Flere kommuner utsatt for dataangrep: – Potensielt alvorlig, sier Datatilsynet

I slutten av forrige uke ble et selskap som leverer tjenester til flere kommuner utsatt for datainnbrudd.

Servere hos Extend AS ble rammet av datalekkasje, kryptering og løsepengekrav.

Tirsdag opplyser Bergen at de er blant kommunene som er rammet. Fra før av har Kristiansand, Drammen og Ringsaker kommune bekreftet at de var blant kommunene som var rammet av angrepet.

På bakgrunn av informasjon fra leverandøren er det grunn til å anta at rutinebeskrivelser, avvik, risikovurderinger og annet som ligger lagret i BkKvalitet, er på avveier, opplyser Bergen kommune i pressemeldingen.

Tyveriet omfatter også noen personopplysninger, i hovedsak knyttet til ansatte, som for eksempel navn, e-postadresser og tjenestested.

– Det er åpenbart alvorlig når en leverandør blir utsatt for et sånt angrep. Nå fikk vi systemet vårt tilbake i drift allerede på fredag. Så produksjonsmessig var vi oppe og gikk igjen da. Men det er ubehagelig å ikke vite hva dataen brukes, sier Kjetil Århus, digitaliseringsdirektør i Bergen kommune til NRK.

Århus opplyser videre at kommunen har fått en god forsikring fra leverandøren om at de vet hvordan angrepet har skjedd.

– Vi har fått gode forsikringer og beskrivelser fra leverandøren på tiltakene de har innført for å gi oss trygghet. Men de vet ikke eksakt hvem som står bak, legger Århus til.

Datatilsynet: – Potensielt alvorlig

Spesialrådgiver Eirik Gulbrandsen i Datatilsynet sier til NRK at de startet å få avviksmeldinger fra kunder av Extend mandag. Også selskapet selv varslet om utpressingsangrepet til Datatilsynet mandag.

Han ønsker ikke å si hvor mange avviksmeldinger som har kommet inn, men sier det er flere enn ti.

– Hvor alvorlig ser dere på saken?

– Foreløpig er det veldig tidlig, så vi skal la Extend lov til å jobbe med saken og få oversikt før vi går inn og vurderer den. Men dette er potensielt en sak som kan være alvorlig, svarer Gulbrandsen.

Politiet varslet

Daglig leder i Extend AS, Christine Våpenstad Holm, skriver til NRK i en e-post at de fortløpende engasjerte eksterne eksperter.

– Vi har gjort alt som står i vår makt for å håndtere situasjonen best mulig.

Hun sier videre at programvareløsningen som ble rammet, er reetablert, og de berørte kundenes data er gjenopprettet.

Hun svarer ikke på spørsmål om hvem som er rammet, annet enn å vise til tidligere opplysning om at det er snakk om fire kommuner, samt enkelte kommuner sine testbaser.

Saken er politianmeldt og meldt inn til Datatilsynet.

Fredag ble det klart at trondheimsbaserte Extend AS var blitt utsatt for et dataangrep med løsepengevirus.

Daglig leder i Extend AS, Christine Våpenstad Holm opplyste mandag at totalt fire kommuner er berørt av dataangrepet, i tillegg til enkelte kommuner sine testbaser.

• Risikoen for cyberangrep øker – energibransjen er mest utsatt

Jobber med å få oversikt

Mandag kveld jobbet de rammede kommunene med å skaffe fullstendig oversikt.

Extend eier og utvikler programvaren Extend Quality System (EQS), et system for virksomhetsstyring og kvalitetssikring. De oppgir selv at de har over 350.000 brukere og over 300 ulike kunder.

Informasjonen som er stjålet, handler om rutiner, meldinger om ulike type avvik, beredskapsplaner og sårbarhetsanalyser.

Så langt har verken Kristiansand, Drammen eller Ringsaker informasjon om at sensitive personopplysninger er på avveier.

Ringsaker kommune oppbevarte data fra systemet i Extend AS sitt skyløsningssystem.

Kommunalsjef Håvard Haug i Ringsaker sier at ingen data er blitt sperret eller ødelagt, men at det er uheldig at ukjente har lastet ned data fra kvalitetssystemet EQS.

– Men det er beredskapsplaner, analyser, risikovurderinger og avviksmeldinger som ligger i systemet, som vi ikke ønsker skal komme ut i offentligheten.

Han sier videre at det ikke skal ligge sensitive personopplysninger i systemet.

– Men det er mange tusen avviksmeldinger i systemet. Sånn at vi kan ikke her foreløpig garantere at det ikke ligger sensitive personopplysninger i noen av de avviksmeldingene.

Kommunen går nå gjennom informasjon i dataen i systemet for å se om det er sensitive personopplysninger i dem.