Håndtering av personvernet ved digitale angrep

Håndtering av personvernet ved digitale angrep

Alle virksomheter kan utsettes for digitale angrep. Motivasjonen og metoden bak angrepene varierer, sammen med alvorlighetsgraden av konsekvensene. Denne veiledningen beskriver noen vanlige hendelsestyper, og ser spesielt på hvordan personvernet kan håndteres når virksomheten er utsatt for et slikt angrep.

Innledning

Samtidig som det er en kontinuerlig fare for å bli utsatt for digitale angrep, kan virksomhetene være spesielt sårbare i perioder knyttet til høytider, ferieavvikling og tidspunkt der det er vanligere med bruk av vikarer og potensielt uerfarent personell. Det er derfor viktig å være bevisst på hvilken type bemanning og rutiner virksomheten har også i slike perioder.

Virksomhetens sårbarhet for digitale angrep, og hvor store konsekvensene av et slikt angrep kan være, avhenger også i stor grad av hvor god struktur virksomheten har på styringen av informasjonssikkerhet og personopplysningssikkerhet.
Les mer om etablering av internkontroll

I denne veiledningen ser vi nærmere på noen utvalgte hendelsestyper, og går gjennom hvilke vurderinger virksomheten bør gjøre knyttet til personvern spesielt når hendelsen faktisk har oppstått. Dette inkluderer å identifisere typen hendelse – noe som kan ha betydning for å vurdere hva virksomheten bør gjøre relatert til mulige brudd på personvernet.

Ved hendelser hvor mulige konsekvenser for personvernet er uklare, skal hovedprioriteringen være egen håndtering av hendelsen. Det innebærer at melding til Datatilsynet i en tidlig fase kan inneholde midlertidig og ufullstendig informasjon. Det er imidlertid viktig og lovpålagt å sørge for at denne første meldingen gis innen 72-timers fristen, og at meldingen følges opp med utfyllende informasjon når virksomheten har bedre oversikt over situasjonen.
Meld fra om brudd i personopplysningssikkerheten

Overordnet kan vi si at hendelser slik som tjenestenektangrep og direktørsvindel i mindre grad vil ha et potensiale for alvorlige brudd på personopplysningssikkerheten. Vellykkede phishing-, epost- og utpressingsangrep, har derimot en høy risiko for alvorlige brudd på personopplysningssikkerheten.

Tjenestenektangrep (DDoS)

Hensikten med et tjenestenektangrep er å gjøre en tjeneste utilgjengelig, slik at de som skal bruke tjenesten ikke får tilgang til den.

Tjenestenektangrep er teknisk enkle og krever tilnærmet ingen teknisk kompetanse av trusselaktøren. Dermed kan slike angrep settes i gang av omtrent hvem som helst, og kan kjøpes som en tjeneste fra en tredjepart for en lav kostnad.

Les mer om denne typen angrep på Nettvett.no og hos Nasjonal sikkerhetsmyndighet (nsm.no).

Personvern og tjenestenektangrep

I svært mange tilfeller vil personvernkonsekvensene som følger av et tjenestenektangrep, være minimale. Vanligvis rammes nettsidene til en virksomhet kun for å skape en signaleffekt, og ikke nødvendigvis for å blokkere en viktig tjeneste. Nettsiden er et av virksomhetens ansikter utad, og det vil synes for alle som besøker nettsiden at den er nede.

Slike angrep er gjerne kortvarige. Brukeren av en nettside vil derfor ofte kunne besøke siden igjen kort tid etter at angrepet startet.

Konsekvenser

Tjenestenektangrep mot en nettside har i mange tilfeller ingen konsekvenser for personvernet. Brudd på personopplysningssikkerheten som «sannsynligvis ikke vil medføre en risiko for fysiske personers rettigheter og friheter» skal ikke meldes til oss.

Enkelte former for tjenestenektangrep kan imidlertid ha konsekvenser for personvernet. Bortfall av bank- og betalingstjenester kan for eksempel føre til at noen ikke får betalt i butikken eller på restauranten de har besøkt.

Tjenestenektangrep kan ved noen tilfeller også føre til at ansatte selv gjør endringer i systemet (brannmurer, cacheløsninger og lignende) for å håndtere situasjonen. Dette kan i ettertid vise seg å føre til uønsket publisering av personinformasjon.

Tjenestenektangrep som fører til bortfall av telenettet, kraftnettet, helsetjenester eller nødtjenester, vil også kunne føre til alvorlige konsekvenser for personvernet.

Tjenestenektangrep som kan medføre en risiko for fysiske personers rettigheter og friheter, skal meldes til Datatilsynet.

Phishing

Et phishing-angrep begynner stort sett med en e-post eller en SMS. Det vanligste er å forsøke å lure mottakeren til å trykke på en lenke der de må oppgi brukernavn/passord til et system, åpne et vedlegg som inneholder skadelig programkode eller gjennomføre en betaling.

Trusselaktører bruker ofte phishing for å få tilgang til virksomhetens datasystemer. Dette kan være systemer for e-post, lønn, HR, produksjon eller filområder.

Phishing (nettfiske) er en av de mest effektive måtene å angripe virksomheter på. I slike angrep utnytter ondsinnede aktører menneskelige sårbarheter for å oppnå målene sine.

Vi har laget veiledning om hva phishing er og hvordan virksomheten best kan beskytte seg mot slike angrep.

Det kan være ulik motivasjon for å ramme en virksomhet. Svært mange vellykkede phishingangrep etterfølges av utpressingangrep som vi omtaler senere i veiedningen. Noen angrep er forsøk på bedriftsspionasje eller spionasje fra andre stater, eller det kan være forsøk på økonomisk svindel.

Virksomheter kan rammes av phishing selv om de bruker tofaktor- eller flerfaktorautentisering (også kalt sterk autentisering). Man er altså ikke immun mot phishing selv om man bruker dette. Forskjellige typer sterk autentisering, har ulike grader av robusthet mot angrep. Til tross for dette vil autentisering med flere faktorer uansett gjøre det mer krevende for eksterne aktører å utnytte sårbarheter.

Dersom virksomheten din har blitt utsatt for et vellykket phishingangrep, bør dere handle raskt for å redusere konsekvensene av hendelsen.

De fleste vellykkede phishingangrep medfører brudd på personopplysningssikkerheten, og må meldes til Datatilsynet.

Personvern og phishing

Phishingangrep som lykkes, kan i mange tilfeller føre til at personopplysninger kommer på avveier eller blir gjort utilgjengelige. En trusselaktør som logger seg inn i et system med en ansatt sin brukerkonto, har for eksempel minst tilegnet seg ulovlig tilgang til den ansattes brukernavn og passord. Det er derfor ofte kun et spørsmål om hvor mange personopplysninger bruddet gjelder. For å finne ut av dette må dere vite i hvilke systemer dere behandler personopplysninger, og dere må gjennomgå loggene for disse systemene.

Hvis virksomheten oppdager et innbrudd i egne systemer, må bruddet først og fremst stoppes.

Konsekvensene for personvernet kan være betydelige, avhengig av hvilke opplysninger som behandles i systemene. Virksomhetens filområder kan for eksempel inneholde sykemeldinger eller andre dokumenter med personopplysninger om tidligere og nåværende ansatte, kunder og andre personer virksomheten har hatt et forhold til. Virksomheten bør derfor raskt forsøke å få oversikt over hvilke personopplysninger som er omfattet, slik at de kan vurdere om de berørte personene skal varsles.

Innbrudd i e-postkonto

Hvis trusselaktøren har fått tilgang til et e-postsystem, kan de ha fått tilgang til opplysninger om mange personer. Alle personer det finnes informasjon om i e-poster og kontaktregisteret, samt eieren av e-postkontoen, må sannsynligvis regnes som berørte av bruddet. Hvis trusselaktøren har brukt e-postkontoen til å sende e-post til andre igjen, vil disse personene også være berørte. Ofte kan det være snakk om minst noen hundre berørte personer per e-postkonto.

Enkelte e-postkontoer vil inneholde mer sensitive opplysninger enn andre. Dette gjelder for eksempel kontoene til HR-ansatte, verneombud, tillitsvalgte, ledere eller ansatte i helseforetak.

Økonomisk svindel

Noen angrep vil være forsøk på økonomisk svindel. Hvis virksomheten er utsatt for dette, bør dere ta kontakt med banken deres så fort som mulig. Les også kapittelet om direktørsvindel.

Hvis svindelen «sannsynligvis ikke vil medføre en risiko for fysiske personers rettigheter og friheter» trenger dere ikke melde fra til Datatilsynet.

E-postangrep (credential stuffing-angrep)

Såkalte credential stuffing-angrep (e-postangrep) utgjør en betydelig og økende sikkerhetstrussel. Credential stuffing er en cyberangrepsmetode som utnytter folks tendens til å bruke samme brukernavn og passord på tvers av flere nettkontoer. Ved å bruke stjålne påloggingsdetaljer hentet fra urelaterte datainnbrudd, kan trusselaktørene få tilgang til folks kontoer på tvers av nettsteder. Disse angrepene er automatiserte og skjer ofte i stor skala.

Datatilsynet ser klare sammenhenger mellom store datalekkasjer av databaser med brukernavn og passord og angrep mot norske virksomheter.

Les på digi.no: Massiv datalekkasje - 26 milliarder poster lekket 

Les på digi.no: TV2  utsatt for dataangrep

Derfor har datatilsyn fra mange land gått sammen og laget veiledning om hva dette innebærer og hva individer og virksomheter kan gjøre for å forebygge, oppdage og redusere risikoen for slike angrep.

Se veiledningen om e-postangrep (credential stuffing)

Personvern og e-postangrep

E-postangrep som lykkes, kan i mange tilfeller føre til at personopplysninger kommer på avveier eller blir gjort utilgjengelige. En trusselaktør som logger seg inn i et system med et gyldig brukernavn og passord, har for eksempel minst tilegnet seg ulovlig tilgang til brukerens profilinformasjon, i tillegg til å å ha fått en bekreftelse på at kombinasjonen av brukernavnet og passord er i aktivt bruk. Det er derfor ofte kun et spørsmål om hvor mange personopplysninger bruddet gjelder. For å finne ut av dette må dere vite i hvilke systemer dere behandler personopplysninger, og dere må gjennomgå loggene for disse systemene.

Hvis virksomheten oppdager et innbrudd i egne systemer, må bruddet først og fremst stoppes.

Konsekvensene for personvernet kan være betydelige, avhengig av hvilke opplysninger som behandles i systemene. Virksomheten bør derfor raskt forsøke å få oversikt over hvilke personopplysninger som er omfattet, slik at de kan vurdere om de berørte personene skal varsles.

Hvis svindelen «sannsynligvis ikke vil medføre en risiko for fysiske personers rettigheter og friheter» trenger dere ikke melde fra til Datatilsynet.

Direktørsvindel

Direktørsvindel kalles også "CEO-fraud". Dette er primært svindel som utføres ved at personer som utgir seg for å være i ledelsen i virksomheten, forsøker å sette i gang økonomiske transaksjoner.

Angrepskanal kan være epost (både fra eksterne og tilsynelatende interne), SMS, fysiske brev eller telefonsamtaler, samt strukturerte kanaler som faktura- og betalingssystemer.

En vellykket direktørsvindel kan ha store økonomiske konsekvenser for virksomheten. I tillegg kan direktørsvindel ha konsekvenser for de personene som har blitt lurt av svindelen og gjennomfører transaksjonene i god tro.

Direktørsvindel og personvern

I de aller fleste tilfellene vil risikoen for den enkeltes rettigheter og friheter som følge av direktørsvindel, være lav. Derimot kan den eksterne aktøren ha brukt tid på å kartlegge både personen de utgir seg for å være, samt personene de ønsker å lure. Om dette gir grunnlag for å melde avvik til Datatilsynet, må virksomheten vurdere i hvert enkelt tilfelle.
Les mer om hvilke brudd som skal meldes til Datatilsynet

Virksomheten bør også være oppmerksom på at metoden for å kartlegge personer, og spesielt utgi seg for å være internt ansatte via interne epostsystemer, kan være støttet av andre angrepsformer slik som phishing og epostangrep (omtalt i forrige kapittel).

Les også om direktørsvindel på Nettvett.no

Utpressingsangrep

Utpressingsangrep kalles også løsepengeangrep eller "ransomware" og går ut på at eksterne aktører får adgang til virksomhetens IT-plattform og deretter krypterer, sletter og/eller kopierer ut data.

Formålet med disse angrepene er å presse virksomheten til å betale for å gjenopprette tilgangen til egne data og systemer. Angriperne truer ofte med å publisere stjålet sensitiv informasjon for å øke sannsynligheten for at virksomheten betaler.

Alvorlighetsgraden kan vurderes som alt fra "irriterende", hvis data ikke kopieres ut og virksomheten på egenhånd raskt klarer å gjenopprette normalsituasjon, til "katastrofal" hvis sensitive opplysninger er kommet på avveier eller virksomhetskritiske data er permanent tapt.

Kostnaden ved å håndtere situasjonen, rydde opp og gjenopprette normal drift, kan koste fra noen titalls millioner kroner (for en typisk mellomstor offentlig eller privat virksomhet) til flere hundre millioner kroner (for større, globale virksomheter).

Politiet advarer mot å betale løsepenger. De som betaler kan utsettes for flere løsepengekrav og andre hendelser, og man har ingen garanti for at de kriminelle åpner systemene igjen. Å betale løser derfor ofte ikke situasjonen. Ved å betale insentiveres også angriperen til å fortsette.

Spredning av løsepengevirus i virksomhetens systemer, kan utløses på flere måter. Det kan for eksempel skje ved at en ansatt åpner et dokument i en e-post med skadelig kode, eller blir lurt til å gi fra seg brukernavn og passord gjennom phishing og epostangrep (se tidligere kapittel i veiledningen). Andre vanlige årsaker er at trusselaktøren får tilgang via lekkede brukernavn og passord, eller at de utnytter kjente og ukjente sårbarheter (zero-day) eller "bakdører" i programvaren.

Utpressingsangrep og personvern

Et utpressingsangrep kan ha lav konsekvens for personvernet hvis virksomheten har god kontroll på hvilke personopplysninger som er lagret hvor, opplysningene er godt beskyttet gjennom tilgangsstyring og kryptering, samt at tilstrekkelig logging kan dokumentere at personopplysninger ikke er kopiert ut.

Hvis det derimot er uklart om og eventuelt hvilke personopplysninger som er på avveier, skal utpressingsangrep meldes til Datatilsynet i påvente av ytterligere avklaring. I tillegg er det viktig at det raskt tas en vurdering av om de registrerte bør varsles.

Det er også viktig å vurdere om en hendelse av denne type i tillegg brudd på konfidensialitet også påvirker tilgjengelighet til viktige systemer eller integritet (mulig manipulasjon av personopplysninger). Hendelsen skal også da meldes til Datatilsynet.

Les også omfattende veiledning om utpressingsangrep hos Nasjonal Sikkerhetsmyndighet (nsm.no)

Hva gjør dere?

Hvis dere oppdager en pågående sikkerhetshendelse, er det viktig at dere prioriterer håndtering av selve hendelsen og får oversikt over situasjonen:

Dere må også varsle relevante myndigheter:

Håndtering av brudd og mulig brudd på personopplysningssikkerheten

På nettsidene våre finner dere utfyllende veiledning om når og hvordan dere skal håndtere brudd på personopplysningssikkerheten (avvik).

Oppsummert anbefaler vi at dere ved mistanke om på brudd personopplysningssikkerheten gjør følgende:

  1. Iverksetter tiltak for å stoppe selve bruddet.
  2. Involverer og søker råd hos personvernombudet deres tidlig i prosessen. Personvernombudet vil også kunne bidra i dialogen med Datatilsynet.
  3. Kartlegger hvilke personopplysninger som kan være berørt, vurderer risikoen for de berørte og eventuelt varsler disse. 
  4. Melder fra til Datatilsynet dersom det er aktuelt.