Mandag 24. januar varslet Datatilsynet at det utsteder en bot på to millioner kroner til Stortinget for manglende sikkerhet i deres ikt-systemer. Boten utstedes blant annet som følge av at Stortinget manglet såkalt tofaktor-autentisering for tilgang til enkelte av sine epostservere.
Dette er ikke første gang Datatilsynet utsteder bot etter at en virksomhet utsettes for datainnbrudd og -angrep. Østre-Toten kommune fikk for tre måneder siden en bot på fire millioner kroner fra Datatilsynet. Også denne gangen var det manglende sikkerhetsstyring og -tiltak som førte til at boten ble utstedt.
Ved begge tilfellene har Datatilsynet utstedt bøter til virksomheter som er blitt rammet av dataangrep utført av trusselaktører. Det aktualiserer et viktig spørsmål: Bør trusselaktørers aktivitet påvirke hvem som mottar bøter fra Datatilsynet?
Datatilsynet har en viktig rolle som tilsynsmyndighet i Norge, etter personopplysningsloven og EUs personverndirektiv (GDPR). Utfordringen som de to nevnte sakene illustrerer, er at Datatilsynets kontroll av virksomhetene utføres etter at datainnbrudd og -angrep har inntruffet og personopplysninger har kommet på avveie. Det er en reaktiv form for kontroll.
En mer proaktiv tilnærming som ville ført til bedre sikkerhet i ikt-systemer og for personopplysninger, er om tilsynene ble utført forebyggende. Altså før hendelser inntreffer.
Avvik som tilsynsmyndighetene avdekker, kan dermed følges opp med pålegg om å utbedre. Utbedres ikke avviket, kan tilsynet bøtelegge virksomheten. På denne måten fungerer tilsynsfunksjonen forebyggende.
Trusselen om sanksjoner blir dermed en motivasjonsfaktor for å forbedre sikkerheten. Når det gjelder Stortinget og Østre-Toten, har virksomhetene allerede fått sin straff. Hendelsene har illustrert at sikkerheten ikke har vært tilstrekkelig. Men de to har allerede hatt store kostnader: 32 millioner for Østre-Toten kommune, og boten fra Datatilsynet vil derfor gjøre lite fra eller til.
I verste fall kan boten ha negative effekter på andre virksomheters villighet til å dele informasjon dersom de utsettes for datainnbrudd.
Datatilsynets bøter kan på den positive siden skape en signaleffekt overfor virksomheter som ikke tar ikt-sikkerhet og beskyttelse av personopplysninger på alvor. I tillegg er det velkomment at tilsynet bidrar til å sette en rettslig standard for hvilke sikkerhetstiltak som må være implementert, slik som to-faktor autentisering.
Likevel bør kontrollvirksomheten utføres forebyggende. Det vil alltid være enklere å se at sikkerheten ikke har vært god nok i ettertid.
Faktum er at svært mange virksomheter i dag ikke engang er i stand til å avdekke om de blir utsatt for et datainnbrudd. Mandiant - et av verdens ledende cybersikkerhetsselskaper - rapporterte i 2020 at mer enn halvparten av alle forsøk på cyberangrep ikke oppdages.
Hvordan statistikken ser ut for Norge, kan vi bare spekulere i, da det er enorme mørketall, men vi vet at vi på ingen måte blir skånet.
Det har de siste årene vært mye oppmerksomhet om at det er viktig å dele informasjon når man utsettes for cyberangrep. Vi bør derfor være forsiktige med å iverksette sanksjoner som kan redusere virksomheters vilje til å dele informasjon om datainnbrudd og -angrep.
Forebyggende tilsyn kan derimot kunne bidra til bedre datasikkerhet hos flere.
(Vilkår)Copyright Dagens Næringsliv AS og/eller våre leverandører. Vi vil gjerne at du deler våre saker ved bruk av lenke, som leder direkte til våre sider. Kopiering eller annen form for bruk av hele eller deler av innholdet, kan kun skje etter skriftlig tillatelse eller som tillatt ved lov. For ytterligere vilkår se her.