Datatilsynet advarer: Dramatisk økning i antall dataangrep

Både PST og politiet advarer i sine trusselvurderinger mot digitale angrep på norske virksomheter.

Helt ferske tall fra Datatilsynet viser hvor omfattende utfordringen er.

Antall tilsiktede digitale angrep mot norske virksomheter som har ført til brudd på personopplysningssikkerheten har økt med 39 prosent fra 2023 til 2024.

Til sammen ble det i fjor meldt om 305 angrep til Datatilsynet. Det er en økning fra 219 året før.

System- og programmeringsfeil er mer enn doblet, fra 151 avvik til 398 avvik i 2024.

Nå roper Datatilsynet varsko.

Sofistikert phishing og angrep mot leverandørkjeder

Bak økningen i angrep ligger en teknologisk utvikling som setter virksomhetenes sikkerhetssystemer på prøve. Ifølge Datatilsynet blir metodene stadig mer avanserte, automatiserte og alvorlige.

Kristine Stenbro er seksjonssjef for teknologi, sikkerhet og tilsyn. Hun beskriver utviklingen som bekymringsfull.

– Det gjenspeiler dessverre den trusselsituasjonen som omgir norske virksomheter. Angrepsmetodikkene blir mer og mer snedige. Aktører benytter teknologi som også er helt ny for mange av oss teknologer og som krever spesialkompetanse for å forstå, sier hun.

Særlig øker sofistikert phishing og leverandørkjedeangrep i omfang og alvorlighetsgrad.

Kan omgå to-faktor-autentisering

Det siste halvannet året har det dukket opp en ny type angrep som gjør Stenbro ekstra bekymret. I flere avvik meldes det om at angripere har funnet en vei rundt to-faktor-autentisering.

– Vi og alle andre som jobber med dette, har vært krystallklare på at du må ha to-faktor-autentisering. Men det er nå utviklet flere typer teknologier som gjør angriperne i stand til å forbigå dette og komme seg inn likevel.

Hun kommer med en tydelig advarsel til norske virksomheter:

– Det er uhyre viktig at virksomhetene forstår at teknologien for å omgå de nyeste beskyttelsestiltakene utvikles så fort, at selv veiledningsaktører som oss sliter med å gi ut oppdatert veiledning raskt nok.

Offentlig sektor er hyppigst rammet

Offentlig sektor er overrepresentert blant virksomhetene som melder om sikkerhetsbrudd. Samtidig sitter de på mye av den mest sensitive informasjonen om norske innbyggere.

– Offentlig sektor, inkludert kommuner og fylkeskommuner, troner helt på toppen, og det har de gjort i mange år, sier Stenbro.

Hun understreker at dette kan komme av at de har gode rutiner for å avdekke og rapportere om avvik.

Likevel var de høye tallene bakgrunnen for at Datatilsynet i 2023 gjennomførte et omfattende tilsyn med kommunene. Resultatene viste store forskjeller og flere alvorlige mangler.

Kommuner i alle størrelser avhenger av samvittighetsfulle og dyktige IKT-medarbeidere

Kristine Stenbro
Seksjonssjef for sikkerhet i Datatilsynet

Flere kommuner hadde ikke ordentlige rutiner for å ivareta innbyggernes personvern og sikre data. En del hadde gjort sikkerhetsvurderinger som viste seg å være over ti år gamle.

Og selv om flere av de mindre kommunene gjorde det bra på sikkerhet, gjorde tilsynet et funn som Stenbro beskriver som urovekkende:

– Kommuner i alle størrelser avhenger i alt for stor grad av samvittighetsfulle og dyktige IKT-medarbeidere. De bærer i veldig stor grad all lasten for etterlevelse av regelverket.

Ledelsen må ta grep

Et gjennomgående funn i tilsynet var manglende styring og prioritering fra kommunenes ledelse.

– De som jobber med IKT og sikkerhet, mangler ofte tydelige bestillinger fra ledelsen. Ingen beskjed om hva som må prioriteres, hvilke systemer som er mest sårbare eller hvordan håndtere risiko, sier Stenbro.

Hun etterlyser tydelige strategier, sikkerhetsmål og oppdaterte risikovurderinger.

– Hele det risikobaserte tankesettet må komme fra ledelsen.

Hun understreker samtidig at små og mellomstore bedrifter deler mange av de samme erfaringene og utfordringene som små og mellomstore kommuner. Avvik på personopplysningssikkerhet øker over hele fjøla.

Trenger tydeligere nasjonale føringer

Asbjørn Finstad er avdelingsdirektør for strategisk IKT og digitalisering i kommunenes egen interesseorganisasjon, KS.

Han beskriver tallene fra Datatilsynet som alvorlige. 

– Det er spesielt bekymringsfullt at kommuner og fylkeskommuner rammes så ofte. Vi kjenner igjen utfordringsbildet som Datatilsynet peker på – nemlig at digital sikkerhet i noen kommuner er personavhengig. Det finnes heldigvis mange dyktige fagfolk og ildsjeler rundt om i landet, men det er ikke en bærekraftig modell i møte med stadig mer komplekse trusler.

Finstad sier det trengs sterkere nasjonal innsats for å sikre kommunesektoren. Han etterspør både økte ressurser, bedre verktøy og tydeligere nasjonale føringer.

Alvorlige konsekvenser

Når angrep først skjer, kan konsekvensene være dramatiske. Et eksempel er angrepet mot Østre Toten kommune i 2021. Der ble svært sensitive personopplysninger lekket og lagt ut på det mørke nettet.

– Barnevernsrapporter. Pasientjournaler. For innbyggerne er det en stor belastning å ikke vite hvem som har tilgang til disse opplysningene, sier Stenbro i Datatilsynet.

Hun spurte selv IT-ansatte i kommunene hva som må til for at lederne deres skal ta ansvar. De var helt klar på løsningen: Tilsyn og sanksjoner som svir.