– Mann brøt seg inn i Vegvesenets datasystem og søkte opp flere millioner personer

Politiet jobber på spreng for å finne ut hva som er lastet ned og hva det eventuelt skulle brukes til. Selv har mannen forklart seg om app-utvikling.

Publisert:

BLE PÅGREPET: Mannen i 30-årene, bosatt i Bergen, ble pågrepet samme dagen som Vegvesenet anmeldte datainnbrudd i sitt kunderegister. Bildet er fra politiets ransaking hjemme hos mannen. Politiet

Politiet vurderte torsdag å be om to ukers varetektsfengsling av en utenlandsk mann i 30-årene, bosatt i Bergen, etter et innbrudd i datasystemet til Statens vegvesen.

Forholdet ble anmeldt tirsdag, og den siktede mannen ble arrestert samme dag. Politiet dro til mannens bolig, der de ransaket og gjorde beslag.

Ifølge politiadvokat Anders Hoff i Vest politidistrikt er det snakk om et svært omfattende datainnbrudd.

– Vi mener han har manipulert datasystemet og så søkt på flere millioner brukeridentiteter, altså personer. Veldig mange brukere kan være berørt av dette.

DATAINNBRUDD: – Vi oppdaget og anmeldte forholdet tidligere denne uken, sier direktør Lars B. Kalfoss i Vegdirektoratets IKT-avdeling. Vegdirektoratet

– Navn og adresser

Siktelsen mot mannen gjelder straffelovens paragraf 204, om «Innbrudd i datasystem».

Mannens forsvarer, advokat Ole-Petter Grythe Hoff, sier klienten ikke har erkjent straffskyld.

– Ut over det vil jeg ikke kommentere. Jeg har ikke avklart med ham om han ønsker at jeg skal si noe.

I lovteksten står det om bot eller fengsel som straff for den som «ved å bryte en beskyttelse eller ved annen uberettiget fremgangsmåte skaffer seg tilgang til datasystem eller del av det».

– Hva er det som er søkt opp?

– Det dreier seg blant annet om personopplysninger som navn og adresser. Nå jobber vi for å avklare nøyaktig hva som har foregått, hvilke data som er lastet ned, hvor de er lagret og hva dataene eventuelt er brukt til eller skulle brukes til, sier Hoff.

Les også

Les også: Norsk mobilapp åpnet for å hente ut personlig informasjon om brukerne

Politiet har ikke funnet lignende forhold knyttet til mannen fra tidligere.

Les også

Rapport: Faren for dataangrep fra kryptokriminelle øker i 2018

Tror ikke opplysninger er endret

Torsdag ettermiddag avgjorde politiet at de likevel ikke vil kreve mannen fengslet. De mener de har så pass kontroll at det ikke er nødvendig.

Torsdag har politiet sikret informasjon lagret i mannens skytjenester og fortsatt med å gjennomgå beslaglagt datautstyr. Kriminalteknikere fra Vest politidistrikt har hjulpet til med etterforskningen.

Politiadvokat Hoff sier mannen kom seg inn i Statens vegvesens datasystem ved først å logge seg på en av deres kundetjenester. Etaten opplyser selv, via IKT-direktør Lars B. Kalfoss, at det dreier seg om Vegvesenets kunderegister.

– Det skal være snakk om en tjeneste kalt KundeAdapter, uten at jeg vet om det er et internt navn. Jeg oppfatter det som en selvbetjeningsportal man kan logge seg på. Deretter mener vi mannen fant en måte for å få tilgang til flere millioner brukere og deres lagrede informasjon, sier Hoff.

Politiet opplyser at det påståtte datainnbruddet skal ha gitt den utenlandske mannen tilgang på fullt navn, kunde-ID, adresser og noe informasjon om registrerte kjøretøy.

– Det er ingen opplysninger om at betalingsinformasjon eller fullt personnummer er blitt tilgjengeliggjort, poengterer politiadvokaten.

Snakket om app-utvikling i avhør

Mannen i 30-årene nekter straffskyld, men har ifølge politiet erkjent å ha skaffet seg tilgang på data.

Han ble avhørt onsdag, og trolig blir han løslatt torsdag ettermiddag. Politiet kan ikke holde på noen kun basert på mistanke; det må i tillegg være fare for eksempelvis ødeleggelse av bevis.

– I avhør sa han at han ønsker å lage en app for mobiler og nettbrett. Kjøretøyinformasjon skulle være sentralt i denne appen, ifølge det han forklarte. Vi har ikke full oversikt over hva han ønsket med appen, og om den var tenkt å gi tilgang på mer enn kjøretøyinformasjon, sier Hoff.

Selv om det så langt ser ut til at spesielt sensitive data ikke er berørt, mener politiet at saken er bekymringsverdig.

– Det er omfanget som er alvorlig. Han ble sittende på en ganske stor informasjonsmengde, uten at jeg vil spekulere i om han kunne ha misbrukt det på noen måte.

Politiet har ingen indikasjoner på at opplysninger knyttet til personer er blitt endret.

Anmeldte straks

Direktør Lars B. Kalfoss i Vegdirektoratets IKT-avdeling sier at datainnbruddet ble oppdaget for et par dager siden, og at man straks anmeldte forholdet til politiet.

– Det var ved rutinemessig gjennomgang av våre registre at uregelmessighetene ble oppdaget. Hva vedkommende har gjort eller ikke gjort kan jeg ikke kommentere. Det blir politiets oppgave å finne ut av dette.

– Tiltak iverksatt

– Hva slags tiltak har dere iverksatt for å forhindre lignende episoder?

– Vi har allerede iverksatt tiltak for å sikre systemene våre bedre. Vi jobber tett sammen med politiet for å avdekke flere detaljer, men har ikke så mye mer å informere om nå, sier Kalfoss.

Publisert: