Varsel sendt: Østre Toten kommune får fire millioner i bot etter dataangrepet

Aldri før har Datatilsynet gitt ut så store bøter til en kommune.

Ordfører Bror Helgestad i Østre Toten

KUNNE VÆRT VERRE: Ordfører i Østre Toten, Bror Helgestad, sier de tar bota til etterretning. – Vi frykta et enda høyere beløp, sier han.

Foto: Lars Erik Skrefsrud / NRK

«Datatilsynet bøtelegger kommunen etter dataangrepet kommunen ble utsatt for i januar i år».

Det skriver Datatilsynet i ei pressemelding tirsdag ettermiddag.

De har varsla Østre Toten om et vedtak om et såkalt overtredelsesgebyr.

– Datatilsynet ser svært alvorlig på saken, skriver de i vedtaket.

Hacking Østre Toten, gjenoppretting av maskiner

JOBBA PÅ SPRENG: De ansatte i Østre Toten kommune jobba på spreng i dagene etter angrepet. Det ble både tunge og upraktiske dager i kommunen etter angrepet. Flere etater fikk ikke tilgang til systemene sine før etter ei ganske lang tid.

Foto: Anders Bakkerud Larsen / NRK

Opplysninger om barn på avveie

Veronica Jarnskjold Buer er avdelingsdirektør for teknologi, analyse og sikkerhet i Datatilsynet.

Hun forteller at kommunen har hatt store mangler på grunnleggende sikkerhet.

– Vi ser at det har vært mangler i logging, av tofaktorautorisering, innen sikkerhetskultur og i rutiner for backup.

Østre Toten kommune får et varsel på fire millioner i bot etter dataangrepet. Dette er den største bota Datatilsynet noen gang har gitt en kommune, bekrefter Buer.

Veronica Jarnskjold Buer

STØRSTE HITTIL: Mangel på grunnleggende sikkerhet var en viktig faktor for at kommunen fikk varsel på fire millioner i bot etter dataangrepet. – Til nå er dette den største bota vi har gitt til en kommune, sier Veronica Jarnskjold Buer.

Foto: Ilja C. Hendel / Datatilsynet

Tilsynet skriver i vedtaket at de ser særlig alvorlig på at personopplysninger og opplysninger om barn er rammet av angrepet.

– Begge har krav på et særskilt vern. Dataene er tapt for kommunen og delt i ukjent omfang på det mørke nettet. Det er dermed umulig å forhindre videre deling eller kompromittering av personopplysningene, noe som gjør saken særlig alvorlig, skriver de.

I tillegg til bota, pålegger Datatilsynet kommunen om å etablere et styringssystem for informasjonssikkerhet og sikkerhet for personoppsyn.

– En borger skal være trygg på at sine opplysninger forvaltes på en god måte og sikres tilstrekkelig når en er i kontakt med offentlige og kommunale instanser. Sikkerhet er helt grunnleggende, sier Buer.

Hun legger til at kommunen håndterte dataangrepet på en svært god måte, når uhellet først skjedde.

– De har vært forbilledlig når det kommer til å rydde opp i etterkant. De har vært åpne og informert innbyggerne, og er således et forbilde for andre kommuner.

Stort dataangrep i januar

Kommunen tar varselet om bota til etterretning, og sier at de også tar med seg at det også kom ros fra Datatilsynet.

– I en så alvorlig sak som dette tar vi med oss at Datatilsynet er fornøyde med måten vi har håndtert dataangrepet på, blant annet at vi har gjort vårt ytterste for å gi god informasjon til innbyggerne, sier kommunedirektør Ole Magnus Stensrud i Østre Toten kommunen.

Det var i januar i år at Innlandskommunen ble utsatt for et massivt dataangrep.

Noen hadde tatt seg inn bak brannmurene til kommunen, sletta alle sikkerhetskopier og kryptert alle data.

Det gjorde at ingen av de 1300 ansatte i kommunen fikk brukt datasystemene sine. Kommunen anslo senere at rundt 30 000 dokumenter var omfattet av angrepet.

Dokumentene inneholdt opplysninger om blant annet etnisk opprinnelse, politisk oppfatning, religiøs tro, fagforeningsmedlemskap, seksuelle forhold, helseforhold, pedagogiske diagnoser, fødselsnummer, MinID og bankkonto.

  • Hvor rusta er norske kommuner for ulike kriser? Bli klokere her:

Klarte ikke å ta vare på sensitive data

Ordfører Bror Helgestad sier de har fått bota fordi datatilsynet sier de ikke klarte å ta vare på personsensitive data for innbyggerne våre.

– Så sier de at bota kunne blitt større om vi ikke hadde håndtert det så brukbart som vi gjorde. Vi tar bota til etterretning.

Han sier de allerede har brukt over 30 millioner kroner på å bygge opp nye systemer.

Det har vært en omfattende og stor jobb, og ifølge Helgestad har de vært klar over at det kunne komme en bot.

– Vi har en søknad inne på skjønnsmidler hos statsforvalteren og håper vi kan få det, eller så må vi ta det fra disposisjonsfondet vårt.

Helgestad sier de skal bruke noen uker på å vurdere en klage, eller om bota skal tas til etterretning.

Ordfører Bror Helgestad i Østre Toten

FRYKTA STØRRE BOT: Kommunen har hatt en stor opprydningsjobb etter angrepet. Allerede har kommunen brukt over 30 millioner kroner på å bygge opp nye systemer, sier Ordføreren. Han sier de frykta en enda større bot.

Foto: Lars Erik Skrefsrud / NRK