Den 9. januar 2021 våknet Østre Toten kommune opp og oppdaget at hele den digitale infrastrukturen hadde blitt ødelagt i løpet av natten. En internasjonal hackergruppe kjent som PYSA hadde brutt seg gjennom kommunens brannmur, kryptert alle data på hver eneste server og slettet alle sikkerhetskopier. På én natt mistet 1 300 kommunale ansatte tilgangen til alle systemene de var avhengige av.
Kommunen hadde ingen mulighet til å gjenopprette dataene. E-posten var borte. Pasientjournalene i omsorgstjenestene var borte. Byggesøknader, skatteopplysninger, intern kommunikasjon – alt var låst bak krypteringsnøkler som bare hackerne hadde. Ansatte i helsetjenesten, skolene og administrasjonen måtte gå over til penn og papir. Sykepleiere skrev pasientnotater for hånd. Lærerne klarte seg uten digitale verktøy. Administrasjonspersonalet gravde frem fysiske arkiver som ikke hadde vært rørt på mange år.
Situasjonen ble enda verre. 31. mars publiserte hackerne stjålne data på det mørke nettet. Omtrent 30 000 dokumenter med personopplysninger om kommunens innbyggere dukket opp på nettet, blant annet sensitive helsejournaler og saker fra sosialtjenesten. Kommunen kunne ikke gjøre noe for å stoppe spredningen.
Konsekvensene var brutale. Rundt 1 000 datamaskiner måtte slettes og gjenoppbygges fra bunnen av. De totale kostnadene beløp seg til omtrent 35 millioner kroner. Datatilsynet, Norges personvernmyndighet, undersøkte saken og fant at kommunen hadde sviktet på flere fronter: ingen tofaktorautentisering, utilstrekkelig loggføring, dårlige sikkerhetskopieringsrutiner og en svak sikkerhetskultur. Boten ble på 4 millioner kroner, og myndigheten bemerket at sviktene utgjorde grov uaktsomhet.
Angrepet på Østre Toten er fortsatt det verste cyberangrepet mot en norsk kommune. Det ble en nasjonal advarsel om hvordan IT-systemene i en liten landkommune kan være like sårbare som i et hvilket som helst stort selskap, og hvor ødeleggende konsekvensene kan bli når grunnleggende cybersikkerhet blir neglisjert.
Kommunen hadde ingen mulighet til å gjenopprette dataene. E-posten var borte. Pasientjournalene i omsorgstjenestene var borte. Byggesøknader, skatteopplysninger, intern kommunikasjon – alt var låst bak krypteringsnøkler som bare hackerne hadde. Ansatte i helsetjenesten, skolene og administrasjonen måtte gå over til penn og papir. Sykepleiere skrev pasientnotater for hånd. Lærerne klarte seg uten digitale verktøy. Administrasjonspersonalet gravde frem fysiske arkiver som ikke hadde vært rørt på mange år.
Situasjonen ble enda verre. 31. mars publiserte hackerne stjålne data på det mørke nettet. Omtrent 30 000 dokumenter med personopplysninger om kommunens innbyggere dukket opp på nettet, blant annet sensitive helsejournaler og saker fra sosialtjenesten. Kommunen kunne ikke gjøre noe for å stoppe spredningen.
Konsekvensene var brutale. Rundt 1 000 datamaskiner måtte slettes og gjenoppbygges fra bunnen av. De totale kostnadene beløp seg til omtrent 35 millioner kroner. Datatilsynet, Norges personvernmyndighet, undersøkte saken og fant at kommunen hadde sviktet på flere fronter: ingen tofaktorautentisering, utilstrekkelig loggføring, dårlige sikkerhetskopieringsrutiner og en svak sikkerhetskultur. Boten ble på 4 millioner kroner, og myndigheten bemerket at sviktene utgjorde grov uaktsomhet.
Angrepet på Østre Toten er fortsatt det verste cyberangrepet mot en norsk kommune. Det ble en nasjonal advarsel om hvordan IT-systemene i en liten landkommune kan være like sårbare som i et hvilket som helst stort selskap, og hvor ødeleggende konsekvensene kan bli når grunnleggende cybersikkerhet blir neglisjert.