– Jeg ser alvorlig på forhåndsvarselet vi har fått fra Datatilsynet. Informasjonssikkerheten var ikke god nok ved angrepstidspunktet i 2020, og vi klarte dessverre ikke å hindre at personopplysninger fra 13 epostkontoer kom på avveie. Det må derfor forventes en reaksjon fra Datatilsynet, sier Marianne Andreassen.

– Det er samtidig viktig for Stortingets administrasjon å benytte seg av retten til å gi Datatilsynet supplerende opplysninger slik at et vedtak kan fattes på et best mulig grunnlag, sier hun.

Sendte melding til Datatilsynet

Stortinget ble i slutten av august 2020 utsatt for et omfattende IT-angrep, der en trusselaktør lyktes med å hente ut data fra et begrenset antall epostkontoer.

I forbindelse med angrepet sendte Stortingets administrasjon melding til Datatilsynet om at personopplysninger var på avveie.

Stortingets administrasjon har nå mottatt et brev der Datatilsynet forhåndsvarsler at de vurderer å treffe vedtak om et overtredelsesgebyr på to millioner kroner. Dette er først og fremst begrunnet med at det ikke var innført to-faktorautentisering på epostløsningen ved angrepstidspunktet i 2020.

Stortingets administrasjon er gitt frist frem til 14. februar 2022 med å gi kommentarer til varselet.

Har tatt lærdom

Andreassen sier at Stortingets administrasjon har tatt mye lærdom fra IT-angrepene som Stortinget har blitt utsatt for.

– På angrepstidspunktet var vi i gang med å følge opp en bred risiko- og sårbarhetsanalyse på IT-området som var gjennomført fra høsten 2019 og ferdigstilt i april 2020. Men vi hadde på angrepstidspunktet for svake krav til passord, og vi hadde ikke to-faktorautentisering på hele e-postløsningen, sier Andreassen.

– Det har vært arbeidet systematisk med å følge opp våre risikoanalyser og læringspunkter etter IT-angrepene. Vi har gjennomført store endringer for å forbedre IT-sikkerheten, både tekniske og organisatoriske tiltak samt tiltak ut mot den enkelte bruker, sier hun.

– I et skiftende og stadig mer krevende trusselbilde må vi jobbe kontinuerlig med tiltak for å møte nye trusler, legger hun til.

– Datatilsynet har en viktig samfunnsfunksjon, og det er bra at de ettergår Stortingets administrasjon på dette området, sier hun.