Datainnbrudd – Q&A
Hva har skjedd?
Norkart er blitt utsatt for et datainnbrudd. Uvedkommende har utnyttet en sårbarhet i søketjenesten som henter kopidata fra Norges offisielle eiendomsregister. Eiendomsregisteret har oversikt over hvem som eier hva i Norge. Fortrolige adresser og skjermede bygg er ikke berørt av datainnbruddet.
Hvor lenge har datainnbruddet vart?
Vi vet ikke nøyaktig varigheten, men indikasjon fra vår tekniske avdeling, tyder på at sårbarheten har blitt utnyttet i perioden 03.05-05.05.
Hvorfor har dere ikke sagt ifra før?
Norkart har arbeidet kontinuerlig, sammen med Politiet & Nasjonal sikkerhetsmyndighet (NSM) for å avdekke hva som har skjedd. På kvelden den 10.05 fikk Norkart beskjed fra Politiet at det det ikke ville hindre etterforskingen om vi informerte om hendelsen til publikum.
Hvorfor mottar jeg ikke varsel direkte om at jeg er berørt av hendelsen?
Norkart har varslet berørte gjennom pressemelding og med utfyllende informasjon på egne hjemmesider. Varslingen er gjort i henhold til gjeldende krav, der varsel direkte til hver enkelt registrerte kan erstattes med mer hensiktsmessige kanaler.
Har informasjon om meg ligget åpent på internett eller har Norkart sendt denne til noen?
Norkart har ikke aktivt delt informasjonen med noen. Et usikret programmerbart grensesnitt (API) har vært tilgjengelig i en periode på et endepunkt (IP-adresse/port). Det har ikke blitt referert til dette endepunktet fra andre løsninger på internett. Informasjonen har altså kun vært tilgjengelig for den som måtte klare å finne frem til endepunktet gjennom portskanningsverktøy eller lignende.
Norkart ble utsatt for et datainnbrudd gjennom dette endepunktet, der opplysninger om deg (dersom du er berørt) har blitt lastet ned. Politiet etterforsker nå saken som datakriminalitet.
Jeg bor på hemmelig (skjermet adresse) – er jeg berørt av dette?
Nei.
Hva gjorde Norkart når datainnbruddet ble oppdaget?
Umiddelbart ble søketjenesten stengt. Forholdet ble deretter politianmeldt og avviksmelding ble sendt til Datatilsynet. Etter dette har Norkart samarbeidet med Politiet og NSM for å sikre eventuelle spor, som kan lede oss til hvem som står bak denne kriminelle handlingen.
Vet dere hvem som står bak datainnbruddet?
Nei, saken under etterforskning. Politiet og NSM, altså offentlige myndigheter, har stilt store ressurser til disposisjon for å finne ut hvem som står bak. Vi er takknemlige for hjelpen vi har fått. Vi vet ikke hvorvidt det er en norsk eller utenlandsk gjerningsperson(er) som står bak.
Har uvedkommende/kriminelle misbrukt opplysninger om meg?
Norkart har ikke holdepunkter som tilsier at opplysninger er forsøkt misbrukt. Allikevel ønsker Norkart å oppfordre til ekstra årvåkenhet spesielt med tanke på forsøk på svindel og ID-tyveri. Norkart minner om Datatilsynets råd for å unngå misbruk av personopplysninger.
Hvordan kan dette skje?
Sikkerhet er viktig for oss og har høy prioritet i Norkart. Vi bruker mye ressurser på å unngå situasjoner som denne. Dessverre lykkes hackere med datainnbruddet denne gangen. Forholdet er under etterforskning, og vi beklager usikkerheten som kan skapes som følge av denne saken.
Norkart, og samfunnet ellers, bruker store ressurser på å verne informasjon om innbyggerne og samfunnets infrastruktur. Hacking er kriminalitet, på linje med annen kriminalitet. Vi i Norkart tar vårt ansvar på alvor, og skulle gjerne vært denne saken foruten.
Hvorfor har Norkart personopplysninger om meg?
Norkart har tilgang til Norges offisielle eiendomsregister, matrikkelen. Dette registeret har vi fått tilgang til fra Statens kartverk. Det er Utleveringsforskriften som gir Norkart tilgang på eiendomsinformasjon til utvikling av tjenester. Norkart er behandlingsansvarlig for informasjonen i den aktuelle tjenesten som er berørt.
Kan Norkart slette mine personopplysninger?
Personopplysninger om alle som har eiendom, rettigheter i eiendom, eller er involvert i tiltak, blir registrert i Norges offisielle eiendomsregister (matrikkelen) Registrering, behandling og utlevering av informasjon fra disse registrene reguleres av tinglysingsloven og matrikkelloven med tilhørende forskrifter. Man kan ikke kreve å få slettet personopplysninger som finnes i offentlige registre.
Hvilke personopplysninger har dere lagret om meg?
Når det gjelder den aktuelle tjenesten så er det en kopi av matrikkelen, Norges offisielle eiendomsregister. I matrikkelen finnes navn, adresse og fødselsnummer for eier av eiendommer. Det finnes også navn, adresse og fødselsnummer for de som fester eiendom. For de som har en andel i borettslag finnes også navn, adresse og fødselsnummer. Informasjon i matrikkelen kan ikke kreves slettet, det har hjemmel i lov å lagre denne informasjonen.
Adressen min, og hva jeg eier er kjent, og opplysninger om dette ligger ute på nett. Hvorfor er dette en sak?
Fordi i denne saken er opplysninger om deg satt sammen. Konsekvensen av personopplysninger på avveie, som for eksempel fødselsnummer, kan øke risikoen for å bli utsatt for identitetstyveri.
Foreløpig har vi ingen indikasjoner på at opplysningene er misbrukt. Likevel går vi ut med en sterk oppfordring til å være på vakt. Vi viser til Datatilsynets råd for å unngå misbruk av personopplysninger: https://www.datatilsynet.no/personvern-pa-ulike-omrader/internett-og-apper/id-tyveri/oppdage-forebygge/
Jeg jobber i en kommune/stat/fylke/privat selskap som bruker Norkart-løsninger, er jeg påvirket?
Saken knytter seg til at uvedkommende har lastet ned informasjon om eiere, festere eller personer med borett, fra norsk eiendomsregister (matrikkel). Personene som er berørt av denne saken er i hovedsak privatpersoner hvis eiendom, adresse, navn og fødselsnummer er registrert. Som ansatt i en kommune/stat/fylke/privat selskap, kan du være berørt fordi du f.eks. eier eiendom. Utover dette er ikke spesifikke kommuner/stat/fylke/private selskaper berørt.
Hvorfor er det lagret fullt fødselsnummer på alle i databasen, kunne ikke Norkart brukt en annen nøkkel i stedet?
Opplysninger i offentlige registre, også i Norkarts kopiregister, er lagret på denne måten. Dette for å knytte deg (fødselsnummer) til hva du eier, eller hva du har rettigheter til.
Er jeg berørt dersom jeg eide eiendom 10 år eller mer tilbake i tid?
Ja, alle som har vært registrert som eier siden den elektronisk grunnbok ble innført for eiendommer på slutten av 80-tallet er omfattet. For borettslagsandeler så gjelder det de som eide borettslagsandeler som ble tinglyst fra 2007 og senere.