I januar ble Østre Toten kommune utsatt for et omfattende dataangrep. Informasjon om kommunens nesten 15.000 innbyggere havnet på avveie, og hackerne krevde løsepenger for å gi det tilbake.

Datatilsynet mente kommunen hadde store mangler på grunnleggende informasjonssikkerhet, og ga derfor en bot på fire millioner kroner.

Ifølge en rapport fra Digitaliseringsdirektoratet fra november 2020, er Østre Toten langt ifra eneste kommune som ikke har hatt tilstrekkelig styring og kontroll på informasjonssikkerheten.

Det viser seg å være spesielt utfordrende for små og mellomstore kommuner.

Kommunen din forvalter private opplysninger om deg og ditt liv, og deres grad av datasikkerhet kan derfor også få følger i ditt liv.

Dette kan kommunen din vite om deg:

Familieforhold

Adresse

Fødselsnummer

Økonomisk situasjon

Fysisk og psykisk helsetilstand

– En jobb å gjøre

Din bostedskommune forvalter mye informasjon om deg og ditt liv. Det kan være både helt nødvendig og fordelaktig for å best mulig kunne tilby deg de tjenestene du trenger.

Samtidig innebærer det et ansvar fra kommunens side om å forvalte opplysningene mest mulig sikkert.

– Det er en erkjennelse, ikke bare i kommunal sektor, men i hele den offentlige sektoren, at man har en kontinuerlig jobb å gjøre med tanke på informasjonssikkerhet og personvern.

Det sier Asbjørn Finstad, som er avdelingsdirektør i kommunesektorens organisasjon (KS).

– Det er nok noen som ikke har klart å jobbe godt nok med det. Østre Toten har vært flinke til å dele av sine erfaringer, og det har nok vært en tankevekker for kommuner og private virksomheter, sier Finstad.

Menneskelige feil største trussel

Finstad forteller at det kan være ulike faktorer som svekker datasikkerheten, men mener én faktor er spesielt framtredende.

– Den største trusselen er oss mennesker og feilene vi begår. Dette er langt fra bare et teknisk spørsmål, men handler like mye om kompetanse og kultur i virksomhetene, sier han.

– Det er nok det viktigste budskapet vårt. For å holde tritt med det økende trusselbildet, er det der den største jobben ligger.

Dårligst i små kommuner

Det er små og mellomstore kommuner som kommer dårligst ut av Digitaliseringsdirektoratet sin rapport. Seksjonssjef i direktoratet, Kjetil Korslien, forteller at det er spesielt innen tre områder at kommunene viser svakheter:

Systematisk internkontroll på informasjonssikkerhetsområdet

Årlige øvelser knyttet til informasjonssikkerhet

Årlige kompetansehevende aktiviteter

– Det er alvorlig når personopplysninger og annen informasjon kommer på avveie eller blir utilgjengelig. Like viktig er at flere hendelser, blant annet den i Østre Toten, viser at en virksomhet kan bli satt nesten helt ut av spill hvis den blir angrepet. Vi ser at angrep kan føre til at kommunene rett og slett ikke får levert tjenester til sine innbyggere, skriver Korslien i en epost til TV 2.

– Har innbyggere i små eller mellomstore kommuner grunn til å være bekymret for at opplysningene deres skal komme på avveie?

– Da kan du godt si at innbyggere i kommuner som ikke jobber systematisk med informasjonssikkerhet har større grunn til bekymring enn innbyggerne i kommuner som gjør det. Det finnes selvsagt unntak, men som undersøkelsen viser er det generelt de minste kommunene som har størst forbedringspotensial.

Flere avvik

Avdelingsdirektør Veronica Jarnskjold Buer i Datatilsynet håper andre kommuner ser viktigheten av god sikkerhet når de skal behandle dine og mine sensitive opplysninger i etterkant av Østre Toten-angrepet.

STORT ANSVAR: Veronica Jarnskjold Buer mener kommunene må ta sitt ansvar på alvor. Foto: Ilja C. Hendel / Datatilsynet

– Innsamling av våre personopplysninger til kommunen vi bor i er ofte lovhjemlet, og innebærer at kommunen har et stort ansvar for å forvalte våre personopplysninger korrekt og sikkert. Vi må gi fra oss opplysninger, og dermed er opplysningene våre i hendene til stat og kommune, sier hun.

Hun forteller om en økning i avvik som rapporteres til Datatilsynet fra kommunene. Det mener hun dog er positivt.

– Vi tror ikke de nødvendigvis har blitt dårligere, men at de har fått på plass et hendelsesrapporterings- og håndteringssystem.

– Viktig for tillit

Som nevnt har Datatilsynet gitt Østre Toten kommune en bot på fire millioner kroner. Buer opplyser at den ble formildet av hensyn til de store utgiftene kommunen allerede fikk som følge av angrepet, og fordi de har opptrådt «forbilledlig» i etterkant.

Hun mener hendelsen kan betraktes som et alvorlig brudd på personvernet.

– Det skal være sånn at du og jeg er trygge på at når det offentlige forvalter våre opplysninger, så er det på en sikker måte. Informasjonssikkerhet er viktig for tillit, og jeg synes bruddet i Østre Toten er veldig alvorlig for innbyggerne, sier Buer.

– Jeg håper andre kommuner ser alvoret i det, og ser at man ikke skal kimse av innbyggernes personvern.

– Veldig alvorlig

Kommunedirektør Ole Magnus Stensrud i Østre Toten kommune er enig i at dataangrepet var et tillitsbrudd med innbyggerne.

– Det er veldig alvorlig når personsensitiv data kommer på avveie. Dette er en tillit vi har som kommune overfor innbyggeren. Vi har vært ærlige og kommunisert hva som kan ha kommet på avveie, og vi har vært i kontakt med alle som har vært direkte berørt. Det er veldig få eksempler på at sånn type data blir misbrukt av de kriminelle, men vi vet likevel at dette er veldig ubehagelig for innbyggere og ansatte, sier han til TV 2.

– Det er et tillitsbrudd. Vi har nå prøvd å bygge tilliten opp igjen, og tror vi er i ferd med å få det til. Vi får ikke mange henvendelser på at man ikke har tillit til kommunen sånn som vi har lagt opp systemene nå.

Til ettertanke og læring

Stensrud kjenner seg igjen i at det er vanskeligere for mindre kommuner å opprettholde informasjonssikkerhet på et godt nok nivå. Østre Toten, med sine nesten 15.000 innbyggere, er i kategorien mellomstore kommuner.

– Jeg tror nok det er mer utfordrende for mindre kommuner, spesielt det å holde seg oppdatert på teknisk side. Det er sånn at kommunen har veldig mange forskjellige systemer fordi vi forvalter mange tjenester, så også en liten kommune vil ha sikkert 200 forskjellige applikasjoner. Det å da ha en god oversikt over hvordan det sikkerhetsmessig er satt opp, og å vedlikeholde det, er utfordrende.

Han håper andre kommuner kan ta læring av deres erfaringer.

– Jeg er sikker på at kommunene vil det. Vi har fått mange henvendelser, og vet at det er mange som har lest de rapportene vi har lagd, sier han.