Norkart er blitt utsatt for et datainnbrudd. Uvedkommende har utnyttet en sårbarhet i søketjenesten som henter kopidata fra Norges offisielle eiendomsregister. Eiendomsregisteret har oversikt over hvem som eier hva i Norge. Fortrolige adresser og skjermede bygg er ikke berørt av datainnbruddet.
Vi vet ikke nøyaktig varigheten, men indikasjon fra vår tekniske avdeling, tyder på at sårbarheten har blitt utnyttet i perioden 03.05-05.05.
Norkart har arbeidet kontinuerlig, sammen med Politiet & Nasjonal sikkerhetsmyndighet (NSM) for å avdekke hva som har skjedd. På kvelden den 10.05 fikk Norkart beskjed fra Politiet at det det ikke ville hindre etterforskingen om vi informerte om hendelsen til publikum.
Norkart har varslet berørte gjennom pressemelding og med utfyllende informasjon på egne hjemmesider. Varslingen er gjort i henhold til gjeldende krav, der varsel direkte til hver enkelt registrerte kan erstattes med mer hensiktsmessige kanaler.
Norkart har ikke aktivt delt informasjonen med noen. Et usikret programmerbart grensesnitt (API) har vært tilgjengelig i en periode på et endepunkt (IP-adresse/port). Det har ikke blitt referert til dette endepunktet fra andre løsninger på internett. Informasjonen har altså kun vært tilgjengelig for den som måtte klare å finne frem til endepunktet gjennom portskanningsverktøy eller lignende.
Norkart ble utsatt for et datainnbrudd gjennom dette endepunktet, der opplysninger om deg (dersom du er berørt) har blitt lastet ned. Politiet etterforsker nå saken som datakriminalitet.
Nei.
Umiddelbart ble søketjenesten stengt. Forholdet ble deretter politianmeldt og avviksmelding ble sendt til Datatilsynet. Etter dette har Norkart samarbeidet med Politiet og NSM for å sikre eventuelle spor, som kan lede oss til hvem som står bak denne kriminelle handlingen.
Nei, saken under etterforskning. Politiet og NSM, altså offentlige myndigheter, har stilt store ressurser til disposisjon for å finne ut hvem som står bak. Vi er takknemlige for hjelpen vi har fått. Vi vet ikke hvorvidt det er en norsk eller utenlandsk gjerningsperson(er) som står bak.
Norkart har ikke holdepunkter som tilsier at opplysninger er forsøkt misbrukt. Allikevel ønsker Norkart å oppfordre til ekstra årvåkenhet spesielt med tanke på forsøk på svindel og ID-tyveri. Norkart minner om Datatilsynets råd for å unngå misbruk av personopplysninger.
Sikkerhet er viktig for oss og har høy prioritet i Norkart. Vi bruker mye ressurser på å unngå situasjoner som denne. Dessverre lykkes hackere med datainnbruddet denne gangen. Forholdet er under etterforskning, og vi beklager usikkerheten som kan skapes som følge av denne saken.
Norkart, og samfunnet ellers, bruker store ressurser på å verne informasjon om innbyggerne og samfunnets infrastruktur. Hacking er kriminalitet, på linje med annen kriminalitet. Vi i Norkart tar vårt ansvar på alvor, og skulle gjerne vært denne saken foruten.
Norkart har tilgang til Norges offisielle eiendomsregister, matrikkelen. Dette registeret har vi fått tilgang til fra Statens kartverk. Det er Utleveringsforskriften som gir Norkart tilgang på eiendomsinformasjon til utvikling av tjenester. Norkart er behandlingsansvarlig for informasjonen i den aktuelle tjenesten som er berørt.
Personopplysninger om alle som har eiendom, rettigheter i eiendom, eller er involvert i tiltak, blir registrert i Norges offisielle eiendomsregister (matrikkelen) Registrering, behandling og utlevering av informasjon fra disse registrene reguleres av tinglysingsloven og matrikkelloven med tilhørende forskrifter. Man kan ikke kreve å få slettet personopplysninger som finnes i offentlige registre.
Når det gjelder den aktuelle tjenesten så er det en kopi av matrikkelen, Norges offisielle eiendomsregister. I matrikkelen finnes navn, adresse og fødselsnummer for eier av eiendommer. Det finnes også navn, adresse og fødselsnummer for de som fester eiendom. For de som har en andel i borettslag finnes også navn, adresse og fødselsnummer. Informasjon i matrikkelen kan ikke kreves slettet, det har hjemmel i lov å lagre denne informasjonen.
Fordi i denne saken er opplysninger om deg satt sammen. Konsekvensen av personopplysninger på avveie, som for eksempel fødselsnummer, kan øke risikoen for å bli utsatt for identitetstyveri.
Foreløpig har vi ingen indikasjoner på at opplysningene er misbrukt. Likevel går vi ut med en sterk oppfordring til å være på vakt. Vi viser til Datatilsynets råd for å unngå misbruk av personopplysninger: https://www.datatilsynet.no/personvern-pa-ulike-omrader/internett-og-apper/id-tyveri/oppdage-forebygge/
Saken knytter seg til at uvedkommende har lastet ned informasjon om eiere, festere eller personer med borett, fra norsk eiendomsregister (matrikkel). Personene som er berørt av denne saken er i hovedsak privatpersoner hvis eiendom, adresse, navn og fødselsnummer er registrert. Som ansatt i en kommune/stat/fylke/privat selskap, kan du være berørt fordi du f.eks. eier eiendom. Utover dette er ikke spesifikke kommuner/stat/fylke/private selskaper berørt.
Opplysninger i offentlige registre, også i Norkarts kopiregister, er lagret på denne måten. Dette for å knytte deg (fødselsnummer) til hva du eier, eller hva du har rettigheter til.
Ja, alle som har vært registrert som eier siden den elektronisk grunnbok ble innført for eiendommer på slutten av 80-tallet er omfattet. For borettslagsandeler så gjelder det de som eide borettslagsandeler som ble tinglyst fra 2007 og senere.