Nordland slipper bot etter datainnbrudd

Det er klart etter at Datatilsynet har vurdert fylkeskommunens innsats før, under og etter datainnbruddet 22. desember 2021. I et brev til fylkeskommunen skriver Datatilsynet at fylkeskommunen fanget opp avviket på et tidlig tidspunkt, slik at de kunne iverksette passende tiltak for å begrense konsekvensene.

– I forkant av angrepet så vi mange forsøk på å komme bak murene våre, og vi var advart om at jula var en periode der risikoen kunne være høy for slike angrep. Derfor var vi ekstra på vakt og kunne reagere svært raskt. Konsekvensene av angrepet ble derfor forholdsvis små, i forhold til hva de kunne blitt. Det sier nestleder i fylkesrådet, Svein Øien Eggesvik, på fylkets nettsider.

Dagen etter angrepet ble alle fylkeskommunens nettkoblinger mot omverden slått av, som et umiddelbart tiltak for å hindre misbruk av datasystemene. Det førte til at fylkeskommunens 3.000 ansatte mistet tilgangen til nett og systemer i flere uker.

Fikk ut personinfo

Angriperne lyktes med å få ut en mindre datamengde under innbruddet i fylkeskommunen. Under en pressekonferanse i januar opplyste fylkeskommunen at personinfo om 18.000 personer kunne være hentet ut. 

Opplysningene det kunne dreie seg om, var fullt fødselsnummer, navn, brukernavn i Nordland fylkeskommune, privat telefonnummer, jobbtelefonnummer og e-postadresser. Fylkeskommunen har nå konkludert med at opplysningene verken omfattet verken passord, helse- eller karaktervurderinger.

Datatilsynet vurderer at hendelsen er svært godt dokumentert fra fylkeskommunens side, også kartleggingen av selve innbruddet. De peker også på at fylkeskommunen har iverksatt en gjenåpningsplan.

– I brevet fra Datatilsynet blir tiltakene omtalt som passende, og tilsynet avslutter nå saken under forutsetning av at disse tiltakene blir fulgt opp på en god måte. Det har vi alle intensjoner om å gjøre, sier Eggesvik.

Østre Toten: Ingen kjære mor

Kontrasten er stor til Østre Toten, som etter dataangrepet i januar 2021 ble ilagt 4 millioner kroner i overtredelsesgebyr av Datatilsynet. Direktør Bjørn Erik Thon uttalte i den sammenheng at det var store og grunnleggende mangler ved Østre Totens personopplysningssikkerhet.

Kommunen har anslått at ca. 30.000 dokumenter var omfattet av angrepet. Dokumentene inneholdt dels svært sensitive opplysninger om kommunens innbyggere og ansatte. I mars 2021 ble det kjent at deler av dataene hadde blitt publisert på det mørke nettet.

Østre Toten kommune klagde på gebyrets størrelse. Nylig ble klagen avvist av Datatilsynet, ifølge Totens Blad. Neste instans til å behandle saken er Personvernnemnda. 

Kommunal Rapport har spurt Datatilsynet hvorfor tilsynet har vurdert de to datainnbruddene så ulikt. Teknolog Andreas Jensen Gjellesvik i Datatilsynet skriver i en e-post at det nok er måten Nordland håndterte saken på som gjør at fylkeskommunen har blitt behandlet annerledes enn Østre Toten.

– Nordland var mye bedre forberedt på angrep (kanskje nettopp pga. Østre Toten-saken?), og håndterte saken effektivt da bruddet var et faktum. Nordland ble også rammet i betydelig mindre grad enn Østre Toten, slik jeg forstår sakene, skriver Gjellesvik.