Østre Toten kommune ble utsatt for et løsepengeangrep i januar 2021.
Les også: Minst 9000 dokumenter og store e-postmengder stjålet i Østre Toten
Trusselaktøren tok kontroll over kommunens IT-systemer og samtlige data, herunder alle personopplysninger om kommunens innbyggere og ansatte. En større mengde data ble senere publisert på det mørke nettet.
Kontrollsaken har ifølge Datatilsynet avdekket at kommunen har hatt grunnleggende mangler ved personopplysningssikkerheten og tilhørende internkontroll. Blant annet har kommunen ikke brukt tofakturautentisering ved pålogging, og de har manglet tilfredsstillende backup-systemer og logging av viktige hendelser.
I etterkant av angrepet har kommunen gjort et omfattende arbeid med å opprette fungerende og sikre IT-systemer. Dette har kostet kommunen minst 32 millioner kroner til nå. Kommunen har også gitt god informasjon til innbyggerne om alle trinn i prosessen.
Med bakgrunn i de grunnleggende manglende ved kommunens personopplysningssikkerhet og internkontroll, ville Datatilsynet i utgangspunktet varslet om et vesentlig høyere overtredelsesgebyr.
Etter en helhetsvurdering, sett i lys av kommunens økonomiske situasjon og arbeidet som er gjort i etterkant, har Datatilsynet vurdert fire millioner kroner som en riktig sum.
Østre Toten kommune pålegges også å etablere og dokumentere at et egnet styringssystem for informasjonssikkerhet og personopplysningssikkerhet er implementert. Herunder må kommunen gjennomføre risiko- og sårbarhetsanalyser for alle sentrale systemer og løsninger i infrastrukturen, med det formål å identifisere behovet for risikoreduserende tiltak.
Kilde: Datatilsynet