Stortingets administrasjon har fått et varsel om at Datatilsynet vil ilegge dem et gebyr på to millioner kroner etter datainnbruddet i 2020.
– Datatilsynet ser alvorlig på at det fra Stortingets side ikke var iverksatt gode nok tekniske tiltak som kunne ha avverget overtredelsen, for eksempel gjennom bruk av tofaktorautentisering, sier Datatilsynets direktør Bjørn Erik Thon i en pressemelding.
Datatilsynet har lagt særlig vekt på at Stortinget ikke hadde etablert tofaktorautentisering eller tilsvarende effektive sikkerhetstiltak for å oppnå tilstrekkelig beskyttelse.
Datainnbruddet var knyttet til uautorisert pålogging til e-postkontoene til et ukjent antall stortingsrepresentanter og ansatte i administrasjonen og gruppesekretariatene.
PST pekte på russiske aktører
Stortinget varslet om datainnbruddet 24. august 2020. PST konkluderte med at russiske aktører tilknyttet Russlands militære etterretningstjeneste sto bak innbruddet.
Stortingets direktør Marianne Andreassen sier i en pressemelding at hun ser alvorlig på forhåndsvarselet de har fått fra Datatilsynet.
– Informasjonssikkerheten var ikke god nok ved angrepstidspunktet i 2020, og vi klarte dessverre ikke å hindre at personopplysninger fra 13 e-postkontoer kom på avveie. Det må derfor forventes en reaksjon fra Datatilsynet, sier Andreassen.
Frist til 14. februar
Stortingets administrasjon er gitt frist fram til 14. februar 2022 med å gi kommentarer til varselet.
Andreassen sier at det er viktig for Stortingets administrasjon å benytte seg av retten til å gi Datatilsynet supplerende opplysninger slik at et vedtak kan fattes på et best mulig grunnlag.
E-post og Zoom kan være hackernes inngang til hele systemet
