Tilsynet mener Stortinget ikke har gjennomført «egnede tekniske og organisatoriske tiltak for å oppnå et tilstrekkelig sikkerhetsnivå».

– Datatilsynet ser alvorlig på at det fra Stortingets side ikke var iverksatt gode nok tekniske tiltak som kunne ha avverget overtredelsen, for eksempel gjennom bruk av tofaktorautentisering, sier direktør Bjørn Erik Thon.

Angripere har lastet ned data, inkludert personopplysninger fra e-postkontoene til de folkevalgte og ansatte på Stortinget. Konsekvenser kan være misbruk av identitet, betalingskort og bruk av informasjon til utpressing, ifølge tilsynet.

– Datatilsynet mener at dersom tofaktorautentisering hadde blitt gjennomført på et tidligere tidspunkt, så ville sjansen for et vellykket angrep vært adskillig mindre, sier Thon.

Stortinget har tre uker på å svare, før Datatilsynet vurderer saken og fatter et endelig vedtak.

Stortinget svarer

– Jeg ser alvorlig på forhåndsvarselet vi har fått fra Datatilsynet. Informasjonssikkerheten var ikke god nok ved angrepstidspunktet i 2020, og vi klarte dessverre ikke å hindre at personopplysninger fra 13 epostkontoer kom på avveier. Det må derfor forventes en reaksjon fra Datatilsynet, sier direktør Marianne Andreassen i en pressemelding.

Stortinget vil «benytte seg av retten til å gi Datatilsynet supplerende opplysninger slik at et vedtak kan fattes på et best mulig grunnlag».

Andreassen sier at Stortingets administrasjon har tatt mye lærdom fra IT-angrepene som Stortinget er blitt utsatt for.

– På angrepstidspunktet var vi i gang med å følge opp en bred risiko- og sårbarhetsanalyse på it-området som var gjennomført fra høsten 2019 og ferdigstilt i april 2020. Men vi hadde på angrepstidspunktet for svake krav til passord, og vi hadde ikke tofaktorautentisering på hele e-postløsningen, sier Andreassen.

– Det har vært arbeidet systematisk med å følge opp våre risikoanalyser og læringspunkter etter IT-angrepene. Vi har gjennomført store endringer for å forbedre it-sikkerheten, både tekniske og organisatoriske tiltak samt tiltak ut mot den enkelte bruker, sier hun.(Vilkår)Copyright Dagens Næringsliv AS og/eller våre leverandører. Vi vil gjerne at du deler våre saker ved bruk av lenke, som leder direkte til våre sider. Kopiering eller annen form for bruk av hele eller deler av innholdet, kan kun skje etter skriftlig tillatelse eller som tillatt ved lov. For ytterligere vilkår se her.