18. oktoobril 2021 määras Norra andmekaitse järelevalveasutus Datatilsynet kohalikule omavalitsusele (Østre Toten kommune) 409 768 EUR suuruse trahvi.
2021 aasta alguses toimus Østre Toten kommune’i vastu lunavararünnak, mille käigus lõigati töötajad ära kõigist olulistest infosüsteemidest, krüpteeriti andmed ning kustutati ka varukoopiad. Kaotsi läksid elanike delikaatsed isikuandmed, mis pandi kurjategijate poolt müüki tumeveebi.
Järelevalveasutus leidis, et kohalik omavalitsus kui vastutav töötleja rikkus GDPR artikli 5 lõike 1 punktis f määratletud usaldusväärsuse ja konfidentsiaalsuse põhimõtet ja ei rakendanud piisaval määral GDPR artiklites 24 ja 32 nõutud asjakohaseid tehnilisi ja korralduslikke meetmeid, et tagada ja suuta ka tõendada isikuandmete töötlemist kooskõlas GDPR-ga.
Intsident hõlmas ligikaudu 30 000 dokumenti, sh teavet andmesubjektide etnilise päritolu, poliitiliste eelistuste, usuliste tõekspidamiste, ametiühingu liikmelisuse, seksuaalelu ja –suunitluse, tervise, pedagoogilise diagnoosi, sünninumbri (birth number), digitaalse identifikaatori (electronic ID) ja pangaarve kohta.
Kokku oli tegu ca 160GB andmetega, milles suur osa läksid pöördumatult kaotsi.
Tehniline uurimine tõi päevavalgele mitmeid puudujääke omavalitsuse infosüsteemides ja nende halduses, mh turvamata varukoopiad (unsecured back-ups), kaheastmelise autentimise puudumine ning ebapiisav logihaldus. Juurdepääsu infosüsteemidele said kurjategijad kaugpöörduse (remote access) kaudu, kasutades selleks varastatud kasutajakontot (login credentials), mille nad tõenäoliselt said enda valdusse omavalitsuse töötajatele adresseeritud „kalastamise“ (phishing scams) abil.
Kohalik omavalitsus teavitas nõuetekohaselt nii järelevalveasutust kui ka oma elanikke. Alles pärast rünnakut asuti kiiruga välja töötama isikuandmete töötlemise ning rikkumiste haldamise meetmeid.
Järelevalveasutus asus seisukohale, et kohalik omavalitsus ei teinud enda valduses olevate isikuandmete kaitsmiseks varem piisavalt jõupingutusi.
Lisaks trahvile tehti ka ettekirjutus, mille kohaselt peab omavalitsus juurutama infoturbe haldamise süsteemi ning viima läbi infosüsteemide riskianalüüsi. Trahviotsuse lõpus nentis järelevalveasutus, et vastutus rikkumiste tagajärgede eest lasub kohaliku omavalitsuse juhil.
