En mann i 30-årene er dømt til 14 dager betinget fengsel og inndragning av datautstyr etter innbrudd i Statens vegvesenets datasystem.

Det var i januar 2018 at Statens vegvesen oppdaget innbrudd og omfattende nedlastning av data fra sitt kunderegister. Forholdet ble politianmeldt og politiet gikk raskt til anholdelse av utenlandsk statsborger bosatt i Bergen.

Innbrudd i selvbetjeningsløsningen

Mandag falt dommen i Bergen tingrett med en betinget fengselsdom og inndragning av datautstyr som inneholder Vegvesenet-informasjoner.

Dommen er ikke rettskraftig. Den tiltalte har to ukers ankefrist.

I januar 2018 ble mannen siktet for omfattende datainnbrudd i Vegvesenets selvbetjeningssystem. Mannen hadde søkt opp informasjon om flere millioner brukere i forbindelse med utviklingen av en app til mobil og nettbrett.

Informasjonen mannen hadde fått tilgang til kom fra kunderegisteret som er koblet til selvbetjeningsløsningen på vegvesen.no, og inneholdt fødselsdato, fullt navn, kunde-ID, målform, adresser og noe informasjon om registrerte kjøretøy. Han hadde ikke fått tilgang til sensitiv informasjon.

Ansatte vitnet i rettssaken

Statens vegvesen anmeldte forholdet i januar 2018 - og rettsaken ble gjennomført mandag og tirsdag i forrige uke i Bergen tingrett. Ansatte fra Statens vegvesen vitnet i saken.

Siktelsen mot mannen gjaldt straffelovens paragraf 204 om «Innbrudd i datasystem», der lovteksten lyder: «Med bot eller fengsel inntil 2 år straffes den som ved å bryte en beskyttelse eller ved annen uberettiget fremgangsmåte skaffer seg tilgang til datasystem eller del av det.»

Aktor la ned krav om 14 dagers betinget fengsel og 10 000 kroner i bot.

Vegvesenet har gode sikkerhetsrutiner

- Sikkerhet blir tatt på alvor i Statens vegvesen. Vi blir like mye forsøkt hacket som alle andre aktører. I dette tilfellet hadde tiltalte bedt om tilgang til vårt onlinesystem i forkant, men fått avslag på sin henvendelse. Etter dette valgte han likevel å benytte seg av et program for å hente ut personopplysningene fra kunderegisteret, sier Ole Myklebust Grundetjern – som leder IT Sikkerhet.

Siden han hadde logget seg inn på «Din side» via ID-porten, visste Vegvesenet alltid hvem han var.

Kort tid etter hendelsen i 2018 ble det gjort endringer i systemet som gjør at man ikke skal kunne laste ned personopplysningene fra alle i Norge.

- Vi har kontinuerlig stort fokus på sikkerhet for alle Statens vegvesens IT-løsninger, forsikrer Grundetjern.