v/ Ekspedisjonssjef Jan Bjørland
Postboks 8008 Dep
0030 OSLO
Saksbehandler: Gun Margareth Moy
Dir. tlf.: 22 93 98 49
Vår referanse: 07/9042
Arkivkode: 030.9
Dato: 26.09.2007
Det vises til departementets anmodning om en orientering om tyveriet i Kredittilsynet som ble oppdaget 6. august d.å.
Da en medarbeider kom tilbake fra ferie 6. august i år, ble det oppdaget at to PC-er var fjernet fra Kredittilsynets lokaler. Dette antas å ha skjedd i perioden fra 18. juli til 6. august. Det ble umiddelbart igangsatt undersøkelser for å avklare om også andre eiendeler var borte. I denne forbindelse ble lokalene undersøkt med sikte på mulige fysiske innbrudd eller svikt i sikkerhetssystemene. Kredittilsynets lokaler i Østensjøveien 43 omfatter ca 160 kontorer,og da hendelsen inntraff i ferieperioden, tok det noe tid å avklare de faktiske forholdene.
Undersøkelsene viste at ytterligere tre PC-er var borte. I samme periode viste det seg at det også var stjålet et kontantbeløp oppbevart på et kontor i nærheten av der to av PC-ene var fjernet. Det er imidlertid knyttet usikkerhet til om tyveriet av pengene og maskinene skjedde samtidig. Det viste seg også at det var brutt opp en låst skuff på et av kontorene hvor PC-en var borte. Det var ikke fjernet noe fra denne skuffen.
Det ble undersøkt hva PC-ene var benyttet til, herunder arten av informasjon de kunne inneholde. Tre maskiner inneholdt programvare knyttet til et IKT-prosjekt. En av disse var forbeholdt bruk av en ekstern konsulent knyttet til IKT-prosjektet. En maskin var helt ny og hadde vært minimalt i bruk. Den siste maskinen var i hovedsak brukt til å skrive foredrag og andre offentlige dokumenter. Etter det Kredittilsynet har kartlagt var det ikke lagret sensitiv informasjon på harddisken til noen av maskinene. Dette er i samsvar med Kredittilsynets interne retningslinjer. Kredittilsynet kan imidlertid ikke utelukke en teoretisk mulighet for at det kan være spor av e-post/data på maskinene i forbindelse med at flere av dem har vært koblet opp mot Kredittilsynets sentrale server.
På bakgrunn av de interne undersøkelsene la Kredittilsynet til grunn at tilsynet hadde vært utsatt for et vinningstyveri. I vurderingen ble det lagt vekt på at de PC-er som var borte var forholdsvis nye og at det i samme periode var tatt kontanter fra et annet kontor. I tillegg kommer at et notat som antas å kunne fremstå som sensitivt, ikke var fjernet fra den låste skuffen som ble brutt opp, samtidig som det heller ikke kunne konstateres at andre dokumenter var fjernet eller rotet i.
Verdien av PC-ene anslås samlet til kr 40. – 50. 000,- .
Etter de interne undersøkelsene ble det tatt kontakt med Oslo Politidistrikt. Anmeldelse ble sendt 9. august Anmeldelsen ble av hensyn til etterforskingen unntatt offentlighet. Etter innsynsbegjæring fra Dagens Næringsliv ble saken offentlighetsvurdert på nytt. Saken var da henlagt av politiet og det ble besluttet at den ikke lenger skulle unntas offentlighet.
Kredittilsynets styre ble orientert om saken i styremøte 25. september.
Kredittilsynet arbeider kontinuerlig med sikkerhet knyttet til tre hovedområder; den fysiske sikring (skallsikring), informasjons- og dokumentsikring og IKT. Arbeidet skjer i samarbeid med eksterne konsulenter og rådgivere. Det er etablert systemer og rutiner for hver av de tre områdene. Rutinene og systemene suppleres av løpende holdningsskapende arbeid knyttet til etikk og sikkerhet blant de ansatte. Kredittilsynet vurderer nå justeringer av sikkerhetssystem og rutiner. Dette vil vi komme tilbake til i et eget brev som av sikkerhetsmessige grunner unntas offentlighet.
På bakgrunn av den senere tids medieomtale finner vi for øvrig grunn til å omtale to sikkerhetsaspekter.
- I dag krypteres alle bærbare PC-er som benyttes på såkalte stedlige tilsyn og dermed inneholder sensitiv informasjon. Kredittilsynet vurderer om også kryptering av PC-er som ikke skal inneholde sensitiv informasjon kan anses nødvendig eller hensiktsmessig.
- Det har blitt kommentert at tilsynets kamera i inngangspartiet ikke har opptaksfunksjon. Dette kameraet ble satt opp på 90-tallet, og det er et svart hvitt kamera som skal være til hjelp for resepsjonen for å se hvem som befinner seg i den ytterste gangen. Det har aldri vært meningen å ta opptak av de som oppholder seg der. Da dette ble satt opp, var kamera med opptaksfunksjon konsesjonspliktig, mens det ikke var nødvendig for denne type kamera uten opptaksfunksjon. Melding er nå sendt Datatilsynet.
Kredittilsynet vil avslutningsvis understreke at tilsynet legger stor vekt på at tilsynsenheter, samarbeidspartnere og ansatte skal føle seg trygge på at den informasjonen som tilsynet er i besittelse av oppbevares forsvarlig. Det arbeides for å forhindre at en liknende situasjon kan oppstå igjen, noe Finansdepartementet som nevnt over vil orienteres særskilt om.
Med hilsen
Bjørn Skogstad Aamo
kredittilsynsdirektør
Gun Margareth Moy
avdelingsdirektør
