IT-angrepet på Stortinget: Potensielt skadeomfang er vurdert

– Dette er en svært alvorlig sak. Gjennom analysene vi nå har gjennomført, har vi nå et tydeligere bilde av mulig skadeomfang, sier Stortingets direktør, Marianne Andreassen.

Stortinget informerte offentligheten 1. september om et massivt dataangrep, der et fåtall representanter og ansatte hadde innbrudd på sine e-postkontoer. Angrepet ble raskt stoppet.

Angrepet ble politianmeldt 1. september, og PST etterforsker saken.

Data hentet ut

– Vi har i samarbeid med de rammede arbeidet med å skaffe oss oversikt over hva som ligger i e-postkontoene for å danne oss et best mulig bilde av hva som potensielt kan være på avveie. Denne prosessen er nå avsluttet, sier Stortingets direktør, Marianne Andreassen.

Resultatet av skadevurderingen viser at privat informasjon som kontonummer, personnummer, bankopplysninger og andre personopplysninger kan være på avveie. Av stortingsrelatert informasjon kan informasjon om reiseruter, kontaktdata, forarbeider i forbindelse med behandlingen av politiske saker og noe personinformasjon være kommet på avveie. Enkelte e-postkontoer har inneholdt helseopplysninger, for eksempel om mulige allergier.

Stortinget er fortsatt i prosess med de rammede, og varsler også de personene som kan være omtalt i e-postene til de rammede.

Analysen har ikke avdekket at gradert informasjon er på avveie. Stortinget har tydelige retningslinjer og egne systemer for behandling av gradert informasjon som både representanter og ansatte følger.

Stiller strengere krav til passord

En viktig læring fra hendelsen er at Stortinget i sine systemer ikke har stilt strenge nok krav til passord.

Raskt etter angrepet ble det derfor innført strengere passordkrav, og samtlige brukere måtte bytte passord til sine e-postkontoer. Stortinget jobber nå med ytterligere læringspunkter og tiltak, både relatert til angrepet, men også ut fra en kontinuerlig vurdering av trusselbildet.

– Trusselbildet er krevende og i stadig endring, og vi vet at Stortinget er utsatt. Det foretas derfor løpende vurderinger av tiltak basert på risikovurderinger, og vi samarbeider med sikkerhetsmyndighetene, sier Andreassen.