– Datatilsynet ser alvorlig på at det fra Stortingets side ikke var iverksatt gode nok tekniske tiltak som kunne ha avverget overtredelsen, for eksempel gjennom bruk av tofaktorautentisering, sier Datatilsynets direktør Bjørn Erik Thon i en pressemelding.
Datatilsynet har lagt særlig vekt på at Stortinget ikke hadde etablert tofaktorautentisering eller tilsvarende effektive sikkerhetstiltak for å oppnå tilstrekkelig beskyttelse.
Datainnbruddet var knyttet til uautorisert pålogging til epostkontoene til et ukjent antall stortingsrepresentanter og ansatte i administrasjonen og gruppesekretariatene.
Stortinget varslet om datainnbruddet 24. august 2020. PST konkluderte med at russiske aktører som er tilknyttet Russlands militære etterretningstjeneste, sto bak innbruddet.
Stortingets direktør Marianne Andreassen sier i en pressemelding at hun ser alvorlig på forhåndsvarselet de har fått fra Datatilsynet.
– Informasjonssikkerheten var ikke god nok ved angrepstidspunktet i 2020, og vi klarte dessverre ikke å hindre at personopplysninger fra 13 epostkontoer kom på avveie. Det må derfor forventes en reaksjon fra Datatilsynet, sier Andreassen.
Stortingets administrasjon er gitt frist fram til 14. februar 2022 med å gi kommentarer til varselet.
Andreassen sier at det er viktig for Stortingets administrasjon å benytte seg av retten til å gi Datatilsynet supplerende opplysninger slik at et vedtak kan fattes på et best mulig grunnlag.
