Datatilsynet varsler gebyr på 2 millioner etter datainnbrudd på Stortinget
Datatilsynet har sendt et forhåndsvarsel om et overtredelsesgebyr på to millioner kroner for brudd på personopplysningsloven i forbindelse med IT-angrepet mot Stortinget i august 2020.
Høsten 2020 ble Stortinget utsatt for datainnbrudd. Nå varsler Datatilsynet et overtredelsesgebyr på 2 millioner kroner til Stortingets administrasjon for ikke å ha gjennomført egnede tekniske og organisatoriske tiltak for å oppnå et tilstrekkelig sikkerhetsnivå.
Det er ifølge en pressemelding fra Datatilsynet lagt særlig vekt på at Stortinget ikke hadde etablert tofaktorautentisering eller tilsvarende effektive sikkerhetstiltak for å oppnå tilstrekkelig beskyttelse.
Datainnbruddet var knyttet til uautorisert pålogging til e-postkontoene til et ukjent antall stortingsrepresentanter og ansatte i administrasjonen og gruppesekretariatene.
De første undersøkelsene har avdekket at angripere hadde lastet ned data, inkludert personopplysninger fra e-postkontoene, om de folkevalgte og Stortingets ansatte. Dette omfattet blant annet bank- og kontoopplysninger, fødselsnummer og helseopplysninger.
– Resultatet er at Stortingets administrasjon og representantene har mistet kontroll over personopplysningene som har ligget i deres e-postkontoer, sier Datatilsynets direktør Bjørn Erik Thon.
Utpressing
Mulige konsekvenser for de berørte av angrepet kan være misbruk av identitet, misbruk av betalingskort og bruk av informasjon til utpressing, skriver tilsynet.
– Jeg ser alvorlig på forhåndsvarselet vi har fått fra Datatilsynet. Informasjonssikkerheten var ikke god nok ved angrepstidspunktet i 2020, og vi klarte dessverre ikke å hindre at personopplysninger fra 13 epostkontoer kom på avveie. Det må derfor forventes en reaksjon fra Datatilsynet, sier Stortingets direktør, Marianne Andreassen.
Andreassen sier at Stortingets administrasjon har tatt mye lærdom fra IT-angrepene som Stortinget har blitt utsatt for.