Etterretningstjenestens vurderinger 2024 ▼
https://www.etterretningstjenesten.no/publikasjoner/fokus/Fokus24_innhold
Forsvarets etterretningsdoktrine ▼
https://www.etterretningstjenesten.no/publikasjoner/etterretningsdoktrinen
Nasjonal trusselvurdering 2024 ▼
https://www.pst.no/globalassets/2024/nasjonal-trusselvurdering-2024/nasjonal-trusselvurdering-2024_uuweb.pdf
https://www.regjeringen.no/no/aktuelt/styrker-sikkerhet-og-forbrukerrettigheter-i-ny-ekomlov/id3033939/
Styrker sikkerhet og forbrukerrettigheter i ny ekomlov
Pressemelding | Dato: 12.04.2024
Regjeringen legger i dag fram forslag til ny lov for elektronisk kommunikasjon. Dagens lov fra 2003 var tilpasset en tid hvor kun halvparten av befolkningen hadde tilgang til internett hjemme, og smarttelefoner var knapt å oppdrive. Med lovforslaget legger regjeringen til rette for en ny digital hverdag med høy sikkerhet og gode rammevilkår for næringslivet.
- Dette er en lov som sikrer, trygger og bygger samfunnet vårt videre, både for folk og næringsliv, når vi skal bygge landet på nytt med digitalisering som verktøy, sier digitaliserings- og forvaltningsminister Karianne Tung.
Ekomloven, eller «Lov om elektronisk kommunikasjon», regulerer levering og bruk av nett og tjenester som gjør at vi kan kommunisere med hverandre elektronisk gjennom mobiltelefon og internett. Den norske ekombransjen omsetter for over 37 milliarder koner hvert år og er en sektor som bærer stadig større verdier i samfunnet vårt.
- Ekomnettene er rett og slett helt grunnleggende for at samfunnet vårt skal fungere i dag. Internett er avgjørende for at næringslivet kan utvikle nye innovative digitale tjenester og avansert teknologi. Den nye loven setter krav til forsvarlig sikkerhet i den digitale infrastrukturen, samtidig som forbrukerens rettigheter styrkes, sier Tung.
Datasentrene reguleres for første gang
Datasenternæringen i Norge er relativt ny, og dagens regelverk stiller ingen egne krav som kun er rettet mot datasentre. Det endres nå.
- Vi er alle avhengige av datasentre, hver eneste dag. Omtrent alt vi gjør på en pc eller en smarttelefon er innom et datasenter. De er avgjørende i vår digitale hverdag. Samtidig er dette en ny bransje, som til nå ikke har vært regulert. Derfor vil regjeringen innføre registreringsplikt på hvem som står bak datasenteret, kontaktperson for senteret og hvilke tjenester som tilbys, sier Tung.
Styrker forbrukerrettigheter
I lovforslaget styrkes forbrukerrettighetene. Det stilles krav til at abonnentenes avtalevilkår skal være lettere tilgjengelig og ikke inneholde diskriminerende vilkår. Det stilles også krav om at personer med nedsatt funksjonsevne skal få tilgang til likeverdige kommunikasjonstjenester. I tillegg vil de som bytter epost-tilbyder få rett til gratis tilgang til epost i tre måneder etter at avtalen er avsluttet.
Nye cookie-regler
I det nye lovforslaget skjerpes samtykkekravet for informasjonskapsler (også kalt cookies). Samtykke til en cookie må oppfylle kravene til et GDPR-samtykke. Det betyr blant annet at det skal være like lett å si nei som å si ja til å godta cookies. Det vil ikke settes krav om samtykke hver gang en nettside åpnes, men lovendringen vil gi brukerne bedre kontroll med hvordan nettstedene sporer aktiviteten deres. Endringen vil gi norske brukere samme rettigheter som brukere i andre EØS-land.
Bredbånd til alle
Regjeringen vil sikre bredbånd til alle i hele landet. Bredbånd bygges først og fremst ut på kommersielt grunnlag, i tillegg kan de som mangler bredbånd få støtte gjennom statens tilskuddsordning til bredbåndsutbygging.
Ny ekomlov innfører en hjemmel som gir mulighet til å pålegge tilbyder å levere bredbånd der det ikke leveres på annen måte. Formålet er å sikre at alle får et tilbud om tilgang til funksjonelt internett over hele landet. Denne hjemmelen vil bli brukt dersom andre virkemidler ikke fører frem.
Styrket sikkerhet
Med den nye loven ønsker vi å styrke sikkerheten og robustheten til elektroniske kommunikasjonstjenester og -nett. Elektronisk kommunikasjon inngår i nesten all annen virksomhet, og samfunnets avhengighet av ekom er økende og stadig mer kritisk. I loven viderefører vi kravet til forsvarlig sikkerhet for ekomtilbyderne, og kravet utvides altså også til å gjelde datasenteroperatørene. I tillegg vil vi operasjonalisere kravet til forsvarlig sikkerhet ytterligere i forskrift.
https://www.regjeringen.no/no/dokumenter/prop.-93-ls-20232024/id3033688/
Prop. 93 LS (2023–2024)
Tilråding fra Digitalisering- og forvaltningsdepartementet 12. april 2024, godkjent i statsråd samme dag. (Regjeringen Støre)
Proposisjon til Stortinget (forslag til lovvedtak og stortingsvedtak)
Digitaliserings- og forvaltningsdepartementet legger i proposisjonen fram forslag til ny lov om elektronisk kommunikasjon (ekomloven). Loven vil regulere og gi rammer for ekomsektoren og datasenterindustrien i årene som kommer. Loven regulerer internett, mobil og bredbåndstjenester og andre tradisjonelle elektroniske kommunikasjonsnett og -tjenester. I tillegg reguleres datasentre for første gang i ny ekomlov. Den nye loven erstatter gjeldende lov fra 2003. Reguleringen moderniseres for å støtte den teknologiske utviklingen, endrede markedsforhold, nye krav til sikkerhet og brukernes behov for tilgang til høyhastighets internett. Departementet foreslår samtidig at Stortinget samtykker til godkjenning av EØS-komiteens beslutninger nr. 274/2021, 275/2021, 276/2021 og 277/2021 om innlemmelse i EØS-avtalen av forordningene (EU) 2018/1971, (EU) 2019/2243, (EU) 2020/1070 og direktiv 2018/1972.
https://www.regjeringen.no/contentassets/096a9d827c8f48c3ae8b7817fe463a25/no/pdfs/prp202320240093000dddpdfs.pdf
https://www.regjeringen.no/contentassets/096a9d827c8f48c3ae8b7817fe463a25/no/epub/prp202320240093000dddepub.epub
https://www.regjeringen.no/contentassets/096a9d827c8f48c3ae8b7817fe463a25/no/docx/prp202320240093000ddddocx.docx
Videre behandling av saken
Følg proposisjonen på Stortinget
https://www.datatilsynet.no/aktuelt/aktuelle-nyheter-2024/personvernundersokelsen-2024/
Personvernundersøkelsen 2024 - tall og trender
Den norske befolkningen kan mer om personvern enn tidligere. Samtidig opplever mange at sporingen på nettet er uoversiktelig, og at det er ubehagelig med alle opplysningene om dem som ligger der ute. Dette kommer frem i en landsdekkende undersøkelse om befolkningens forhold til personvern som Datatilsynet gjennomførte vinteren 2024.
Seks år etter at det nye personvernregelverket trådde i kraft, er det langt færre (21 prosent) som sier de kjenner svært dårlig til regelverket enn da vi sist spurte i 2019 (37 prosent). Rundt 70 prosent kjenner dessuten til de mest sentrale rettighetene sine. I 2019 var det flere med høy utdannelse og inntekt som kjente til regelverket, noe som fortsatt er tilfelle. Blant de som har mindre kjennskap til regelverket og rettighetene, finner vi også en betydelig større andel unge mennesker i alderen 15 til 19 år.
– Vi mottar jevnlig henvendelser fra unge arbeidstakere som er usikre på rettighetene sine, for eksempel i forbindelse med kameraovervåking. Det er viktig at også denne gruppen får bedre kjennskap til regelverket, sier Kari Laumann, fungerende avdelingsdirektør for utredning, analyse og politikk i Datatilsynet.
Manglende kontroll og ubehag
Det er krevende å ha oversikt over hvem som samler inn hvilke personopplysninger, og hva de brukes til. Kun 29 prosent føler at de har kontroll over hvordan personopplysninger om dem brukes på nettet, og 50 prosent føler ubehag ved å tenke på hvor mange personopplysninger som finnes om dem på internett. Det er de yngste og de med høy utdanning som sier at de i liten grad har kontroll, mens ubehaget rammer bredt. De eldste kjenner i større grad på ubehag, til tross for at de oppgir å ha mer kontroll enn resten av befolkningen.
De aller fleste i undersøkelsen (74 prosent) har latt være å laste ned en app fordi de er usikre på hvordan personopplysningene blir brukt. De som i tillegg synes det er ubehagelig å tenke på alle personopplysningene som finnes der ute, unngår i større grad å delta ulike aktiviteter på nett enn det resten av befolkningen gjør. Også her spiller alder en rolle. Aldersgruppen 15 til 19 år har i mindre grad enn resten av befolkningen latt seg hindre av usikkerhet om tjenesters bruk av personopplysninger.
Unge er mindre opptatt av personvern
De yngste i undersøkelsen (15 til 19 år) er også langt mindre opptatt av personvern enn resten av befolkningen. Mens det gjennomsnittlig er 16 prosent som er lite opptatt av personvern, svarer hele 33 prosent i denne aldersgruppen det samme. Denne aldersgruppen har samtidig mindre kunnskap om regelverket og opplever å ha mindre kontroll over personopplysningene, og de synes de det er like ubehagelig som alle andre å tenke på at det ligger mye personopplysninger ute på nettet.
– Unge mennesker er vant til å gi fra seg store mengder personopplysninger til tjenestene de bruker, og de bruker en langt større bredde av tjenester enn det eldre aldersgrupper gjør. Vi ser i undersøkelsen at unge skiller seg ut på flere områder, og det er interessant å se at de har en litt annen tilnærming til personvern, sier Laumann.
Kunstig intelligens utfordrer personvernet
I årets undersøkelse har vi bedt respondentene om å ta stilling til konsekvenser for personvernet ved bruk av kunstig intelligens. De fleste mener at kunstig intelligens vil utfordre personvernet ved at for store mengder personopplysninger samles inn og brukes på måter man ikke er enig i (69 prosent). Det er bred støtte for at myndighetene bør ta en aktiv rolle i reguleringen av kunstig intelligens (84 prosent), men betydelig færre som tror de er i stand til å gjøre det (33 prosent).
Last ned
Personvernundersøkelsen 2024 (pdf)
Politiet med ny tips-portal for å rapportere datakriminalitet
Politiet med ny tips-portal for å rapportere datakriminalitet – Næringslivets Sikkerhetsråd (nsr-org.no)
Politiet ønsker tips om datakriminalitet slik at de får mer kunnskap om kriminalitetsformen, og kan styrke politiets forebyggende og kriminalitetsbekjempende arbeid.
Gå til politiets tips-side.
Stor forebyggende aksjon mot datakriminalitet: Over 170 bedrifter varslet og 28 angrep avverget
Stor forebyggende aksjon mot datakriminalitet: Over 170 bedrifter varslet og 28 angrep avverget - Økokrim (okokrim.no)
Kripos og Økokrim har i samarbeid avdekket en bedragerimetode og klart å forhindre minst 28 bedragerier mot norsk næringsliv.
Datakrimretten i «fugleperspektiv»
Datakrimretten i «fugleperspektiv» | Tidsskrift for strafferett (idunn.no)
Sammendrag
Artikkelen gir en oversikt over datakrimretten. Området anses å bestå av tema innen materiell strafferett, straffeprosess, politirett (forebyggende politiarbeid) og folkerett. Det foretas et tilbakeblikk på de lange linjer i datakrimretten. Deretter drøftes noen konsekvenser av at det savnes en underliggende filosofi som kunne bidra til å gi konsekvente rettslige løsninger på området. Også sammensmeltingen av konsepter som bærer de straffeprosessuelle tvangsmidlene, tas opp. Endelig reises noen spørsmål innen forebyggende politiarbeid på internett, et felt som hittil er lite utredet.
Har vi behov for straffebud om datakriminalitet?
Har vi behov for straffebud om datakriminalitet?1 | Tidsskrift for strafferett (idunn.no)
Sammendrag
Artikkelen analyserer gjerningsbeskrivelsen i straffebud om datakriminalitet. Det går et skille mellom ytrings- og handlingsstraffebud som er relevant for lovbrudd på internett, og straffebudene burde i større grad reflektere dette. Av hensyn til legalitetsprinsippet og behovet for en rimelig tilgjengelig og klar straffelov foreslås det også visse forenklinger. I dagens utforming er straffebudene vanskelige å forstå, og de er heller ikke helt dekkende for det de er ment å ramme. Flere forskjellige lovbrudd tar utgangspunkt i krenkelse av datasikkerheten, og beskrivelsen av denne modusen burde konsentreres til ett sted. De forskjellige etterfølgende moduser kunne utpensles i umiddelbar tilknytning til dette (databedrageri, dataskadeverk, datainnbrudd, ulovlig overvåking, driftshindring). I lys av datateknologiens store utbredelse kan en rekke tradisjonelle lovbrudd dessuten begås ved å manipulere datasystemer. Spørsmålet gjelder behovet for å straffe datalovbruddet i konkurrens med det tradisjonelle lovbruddet. En mulighet kan være heller å gjøre det tradisjonelle lovbruddets dataaspekt til en generell straffskjerpende omstendighet. Dette vil kunne lette etterforskningen og effektivisere strafforfølgningen.
Databehandlers behandling av personopplysninger
Databehandlers behandling av personopplysninger | Tidsskrift for forretningsjus (idunn.no)
Sammendrag:
Artikkelen omhandler databehandlers behandling av personopplysninger, herunder grensedragningen mellom den behandlingsansvarlige og databehandler, databehandlerens plikter, omfanget av behandlingen, krav til informasjonssikkerhet, databehandlerens bruk av underdatabehandler, erstatningsansvar og sanksjoner. Databehandling over landegrensene behandles også i relasjon til databehandler. Artikkelen redegjør for gjeldende rett for databehandling av personopplysninger etter personopplysningsloven og -forskriften, og omhandler også betydningen personvernforordningen vil få for databehandlers behandling av personopplysninger.
Nøkkelord: personvern, personopplysninger, databehandler, personopplysningsloven, personverndirektivet, personvernforordningen.
Håndtering av personvernet ved digitale angrep
Alle virksomheter kan utsettes for digitale angrep. Motivasjonen og metoden bak angrepene varierer, sammen med alvorlighetsgraden av konsekvensene. Denne veiledningen beskriver noen vanlige hendelsestyper, og ser spesielt på hvordan personvernet kan håndteres når virksomheten er utsatt for et slikt angrep.
Innledning
Samtidig som det er en kontinuerlig fare for å bli utsatt for digitale angrep, kan virksomhetene være spesielt sårbare i perioder knyttet til høytider, ferieavvikling og tidspunkt der det er vanligere med bruk av vikarer og potensielt uerfarent personell. Det er derfor viktig å være bevisst på hvilken type bemanning og rutiner virksomheten har også i slike perioder.
Virksomhetens sårbarhet for digitale angrep, og hvor store konsekvensene av et slikt angrep kan være, avhenger også i stor grad av hvor god struktur virksomheten har på styringen av informasjonssikkerhet og personopplysningssikkerhet.
Les mer om etablering av internkontroll
I denne veiledningen ser vi nærmere på noen utvalgte hendelsestyper, og går gjennom hvilke vurderinger virksomheten bør gjøre knyttet til personvern spesielt når hendelsen faktisk har oppstått. Dette inkluderer å identifisere typen hendelse – noe som kan ha betydning for å vurdere hva virksomheten bør gjøre relatert til mulige brudd på personvernet.
Ved hendelser hvor mulige konsekvenser for personvernet er uklare, skal hovedprioriteringen være egen håndtering av hendelsen. Det innebærer at melding til Datatilsynet i en tidlig fase kan inneholde midlertidig og ufullstendig informasjon. Det er imidlertid viktig og lovpålagt å sørge for at denne første meldingen gis innen 72-timers fristen, og at meldingen følges opp med utfyllende informasjon når virksomheten har bedre oversikt over situasjonen.
Meld fra om brudd i personopplysningssikkerheten
Overordnet kan vi si at hendelser slik som tjenestenektangrep og direktørsvindel i mindre grad vil ha et potensiale for alvorlige brudd på personopplysningssikkerheten. Vellykkede phishing-, epost- og utpressingsangrep, har derimot en høy risiko for alvorlige brudd på personopplysningssikkerheten.
I personvernforordningen finner dere bestemmelser om:
Tjenestenektangrep (DDoS)
Hensikten med et tjenestenektangrep er å gjøre en tjeneste utilgjengelig, slik at de som skal bruke tjenesten ikke får tilgang til den.
Tjenestenektangrep er teknisk enkle og krever tilnærmet ingen teknisk kompetanse av trusselaktøren. Dermed kan slike angrep settes i gang av omtrent hvem som helst, og kan kjøpes som en tjeneste fra en tredjepart for en lav kostnad.
Les mer om denne typen angrep på Nettvett.no og hos Nasjonal sikkerhetsmyndighet (nsm.no).
Personvern og tjenestenektangrep
I svært mange tilfeller vil personvernkonsekvensene som følger av et tjenestenektangrep, være minimale. Vanligvis rammes nettsidene til en virksomhet kun for å skape en signaleffekt, og ikke nødvendigvis for å blokkere en viktig tjeneste. Nettsiden er et av virksomhetens ansikter utad, og det vil synes for alle som besøker nettsiden at den er nede.
Slike angrep er gjerne kortvarige. Brukeren av en nettside vil derfor ofte kunne besøke siden igjen kort tid etter at angrepet startet.
Konsekvenser
Tjenestenektangrep mot en nettside har i mange tilfeller ingen konsekvenser for personvernet. Brudd på personopplysningssikkerheten som «sannsynligvis ikke vil medføre en risiko for fysiske personers rettigheter og friheter» skal ikke meldes til oss.
Enkelte former for tjenestenektangrep kan imidlertid ha konsekvenser for personvernet. Bortfall av bank- og betalingstjenester kan for eksempel føre til at noen ikke får betalt i butikken eller på restauranten de har besøkt.
Tjenestenektangrep kan ved noen tilfeller også føre til at ansatte selv gjør endringer i systemet (brannmurer, cacheløsninger og lignende) for å håndtere situasjonen. Dette kan i ettertid vise seg å føre til uønsket publisering av personinformasjon.
Tjenestenektangrep som fører til bortfall av telenettet, kraftnettet, helsetjenester eller nødtjenester, vil også kunne føre til alvorlige konsekvenser for personvernet.
Tjenestenektangrep som kan medføre en risiko for fysiske personers rettigheter og friheter, skal meldes til Datatilsynet.
Phishing
Et phishing-angrep begynner stort sett med en e-post eller en SMS. Det vanligste er å forsøke å lure mottakeren til å trykke på en lenke der de må oppgi brukernavn/passord til et system, åpne et vedlegg som inneholder skadelig programkode eller gjennomføre en betaling.
Trusselaktører bruker ofte phishing for å få tilgang til virksomhetens datasystemer. Dette kan være systemer for e-post, lønn, HR, produksjon eller filområder.
Phishing (nettfiske) er en av de mest effektive måtene å angripe virksomheter på. I slike angrep utnytter ondsinnede aktører menneskelige sårbarheter for å oppnå målene sine.
Vi har laget veiledning om hva phishing er og hvordan virksomheten best kan beskytte seg mot slike angrep.
Det kan være ulik motivasjon for å ramme en virksomhet. Svært mange vellykkede phishingangrep etterfølges av utpressingangrep som vi omtaler senere i veiedningen. Noen angrep er forsøk på bedriftsspionasje eller spionasje fra andre stater, eller det kan være forsøk på økonomisk svindel.
Virksomheter kan rammes av phishing selv om de bruker tofaktor- eller flerfaktorautentisering (også kalt sterk autentisering). Man er altså ikke immun mot phishing selv om man bruker dette. Forskjellige typer sterk autentisering, har ulike grader av robusthet mot angrep. Til tross for dette vil autentisering med flere faktorer uansett gjøre det mer krevende for eksterne aktører å utnytte sårbarheter.
Dersom virksomheten din har blitt utsatt for et vellykket phishingangrep, bør dere handle raskt for å redusere konsekvensene av hendelsen.
De fleste vellykkede phishingangrep medfører brudd på personopplysningssikkerheten, og må meldes til Datatilsynet.
Personvern og phishing
Phishingangrep som lykkes, kan i mange tilfeller føre til at personopplysninger kommer på avveier eller blir gjort utilgjengelige. En trusselaktør som logger seg inn i et system med en ansatt sin brukerkonto, har for eksempel minst tilegnet seg ulovlig tilgang til den ansattes brukernavn og passord. Det er derfor ofte kun et spørsmål om hvor mange personopplysninger bruddet gjelder. For å finne ut av dette må dere vite i hvilke systemer dere behandler personopplysninger, og dere må gjennomgå loggene for disse systemene.
Hvis virksomheten oppdager et innbrudd i egne systemer, må bruddet først og fremst stoppes.
Konsekvensene for personvernet kan være betydelige, avhengig av hvilke opplysninger som behandles i systemene. Virksomhetens filområder kan for eksempel inneholde sykemeldinger eller andre dokumenter med personopplysninger om tidligere og nåværende ansatte, kunder og andre personer virksomheten har hatt et forhold til. Virksomheten bør derfor raskt forsøke å få oversikt over hvilke personopplysninger som er omfattet, slik at de kan vurdere om de berørte personene skal varsles.
Innbrudd i e-postkonto
Hvis trusselaktøren har fått tilgang til et e-postsystem, kan de ha fått tilgang til opplysninger om mange personer. Alle personer det finnes informasjon om i e-poster og kontaktregisteret, samt eieren av e-postkontoen, må sannsynligvis regnes som berørte av bruddet. Hvis trusselaktøren har brukt e-postkontoen til å sende e-post til andre igjen, vil disse personene også være berørte. Ofte kan det være snakk om minst noen hundre berørte personer per e-postkonto.
Enkelte e-postkontoer vil inneholde mer sensitive opplysninger enn andre. Dette gjelder for eksempel kontoene til HR-ansatte, verneombud, tillitsvalgte, ledere eller ansatte i helseforetak.
Økonomisk svindel
Noen angrep vil være forsøk på økonomisk svindel. Hvis virksomheten er utsatt for dette, bør dere ta kontakt med banken deres så fort som mulig. Les også kapittelet om direktørsvindel.
Hvis svindelen «sannsynligvis ikke vil medføre en risiko for fysiske personers rettigheter og friheter» trenger dere ikke melde fra til Datatilsynet.
E-postangrep (credential stuffing-angrep)
Såkalte credential stuffing-angrep (e-postangrep) utgjør en betydelig og økende sikkerhetstrussel. Credential stuffing er en cyberangrepsmetode som utnytter folks tendens til å bruke samme brukernavn og passord på tvers av flere nettkontoer. Ved å bruke stjålne påloggingsdetaljer hentet fra urelaterte datainnbrudd, kan trusselaktørene få tilgang til folks kontoer på tvers av nettsteder. Disse angrepene er automatiserte og skjer ofte i stor skala.
Datatilsynet ser klare sammenhenger mellom store datalekkasjer av databaser med brukernavn og passord og angrep mot norske virksomheter.
Derfor har datatilsyn fra mange land gått sammen og laget veiledning om hva dette innebærer og hva individer og virksomheter kan gjøre for å forebygge, oppdage og redusere risikoen for slike angrep.
Se veiledningen om e-postangrep (credential stuffing)
https://www.digi.no/artikler/massiv-datalekkasje-26-milliarder-poster-lekket/542835
Massiv datalekkasje: 26 milliarder poster lekket
TV 2 utsatt for dataangrep – 18.000 kunder må bytte passord
https://www.digi.no/artikler/tv-2-utsatt-for-dataangrep-18-000-kunder-ma-bytte-passord/524879
Personvern og e-postangrep
E-postangrep som lykkes, kan i mange tilfeller føre til at personopplysninger kommer på avveier eller blir gjort utilgjengelige. En trusselaktør som logger seg inn i et system med et gyldig brukernavn og passord, har for eksempel minst tilegnet seg ulovlig tilgang til brukerens profilinformasjon, i tillegg til å å ha fått en bekreftelse på at kombinasjonen av brukernavnet og passord er i aktivt bruk. Det er derfor ofte kun et spørsmål om hvor mange personopplysninger bruddet gjelder. For å finne ut av dette må dere vite i hvilke systemer dere behandler personopplysninger, og dere må gjennomgå loggene for disse systemene.
Hvis virksomheten oppdager et innbrudd i egne systemer, må bruddet først og fremst stoppes.
Konsekvensene for personvernet kan være betydelige, avhengig av hvilke opplysninger som behandles i systemene. Virksomheten bør derfor raskt forsøke å få oversikt over hvilke personopplysninger som er omfattet, slik at de kan vurdere om de berørte personene skal varsles.
Hvis svindelen «sannsynligvis ikke vil medføre en risiko for fysiske personers rettigheter og friheter» trenger dere ikke melde fra til Datatilsynet.
Direktørsvindel
Direktørsvindel kalles også "CEO-fraud". Dette er primært svindel som utføres ved at personer som utgir seg for å være i ledelsen i virksomheten, forsøker å sette i gang økonomiske transaksjoner.
Angrepskanal kan være epost (både fra eksterne og tilsynelatende interne), SMS, fysiske brev eller telefonsamtaler, samt strukturerte kanaler som faktura- og betalingssystemer.
En vellykket direktørsvindel kan ha store økonomiske konsekvenser for virksomheten. I tillegg kan direktørsvindel ha konsekvenser for de personene som har blitt lurt av svindelen og gjennomfører transaksjonene i god tro.
Direktørsvindel og personvern
I de aller fleste tilfellene vil risikoen for den enkeltes rettigheter og friheter som følge av direktørsvindel, være lav. Derimot kan den eksterne aktøren ha brukt tid på å kartlegge både personen de utgir seg for å være, samt personene de ønsker å lure. Om dette gir grunnlag for å melde avvik til Datatilsynet, må virksomheten vurdere i hvert enkelt tilfelle.
Les mer om hvilke brudd som skal meldes til Datatilsynet
Virksomheten bør også være oppmerksom på at metoden for å kartlegge personer, og spesielt utgi seg for å være internt ansatte via interne epostsystemer, kan være støttet av andre angrepsformer slik som phishing og epostangrep (omtalt i forrige kapittel).
Les også om direktørsvindel på Nettvett.n
Utpressingsangrep
Utpressingsangrep kalles også løsepengeangrep eller "ransomware" og går ut på at eksterne aktører får adgang til virksomhetens IT-plattform og deretter krypterer, sletter og/eller kopierer ut data.
Formålet med disse angrepene er å presse virksomheten til å betale for å gjenopprette tilgangen til egne data og systemer. Angriperne truer ofte med å publisere stjålet sensitiv informasjon for å øke sannsynligheten for at virksomheten betaler.
Alvorlighetsgraden kan vurderes som alt fra "irriterende", hvis data ikke kopieres ut og virksomheten på egenhånd raskt klarer å gjenopprette normalsituasjon, til "katastrofal" hvis sensitive opplysninger er kommet på avveier eller virksomhetskritiske data er permanent tapt.
Kostnaden ved å håndtere situasjonen, rydde opp og gjenopprette normal drift, kan koste fra noen titalls millioner kroner (for en typisk mellomstor offentlig eller privat virksomhet) til flere hundre millioner kroner (for større, globale virksomheter).
Politiet advarer mot å betale løsepenger. De som betaler kan utsettes for flere løsepengekrav og andre hendelser, og man har ingen garanti for at de kriminelle åpner systemene igjen. Å betale løser derfor ofte ikke situasjonen. Ved å betale insentiveres også angriperen til å fortsette.
Spredning av løsepengevirus i virksomhetens systemer, kan utløses på flere måter. Det kan for eksempel skje ved at en ansatt åpner et dokument i en e-post med skadelig kode, eller blir lurt til å gi fra seg brukernavn og passord gjennom phishing og epostangrep (se tidligere kapittel i veiledningen). Andre vanlige årsaker er at trusselaktøren får tilgang via lekkede brukernavn og passord, eller at de utnytter kjente og ukjente sårbarheter (zero-day) eller "bakdører" i programvaren.
Utpressingsangrep og personvern
Et utpressingsangrep kan ha lav konsekvens for personvernet hvis virksomheten har god kontroll på hvilke personopplysninger som er lagret hvor, opplysningene er godt beskyttet gjennom tilgangsstyring og kryptering, samt at tilstrekkelig logging kan dokumentere at personopplysninger ikke er kopiert ut.
Hvis det derimot er uklart om og eventuelt hvilke personopplysninger som er på avveier, skal utpressingsangrep meldes til Datatilsynet i påvente av ytterligere avklaring. I tillegg er det viktig at det raskt tas en vurdering av om de registrerte bør varsles.
Det er også viktig å vurdere om en hendelse av denne type i tillegg brudd på konfidensialitet også påvirker tilgjengelighet til viktige systemer eller integritet (mulig manipulasjon av personopplysninger). Hendelsen skal også da meldes til Datatilsynet.
Les også omfattende veiledning om utpressingsangrep hos Nasjonal Sikkerhetsmyndighet (nsm.no)
Hva gjør dere?
Hvis dere oppdager en pågående sikkerhetshendelse, er det viktig at dere prioriterer håndtering av selve hendelsen og får oversikt over situasjonen:
Dere må også varsle relevante myndigheter:
Håndtering av brudd og mulig brudd på personopplysningssikkerheten
På nettsidene våre finner dere utfyllende veiledning om når og hvordan dere skal håndtere brudd på personopplysningssikkerheten (avvik).
Oppsummert anbefaler vi at dere ved mistanke om på brudd personopplysningssikkerheten gjør følgende:
- Iverksetter tiltak for å stoppe selve bruddet.
- Involverer og søker råd hos personvernombudet deres tidlig i prosessen. Personvernombudet vil også kunne bidra i dialogen med Datatilsynet.
- Kartlegger hvilke personopplysninger som kan være berørt, vurderer risikoen for de berørte og eventuelt varsler disse.
- Melder fra til Datatilsynet dersom det er aktuelt.
