Commune D'østre Toten
Date de l'amende:
18/10/2021
Structure ou entité mise en cause :
Commune D'østre Toten
Quelle est la base légale ?
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité de l'information
Détail des faits
La DPA norvégienne a infligé une amende de 412 000 euros à la municipalité d'Østre Toten. La municipalité a subi une cyberattaque en janvier 2021, à la suite de laquelle les données de la municipalité ont été cryptées ainsi que les sauvegardes ont été supprimées. Une plus grande quantité de données a ensuite été publiée sur le dark web. Environ 30 000 documents ont été touchés par l'attaque. Les documents contenaient, entre autres, des informations sur l'origine ethnique, les opinions politiques, les convictions religieuses, l'appartenance syndicale, l'orientation sexuelle, l'état de santé, ainsi que les données bancaires des habitants et des employés de la municipalité. L'enquête de la DPA a révélé que la municipalité présentait des lacunes fondamentales en matière de sécurité des données personnelles et des contrôles internes associés. Entre autres choses, la municipalité n'avait pas utilisé l'authentification à deux facteurs lors de la connexion aux systèmes et manquait de systèmes de sauvegarde appropriés.
Télécharger le document officiel de la décision