Det var i januar 2018 at Statens vegvesen oppdaget innbrudd og omfattende nedlastning av data fra sitt kunderegister. Forholdet ble politianmeldt og politiet gikk raskt til anholdelse av en utenlandsk statsborger bosatt i Bergen.
Innbrudd i selvbetjeningsløsningen
Mannen hadde søkt opp informasjon om flere millioner brukere i forbindelse med utviklingen av en app til mobil og nettbrett.
Informasjonen mannen hadde fått tilgang til kom fra kunderegisteret som er koblet til selvbetjeningsløsningen på vegvesen.no, og inneholdt fødselsdato, fullt navn, kunde-ID, målform, adresser og noe informasjon om registrerte kjøretøy. Han hadde ikke fått tilgang til sensitiv informasjon.
Dommen falt nylig i Bergen tingrett med en betinget fengselsdom og inndragning av datautstyr som inneholder informasjon fra Vegvesenet.
Siktelsen mot mannen gjaldt straffelovens paragraf 204 om «Innbrudd i datasystem», der lovteksten lyder: «Med bot eller fengsel inntil 2 år straffes den som ved å bryte en beskyttelse eller ved annen uberettiget fremgangsmåte skaffer seg tilgang til datasystem eller del av det.»
Aktor la ned krav om 14 dagers betinget fengsel og 10 000 kroner i bot.
– Vegvesenet har gode sikkerhetsrutiner
– Sikkerhet blir tatt på alvor i Statens vegvesen. Vi blir like mye forsøkt hacket som alle andre aktører. I dette tilfellet hadde tiltalte bedt om tilgang til vårt onlinesystem i forkant, men fått avslag på sin henvendelse. Etter dette valgte han likevel å benytte seg av et program for å hente ut personopplysningene fra kunderegisteret, sier Ole Myklebust Grundetjern, som leder IT Sikkerhet.
Siden han hadde logget seg inn på «Din side» via ID-porten, visste Vegvesenet alltid hvem han var.
Kort tid etter hendelsen i 2018 ble det gjort endringer i systemet som gjør at man ikke skal kunne laste ned personopplysningene fra alle i Norge.
– Vi har kontinuerlig stort fokus på sikkerhet for alle Statens vegvesens IT-løsninger, forsikrer Grundetjern.