STOR BOT: Stortingsadministrasjonen fikk i januar varsel om et gebyr fra Datatilsynet på 2 millioner kroner. (Stortinget/Peter Mydske)

Stortingets administrasjon vedtar ikke bot etter dataangrep

Stortingets administrasjon ber Datatilsynet om en ny vurdering etter å ha fått varsel om gebyr på 2 millioner kroner etter datainnbruddet i 2020.

Administrasjonen på Stortinget fikk varsel om gebyret fra Datatilsynet på 2 millioner kroner i januar.

Administrasjonen erkjenner i sitt tilsvar til Datatilsynet at IT-sikkerheten kunne vært bedre da angrepet inntraff, men mener det finnes formildende omstendigheter.

Tofaktorautentisering

Datatilsynet mener Stortinget kunne ha avverget datainnbruddet i 2020 med bedre tekniske tiltak. Ifølge Politiets sikkerhetstjeneste (PST) var det russiske aktører som kom seg inn i datasystemene.

Administrasjonen fikk særlig kritikk for ikke å ha tatt i bruk tofaktorautentisering.

Sopra Steria hadde på oppdrag fra Stortingets administrasjon utarbeidet en rapport som skulle avdekke mulige sårbarheter (ROS2020). Denne rapporten ble levert 22. april 2020, fire måneder før dataangrepet i august samme år, og samtidig som landet var inne i den første koronanedstengingen.

Kort tid

Administrasjonen mener det korte tidsrommet gjorde det utfordrende å tette sikkerhetshullene i tide. Tofaktorautentisering trekkes i svarbrevet fram som særlig utfordrende å implementere på mobile enheter.

Det legges også vekt på at selv om det var alvorlig at folkevalgte ble berørt, var det svært få personer som ble rammet. Administrasjonen mener også at omfanget av personopplysninger som ble kompromittert, var meget begrenset.

Stortingets administrasjon ber dermed Datatilsynet foreta en ny vurdering av om det er rettslig grunnlag for å karakterisere administrasjonens opptreden som grovt uaktsom.