Har virksomheten oppdatert oversikt over aktuelle behandlinger i 2022?
Virksomhetene skal ha oversikt over sine behandlingsaktiviteter, og det er viktig at denne er oppdatert. Har virksomheten f.eks. tatt i bruk ny IKT- leverandør, blir personopplysninger overført til tredjeland, har man underleverandører som er berørt av konflikten i Ukraina? På bakgrunn av oppdatert oversikt kan virksomheten også vurdere behovet for en personvernkonsekvensanalyse (DPIA) eller oppdatere personverndokumentasjon som personvernerklæring og rutiner.
Er virksomheten rustet for et dataangrep?
2021 har vist at Cyberangrep kan ramme alle. Løsepengevirus, deling og videresalg av personopplysninger på det mørke nettet (“Dark Web”) skjer hyppig, samtidig som virksomheten kan lide store tap fordi personopplysninger blir kryptert av kriminelle, og ikke lar seg gjenopprette.
Kommunen bør ha oversikt over kritiske funksjoner og tjenester og ha oppdaterte beredskapsplaner for å sikre data ved bortfall av tjenester.
To nylige saker fra Datatilsynet illustrerer hvor aktuell denne risikoen er, og hva virksomhetene bør gjøre for å sikre seg mot dataangrep.
Stortinget er varslet overtredelsesgebyr på to millioner kroner for manglende sikring av personopplysninger ved dataangrep mot epostkonto til stortingsrepresentanter og administrative ansatte. Østre Toten kommune er ilagt et overtredelsesgebyr på fire millioner kroner for omfattende brudd på datasikkerheten. Dataangrepet mot kommunen førte til at mer enn 300 000 dokumenter ble rammet, flere opplysninger videresolgt på det mørke nettet og et stort antall personopplysninger gikk tapt fordi kommunen ikke hadde tilstrekkelig back up eller logg.
Vi har gått nærmere inn på sakene her:
https://svw.no/artikler/kommune-risikerer-millionbot-etter-dataangrep
https://svw.no/artikler/ofre-for-cyberangrep-rammes-dobbelt
Har virksomheten aktivert to-faktor autentisering?
Datatilsynet vektla i begge de nevnte sakene at tofaktorautentisering ikke var innført, enda det er et velkjent, anbefalt og effektivt tiltak. Det var videre et ledelsesansvar å se til at risikoene ble håndtert og tiltak gjennomført. Kommunen bør altså undersøke om dette er på plass særlig for digitale tjenester som er tilgjengelig over internett hvor risikoen er størst. Hvis ikke, bør tiltaket implementeres raskest mulig.
Har virksomheten internopplæring og jevnlige kontroller?
Misbruk av epost er en hyppig framgangsmåte for kriminelle hackere. Organisatoriske tiltak som opplæring, interne obligatoriske kurs, bevisstgjøring mv. er viktig for å håndtere denne risikoen. Informasjonssikkerhet er ikke forbeholdt noen få med IKT- kompetanse, det gjelder alle som bruker virksomhetens nett og digitale utstyr.
Har virksomheten en god beredskapsplan?
Digital sikkerhet krever at politisk og administrativ ledelse har felles fokus og målrettede strategier. Ettersom det ofte gjelder IT-tekniske begreper, kan det være krevende å få til.
Scenarioer er da nyttig. Gjennom målrettete spørsmål om hvordan kritiske tjenester blir berørt ved dataangrep, kan man utarbeide treffende oversikt og rutiner. På den måten kan virksomheten sikre at alle vet hva man skal gjøre dersom uhellet er ute, gjenopprette dokument, ha back up, kunne logge aktiviteten både internt og eksternt og melde og samarbeide med Datatilsynet.
Årsberetningen er en gylden anledning til å sikre fokus på datasikkerhet og rette styringsmål, og at administrativ ledelse, fagmiljø og IT- tjenesten har nok kunnskap. Datasikkerhet bør også inngå i kommunedirektørens redegjørelse om internkontroll.
Artikkelen ble publisert først som kronikk i Kommunal Rapport 17. 03.2022:
https://www.kommunal-rapport.no/debatt/okt-risiko-for-dataangrep-slik-ma-kommunene-ruste-seg/141388!/