for mobile enheter og – tofaktorautentisering Datatilsynet fant det klanderverdig at Stortinget ikke hadde fulgt opp den sårbarheten man selv hadde identifisert gjennom slike organisatoriske tiltak.
Risiko- og sårbarhetsanalyse
Sakene understreker også personvernforordningens krav om en risiko- og sårbarhetsanalyse for å identifisere risiko og avvergende tiltak. Og, som tilsynet understreker i varslet mot Stortinget, denne må ikke ta uforholdsmessig lang tid. Mange virksomheter kan oppleve en slik ROS- analyse som omfattende og kompleks. Begrepene blir gjerne veldig IT-tekniske, vurderingen blir regnet som veldig komplisert og ledelsen får ikke etterspurt rette tiltak. Det viktige er likevel å komme i gang, være konkret og se til at ledelse og fagmiljø har felles fokus. Disse to sakene gir da god veiledning for aktuell risiko og effektive tiltak: I tillegg til det som allerede er visst om manglende autentisering og sikkerhetskultur, viser saken om Østre Toten kommune aktuelle risiko ved virksomhetens interne infrastruktur: Manglende backup øker risikoen for at dataelementer ikke kan gjenopprettes og dermed går tapt, og ved manglende logg økes risikoen for at viktig informasjon om angrepet og hvordan opplysningene er påvirket ikke er tilgjengelig.
Oppsummering
Dataangrep er en trussel de fleste virksomheter står ovenfor. Ledelsen må ha tilstrekkelig kunnskap om dette og om hvilke krav personvernforordningen stiller for å ha et egnet sikkerhetsnivå. Gjennomføring av en risiko- og sårbarhetsanalyse, innføring av tofaktorautentisering, jevnlig opplæring og bevisstgjøring av ansatte er effektive tiltak i så måte. I disse dager er det tid for ledelsens gjennomgang av virksomheten og rapportering av internkontroll. De to sakene illustrerer godt hva ledelsen da bør være oppmerksom på.