Millionbøde til kommune efter et Ransomware hackerangreb – se bødelisten i Danmark

Ifølge det norske datatilsyn har Østre Toten kommune nu modtaget en bøde på 4 millioner norske kroner. Østre Toten ligger mellem Oslo og Lillehammer, nord for Oslo. Dette sker efter at efter Ransomware hackere krypterede kommunens disksystemer og lagde en hel del indbyggeres persondata på Darknet, hvor disse data fortsat befinder sig.

Der er angiveligt tale om et fejlslagent Ransomware tyveri hvor kommunen har nægtet at betale. Da vi kan se at der er blevet lagt en smagsprøve på Darknet formoder vi at dialogen har indeholdt et krav om bevis fra Kommunens side, der derefter har nægtet at betale, hvorefter alle data er blevet dumpet på Darknet som hævn.

“Dette har vært en utrolig krevende periode. Vi har virkelig stått på bar bakke,” sier ordfører Bror Helgestad (Sp) FOTOKREDIT: Østre Toten Kommune/NRK

Omfattende omkostninger til genskabelse af blandet andet 1.000 computere

I Østre Toten indrømmer talsmændene at sikkerheten ikke var god nok. Over 1.000 computere måtte genopprettes efter at alle backups blev slettet og alle data blev krypteret. Dette skriver NRK.NO.

Ordføreren siger jf. presseinformationen at de ansatte i stor grad har måtte bruge hukommelsen på arbejdsopgaver som de ellers kunne finde på sin egen PC. Men efter hacket er alle data vrk eller krypteret. De ligger nu på Darknet. Ordføreren nævner også at de ikke kender årsagen og dermed de sikkerhedshuller der har været anvendt. Det fremgår ikke om man har forsøgt Datakryptering, eller om man har forsøgt at hente sine data på Darknet. Men der nævnes at hjemmearbejdspladser i forbindelse med Corona muligvis har spillet en rolle.

Ransomware angreb kan også udløse bøder fra Datatilsynet i Danmark kan ses nederst.

Den norske tilsynsmyndighed sætter dermed en ny standard for hvornår der uddeles bøder. Men det samme gælder i Danmark, da det er virksomheder og det offentliges ansvar at data opbevares forsvarligt. 10 offentlige myndigheder har allerede modtaget bøder jf. Datatilsynets egne informationer. Dog er de en del lavere end den norske bøde fordi den største bøde der blev givet til Region Syddanmark var på 500.000 kr.

Man kan sikrer sig med kryptering, blænding af loginsteder via IP adresse, medarbejder og adfærds firewall, logsafe med hard backup (kan ikke ændres) og en fastlåsning af downloadede filer til webserver, ftp server og det lokale netværk.

Hovedårsagen til at dette angreb ikke vil blive opklaret er, at logfiler og data blev slettet. Det er meget simpelt at sikrer sig mod dette. Men der går nok nogle år endnu før alle kommuner, virksomheder og private forstår at man skal bruge omkostninger på at sikre sig.

Analyse af angrebet

Det fremgår ikke klart hvordan det er sket, så analysen er mest gæt og antagelser i forhold til de tekniske undersøgelser der har fundet stet. Adgang ser ud til at være sket fjernadgangsløsninger som RDP, Citrix, VPN eller Teamviewer og her benytter man så stjålne loginoplysninger, hvor de kommer fra fremgår ikke.

Jeg syntes det dog er mere sandsynligt, at der er tale om et Microsoft Exchange Hack, via Microsoft Exchange Server som har været udnyttet succesrigt over hele verden. Dette understøttes af det faktum at Kommunen havde både mangler i forhold til logfiler og låsning af disse (er med til at opklare tyveriet), backup af data (hvilket er et krav for alle). Deruover brugte man ikke to-faktor-godkendelse, hvilket gjorde det nemt for hackerne at bryde ind. Dette ved vi nu:

  1. Ransomware Hackerne har krypteret omkring 30.000 dokumenter.
    Indeholdet heraf angives til at være oplysninger om indbyggernes CPR nummer, etnicitet, politiske og religiøse overbevisning, fagforeningsmedlemskab, seksuelle forhold, helbredsoplysninger, diagnoser, bank kontooplysninger og MinID, hvilket svarer til det danske MitID/NemID.
  2. Yderligere ca. 2000 dokumenter med persondata er også endt på det mørke net. (Det man kalder bevis på hacklingen eller proof-of-hacking)
  3. Der er overført 31,5 GB data fra en af kommunens Exchange-servere til en IP-adresse i Holland. Dette efterforskes i skrivende stund.
  4. Datatilsynet skriver desuden i sin offentliggjorte rapport: »Ydermere havde hackeren eksporteret en lang række indbakker fra Exchange-serveren. I alt udgør indbakker og andre filer ca. 160 GB data. Trusselsaktøren har haft administratoradgang til alle computere, og alle filer fra de servere, der blev undersøgt kan i princippet være blevet eksfiltreret,«
  5. Hackerne har slettet alle backups der ikke var krypteret eller beskyttet
  6. Den første uge var mange helt uden e-mail
  7. Socialhjælpsansøgere måtte skrive ansøgninger igen, da disse nu var forsvundet
  8. Mere end 1.000 PC’ere skulle omformateres og have lagt Windows og ny software på.
  9. Alle de ansatte måtte bruge papir og blyant i en lang periode, indtil de fik en nyinstalleret PC

Entydige brud på GDPR reglerne siger Datatilsynet

»Dette viser en svaghed både i kommunens evne til at identificere et hackerangreb og mangelfuld informationssikkerhed i systemet,« og »Som følge af mangelfuld informationssikkerhed, sammenholdt med ledelsens og ansattes manglende bevidsthed om mulige sikkerhedstrusler og dataangreb, har Østre Toten kommune brudt det grundlæggende princip om pligten til at varetage oplysningers fortrolighed og integritet.«

siger Datatilsynet.

Man henviser også til forordningens artikel 32, der siger, at dataansvarlige skal sørge for at lave passende sikkerhedsforanstaltninger for at beskytte registreredes data. Og det har kommunen ikke gjort. Efter angrebet har Østre Toten dog brugt omkring 32 millioner norske kroner på at optimere it-sikkerheden, skriver V2 og tilsynet i pressemeddelelsen.

Dansk virksomhed får alvorlig kritik

For et par uger siden kom der en lignende afgørelse fra det danske datatilsyn, efter virksomheden Dantherm sidste år havde været udsat for et hackerangreb.

Også her endte medarbejder data, kontrakter og interne data på Darknet. Denne sag er speciel fordi det er sjældent at hackerne ikke krypterer data på ofrenes servere og computere. Dantherm havde nemlig efter dette hack, fuld adgang til sine data. I Dantherm sagen henviser Datatilsynet til, at Dantherm har brudt med GDPRs artikel 32, og blandt andet på den baggrund vælger man at give alvorlig kritik, emn altså ikke en både i denne sag.

Oversigt over Datatilsynets bøder for datalæk, Ransomware og hacking til offentlige myndigheder

Kommune:Bøde i kroner:
Gladsaxe Kommune: 100.000
Lejre Kommune:50.000
Guldborgsund Kommune:50.000
Vejle Kommune:200.000
Udlændingestyrelsen:150.000
Region Midtjylland:400.000
Favrskov Kommune:75.000
Region Syddanmark:500.000
Hørsholm Kommune:50.000
Kilde: Datatilsynet.dk

Cybersikkerhed & Nyheder