Flere kommuner utsatt for dataangrep – personopplysninger på avveie i Bergen

I slutten av forrige uke ble et selskap som leverer tjenester til flere kommuner utsatt for datainnbrudd.

Servere hos Extend AS ble rammet av datalekkasje, kryptering og løsepengekrav.

Tirsdag opplyser Bergen at de er blant kommunene som er rammet. Fra før av har Kristiansand, Drammen og Ringsaker kommune bekreftet at de var blant kommunene som var rammet av angrepet.

På bakgrunn av informasjon fra leverandøren er det grunn til å anta at rutinebeskrivelser, avvik, risikovurderinger og annet som ligger lagret i BkKvalitet, er på avveie, opplyser Bergen kommune i pressemeldingen.

– Det er åpenbart alvorlig når en leverandør blir utsatt for et sånt angrep. Nå fikk vi systemet vårt tilbake i drift allerede på fredag. Så produksjonsmessig var vi oppe og gikk igjen fredag. Men det er alvorlig når data kommer på avveier og vi ikke vet hva som skjer med dem. Det behandler vi og ser på med stort alvor, sier Kjetil Århus, digitaliseringsdirektør i Bergen kommune til NRK.

Århus opplyser videre at kommunen har fått en god forsikring fra leverandøren om at de vet hvordan angrepet har skjedd.

– Vi har fått gode forsikringer og beskrivelser fra leverandøren på tiltakene de har innført og hvilke tiltak de har gjort for at vi skal føle oss trygge. Men vi vet ikke eksakt hvem som står bak, legger Århus til.

Tyveriet omfatter også noen personopplysninger, i hovedsak knyttet til ansatte, som for eksempel navn, e-postadresser og tjenestested, ifølge pressemeldingen.

Politiet varslet

Daglig leder i Extend AS, Christine Våpenstad Holm, sier til NRK i en e-post at de umiddelbart engasjerte eksterne eksperter.

– Vi har gjort alt som står i vår makt for å håndtere situasjonen best mulig.

Hun sier videre at programvareløsningen som ble rammet, er reetablert, og de berørte kundenes data er gjenopprettet.

Hun svarer ikke på spørsmål om hvem som er rammet, annet enn å vise til tidligere opplysning om at det er snakk om fire kommuner, samt enkelte kommuner sine testbaser.

Saken er politianmeldt og meldt inn til Datatilsynet.

Oppdaget fredag

Fredag ble det klart at trondheimsbaserte Extend AS var blitt utsatt for et dataangrep med løsepengevirus.

Ifølge daglig leder i Extend AS, Christine Våpenstad Holm, er fire kommuner er berørt av dataangrepet, i tillegg til enkelte kommuner sine testbaser.

Hun har ikke ønsket å opplyse hvilke kommuner som er berørt. Så langt har Kristiansand, Drammen og Ringsaker kommuner selv bekreftet at de er berørt.

• Risikoen for cyberangrep øker - energibransjen er mest utsatt

Jobber med å få oversikt

Mandag kveld jobbet de rammede kommunene med å skaffe fullstendig oversikt.

Extend eier og utvikler programvaren Extend Quality System (EQS), et system for virksomhetsstyring og kvalitetssikring. De oppgir selv at de har over 350.000 brukere og over 300 ulike kunder.

Informasjonen som er stjålet, handler om rutiner, meldinger om ulike type avvik, beredskapsplaner og sårbarhetsanalyser.

Så langt har verken Kristiansand, Drammen eller Ringsaker informasjon om at sensitive personopplysninger er på avveie.

Kommunalsjef Håvard Haug i Ringsaker sier at ingen data er blitt sperret eller ødelagt, men at det er uheldig at ukjente har lastet ned data fra kvalitetssystemet EQS.

– Men det er beredskapsplaner, analyser, risikovurderinger og avviksmeldinger som ligger i systemet, som vi ikke ønsker skal komme ut i offentligheten.

Han sier videre at det ikke skal ligge sensitive personopplysninger i systemet.

– Men det er mange tusen avviksmeldinger i systemet. Sånn at vi kan ikke her foreløpig garantere at det ikke ligger sensitive personopplysninger i noen av de avviksmeldingene.

Kommunen går nå gjennom informasjon i dataen i systemet for å se om det er sensitive personopplysninger i dem.

Ringsaker kommune oppbevarte data fra systemet i Extend AS sitt skyløsningssystem.