Hendelsen ble oppdaget av SVs IT-leverandør, Unicornis. Serveren for medlemsregisteret befinner seg i et hostingsenter.

Transkript

1 SV - Sosialistisk Venstreparti - Personvernombudet Hagegata OSLO Deres referanse Vår referanse Dato 16/ /KBK Varsel om vedtak om overtredelsesgebyr - Melding om avvik - Datainnbrudd i medlemssystemet - SV - Sosialistisk Venstreparti Datatilsynet mottok den 29. juli 2016 et varsel fra SV om et avvik hvor de var utsatt for datainnbrudd på partiets medlemssystem Hypersys2. Det vises også til tilleggsinformasjon gitt i e-post av 17. august 2016, samt telefonsamtale mellom personvernombud Eirik Randsborg Lie og Knut B. Kaspersen. Sakens faktiske forhold I perioden 20. juni 2016 til 28. juni 2016 ble SVs medlemssystem Hypersys utsatt for en rekke angrepsforsøk. 27. juni ble det funnet en svakhet i koden som forbigikk tilgangskontrollen for redigering av andre brukere. Denne svakheten ble utnyttet for å ta over en bruker med høyere tilgang. Innbruddet ble oppdaget like før kl juni. Systemet ble stengt ned kort tid etter og sikkerhetshullet lukket i løpet av natten. Angriperen forsøkte over lengre tid å utnytte kjente svakheter i rammeverket som benyttes av Hypersys, og også kjente svakheter fra andre rammeverk som ikke benyttes av Hypersys. Det vises til avviksmeldingene for en nærmere gjennomgang av hendelsesforløpet. 11 personer har fått «profil-side» åpnet og navn/adresse/telefonnummer/postadresse/ fødselsdato eksponert, og i noen tilfeller endret. En person fikk sine personopplysninger misbrukt i et (antatt) forsøk på å skjule spor. Anslagsvis 91 personer kan ha fått den samme informasjonen eksponert gjennom en listevisning av medlemskap i fire forskjellige lokallag. Hendelsen ble oppdaget av SVs IT-leverandør, Unicornis. Serveren for medlemsregisteret befinner seg i et hostingsenter. Hendelsen er politianmeldt. Postadresse: Kontoradresse: Telefon: Telefaks: Org.nr: Hjemmeside: Postboks 8177 Dep Tollbugt OSLO

2 Varsel om overtredelsesgebyr Dette er et varsel etter forvaltningsloven 16 om at Datatilsynet vil fatte følgende vedtak: Sosialistisk venstreparti pålegges i medhold av personopplysningsloven 46, første ledd, jf. 13, å betale et overtredelsesgebyr til statskassen, stort kroner etthundreogfemtitusen, 1. for ikke å ha truffet tiltak mot uautorisert innsyn i personopplysninger hvor konfidensialitet er nødvendig, jf. forskriften 2-11, 2. for ikke å ha truffet tiltak mot uautorisert endring av personopplysninger der integritet er nødvendig, jf. forskriften 2-13, og 3. for ikke å ha iverksatt sikkerhetstiltak for å hindre uautorisert bruk av informasjonssystemet, jf. forskriften Overtredelsesgebyret forfaller til betaling fire uker etter at vedtaket er endelig. Vedtaket er tvangsgrunnlag for utlegg. Inndrivelse av kravet vil bli gjennomført av Statens innkrevingssentral, jf. personopplysningsloven 47a. Datatilsynets vurdering av overtredelsesgebyr Datatilsynets kontroll hos SV i 2012 Datatilsynet gjennomførte 3. mai 2012 en kontroll hos SV. I kontrollrapporten påpekte Datatilsynet at eksisterende risikovurdering var mangelfull ved at det ikke var fastlagte og dokumenterte kriterier for akseptabel risiko, at risikovurderingen var mangelfull med hensyn til hvilke sikkerhetsbrudd som kunne oppstå, og at iverksatte tiltak ikke var dokumentert i tilstrekkelig grad. Det ble videre påpekt at virksomhetens manglende bruk av sterk autentisering i det webbaserte medlemsregisteret var et avvik etter personopplysningsloven 13 jf. forskriften 2-11 og september 2012 bekreftet SV at alle avvikene var lukket. I etterkant av Datatilsynets kontroll gjorde SV en større gjennomgang av systemet til daværende leverandør, og fant at sikkerhetsfunksjonen i systemet ikke var tilfredsstillende. SV begynte så arbeidet med å bytte leverandør. Overgangen skjedde sent på sommeren Tofaktorautentisering var ikke en eksisterende funksjon hos Unicornis. SV valgte likevel å bytte leverandør basert på en helhetlig vurdering rundt sikkerhetsløsningene. Det ble lagt inn en bestilling på tofaktorautentisering. Av forskjellige årsaker tok utviklingen av dette lengre tid enn forventet. I juni 2016 var tofaktorautentiserings-funksjonen ferdig utviklet og klar til å settes i produksjon. Dette ble utsatt til etter ferien. I mellomtiden ble SV utsatt for datainnbrudd. Datatilsynets vurdering Datatilsynet mener det er nødvendig å reagere på lovovertredelsene som er beskrevet over. I medhold av personopplysningsloven 46 kan Datatilsynet ilegge overtredelsesgebyr. Vi siterer fra bestemmelsen: 2

3 Datatilsynet kan pålegge den som har overtrådt denne loven eller forskrifter i medhold av den, å betale et pengebeløp til statskassen (overtredelsesgebyr) på inntil 10 ganger grunnbeløpet i folketrygden. Fysiske personer kan bare ilegges overtredelsesgebyr for forsettlige eller uaktsomme overtredelser. Et foretak kan ikke ilegges overtredelsesgebyr dersom overtredelsen skyldes forhold utenfor foretakets kontroll. Ved vurderingen av om overtredelsesgebyr skal ilegges, og ved utmålingen, skal det særlig legges vekt på a) hvor alvorlig overtredelsen har krenket de interesser loven verner, b) graden av skyld, c) om overtrederen ved retningslinjer, instruksjon, opplæring, kontroll eller andre tiltak kunne ha forebygget overtredelsen, d) om overtredelsen er begått for å fremme overtrederens interesser, e) om overtrederen har hatt eller kunne ha oppnådd fordel ved overtredelsen, f) om det foreligger gjentakelse, g) om andre reaksjoner som følge av overtredelsen blir ilagt overtrederen eller noen andre som har handlet på vegne av denne, blant annet om noen enkeltperson blir ilagt straff og h) overtrederens økonomiske evne. Bestemmelsen gir i utgangspunktet anvisning på at ileggelse av overtredelsesgebyr beror på en skjønnsmessig helhetsvurdering, men annet ledd legger føringer på skjønnsutøvelsen ved å trekke frem momenter som skal ha særlig vekt. Adgangen til å ilegge overtredelsesgebyr er gitt som et virkemiddel for å sikre effektiv etterlevelse og håndhevelse av personopplysningsloven. Internrettslig er overtredelsesgebyr ikke å anse som en straff, men en administrativ sanksjon. Det må imidlertid antas at overtredelsesgebyr er å anse som straff etter EMK (den europeiske menneskerettighetskonvensjonen) art 6, og i samsvar med Høyesteretts praksis, jf Rt 2012 side 1556 med videre henvisninger. Datatilsynet legger derfor til grunn at det kreves klar sannsynlighetsovervekt for lovovertredelse for å kunne ilegge gebyr. Saksforholdet og spørsmålet om å ilegge overtredelsesgebyr er vurdert med utgangspunkt i dette beviskravet. Medlemsregisteret til SV inneholder sensitive personopplysninger, jf. personopplysningsloven 2 nr. 8. Medlemskap i et politisk parti er det samme som å tilkjennegi en politisk oppfatning. Dette vises også ved at stortingsvalg og fylkes- og kommunevalg er hemmelige. Datatilsynet mener at mangelfulle sikkerhetstiltak øker sannsynligheten for sikkerhetsbrudd. Konsekvensen kan være svært alvorlig for de som rammes av dette. Dette er følgelig en behandling som krever en risikovurdering. Datatilsynet finner det klart at SV har behandlet sensitive personopplysninger på en måte som er i strid med lov, jf. personopplysningsloven 13 (mangelfull informasjonssikkerhet). I vurderingen av om overtredelsesgebyr skal ilegges, legger Datatilsynet særlig vekt på at overtredelsene betydelig har krenket grunnleggende interesser som loven verner, jf. 46 annet ledd bokstav a. Loven verner om grunnleggende personverninteresser som den 3

4 personlige integritet og privatlivets fred, jf. lovens 1. Loven og forskriften stiller konkrete krav for å sikre at behandlingsansvarlig har et minimum av foranstaltninger på plass nettopp for å sikre at personopplysninger ikke kommer på avveier. Plikten fremkommer av reglene i seg selv. Konkret i denne saken må det legges til grunn at medlemmene har en klar beskyttelsesverdig interesse i at opplysninger om dem blir behandlet på en sikker måte. Opplysningen om partitilhørighet er definert som sensitiv og det skal derfor treffes tiltak mot uautorisert innsyn i personopplysninger hvor konfidensialitet er nødvendig, som angitt i forskriften Slik uautorisert tilgang kan få alvorlige konsekvenser for den enkelte både fordi omgivelsene får tilgang til informasjon som den registrerte ikke selv har valgt å gjøre kjent, men også fordi hendelsen gjør det uforutsigbart hvor mange som har skaffet seg informasjonen. Allmennpreventive grunner og hensynet til at reglene skal ha effekt og virke etter sin hensikt, taler da med styrke for at det reageres strengt. Forskriftens 2-4 andre ledd krever at den behandlingsansvarlige skal gjennomføre risikovurdering for å klarlegge sannsynligheten for, og konsekvenser av, sikkerhetsbrudd. Ny risikovurdering skal gjennomføres ved endringer som har betydning for informasjonssikkerheten. I skjerpende retning legges det vekt på at SV ikke har fulgt opp Datatilsynets varsel om pålegg om bruk av sterk autentisering ved skifte av leverandør. I sitt tilsvar opp lyste SV at de «har implementert en løsning med to-faktoridentifisering som har fungert et par måneder.» Da dette avviket ble lukket før endelig kontrollrapport ble ferdigstilt var det ikke lenger grunnlag for å fatte vedtak i saken. SV var gjennom Datatilsynets kontrollrapport kjent med kravet til tofaktorautentisering, men valgte likevel å bytte leverandør selv om tofaktorautentisering ikke var en eksisterende funksjon hos Unicornis. Datatilsynet ser dette som at SV har tatt en bevisst risiko. Datatilsynet legger videre vekt på at SV er å bebreide når det gjelder det som har skjedd, jf. 46 annet ledd bokstav b. For å opprettholde tillitsforholdet mellom SV og medlemmene er forventningen at SV setter seg grundig inn i personopplysningsregelverket og etablerer gode rutiner for å sikre etterlevelsen av det. SV har ikke iverksatt tekniske tiltak som kunne ha forebygget overtredelsen, f.eks. ved bruk av tofaktorautentisering (sterk autentisering). Datatilsynet mener at mangelfulle sikkerhetstiltak øker sannsynligheten for sikkerhetsbrudd. Konsekvensen kan være svært alvorlig for de som rammes av dette. Hele medlemsregisteret ligger på samme server. Dette inkluderer også lokale varianter av registeret. Tilgangen til registeret er delt opp organisatorisk etter «need to know»-prinsippet. Tilgangen har skjedd ved at inntrengeren har kommet seg inn i systemet via «glemt passord»- funksjonen, og derfra kommet oppover i systemet til vedkommende fant en bruker med utvidede rettigheter på nasjonalt nivå. 4

5 Inntrengeren har fått tilgang til SV sin server pga. manglende sikkerhetstiltak. I dette tilfellet innrømmes det at en løsning med «to faktor» ville hindret inntrengingen. Manglende sikkerhetstiltak har medført at inntrengeren har fått tilgang til hele medlemsregisteret i SV. Ved en slik «blottstilling» av medlemsregisteret oppstår også fare for at personopplysninger kan bli endret utilsiktet, jf Datatilsynet konstaterer at avviket skjedde fordi det ikke var gjort nødvendige og tilstrekkelige sikkerhetstiltak i informasjonssystemet, jf. 2-11, 2-13 og Slike sikkerhetstiltak kan gjøres på forskjellige måter, men Datatilsynet kan ikke se at dette har vært vurdert av SV. Det er andre gang Datatilsynet påpeker mangelfull sikkerhet i det web-baserte medlemsregisteret. Dette trekker i skjerpende retning ved vurdering av om overtredelsesgebyr skal ilegges jf. 46, fjerde ledd bokstav f. Overtrederens økonomiske evne er det i liten grad lagt vekt på, jf. 46, fjerde ledd bokstav g. Datatilsynet kan ikke se at de øvrige momenter som loven fremhever gjør seg gjeldende i nevneverdig grad verken i skjerpende eller formildende retning. Konklusjon Datatilsynet er etter dette kommet til at overtredelsesgebyr bør ilegges. Gebyrets størrelse Når det gjelder gebyrets størrelse, skal de samme momenter som ved vurdering av om gebyr skal ilegges, tillegges særlig vekt. De forhold Datatilsynet har pekt på ovenfor taler for et gebyr av en viss størrelse. Gebyret bør settes så høyt at det får virkning også utover den konkrete saken. Samtidig må gebyrets størrelse stå i et rimelig forhold til overtredelsen og virksomheten. Det er særlig sett hen til at dette avviket omfatter sensitive personopplysninger, og at dette er andre gangs forseelse. Regelbruddet har også medført konsekvenser for enkeltpersoner ved at personopplysninger har blitt eksponert. Dette taler for en streng reaksjon. Videre har vi sett på den generelle forventning medlemmene skal kunne ha til at et politisk parti følger de regler som er gitt, og særlig de som gir enkeltindivider rettigheter som er ment å være en beskyttelse mot utlevering av denne typen opplysninger. Det er ikke tvilsomt at opplysningene er taushetsbelagte, og SV burde ha utferdiget bedre systemer for å sikre så sensitiv informasjon. Signalvirkningen av denne saken, de allmennpreventive hensyn, mener vi er tydelige i denne saken. Vi ønsker å tydeliggjøre at slike hendelser ikke må skje. I formildende retning er det tatt hensyn til at SV selv meldte avviket til Datatilsynet. Etter en totalvurdering av saken, og da særlig sett hen til alvorligheten i overtredelsen, har vi kommet til at et overtredelsesgebyr på kroner anses riktig. 5

6 Tilsvar Eventuelle merknader til foreliggende varsel bes sendt Datatilsynet snarest, og senest innen torsdag 1. desember Med vennlig hilsen Bjørn Erik Thon direktør Knut Kaspersen fagdirektør 6