Persónuvernd hefur komist að þeirri niðurstöðu að Strætó og Advania hafi ekki fullnægt kröfum persónuverndarlaga um viðeigandi öryggisráðstafanir í vinnslu persónuupplýsinga í kerfum Strætó. Þetta kemur fram í ákvörðun stofnunarinnar frá 28. nóvember. Málið má rekja til stórrar netárásar á kerfi Strætó í árslok 2021 þar sem óprúttnir aðilar komust yfir mikið magn af persónuupplýsingum sem varða á bilinu 10-15 þúsund landsmenn.
Það var í desember árið 2021 að tölvukerfi Strætó urðu fyrir fjandsamlegri netárás. Utanaðkomandi komst yfir gögn sem voru hýst í kerfum fyrirtækisins, en hýsingin var á vegum Advania. Á aðfangadag jóla fékk Strætó tölvupóst frá þrjótunum sem kröfðust lausnargjalds, ellegar yrði gögnunum lekið. Degi síðar sá starfsmaður Strætó að á vefþjóni þeirra voru komin skjöl sem ekki áttu að vera þar. Reyndust þau koma frá þrjótunum og innihéldu sömu skilaboð og áður voru send. Lausnargjald átti að greiða fyrir 6. janúar en eftir samráð við netöryggissveitina CERT-IS ákvað Strætó að verða ekki við kröfum þrjótanna. Þrjótarnir auðkenndu sig sem meðlimi í hakkarahópnum Karakurt. Sá hópur er frægur í Bandaríkjunum og Evrópu fyrir umfangsmiklar árásir á fyrirtæki og stofnanir þar sem gögnum er stolið og haldið í gíslingu þar til lausnargjald fæst greitt.
Ekki reyndist þó mögulegt að komast að því hvernig þrjótarnir komust inn á kerfi Strætó. Ástæða þess er að svokallaðri atvikaskráningu var ábótavant. Atvikaskráning, eða atburðaskráning, er öryggisráðstöfun sem er til þess fallin að tryggja rekjanleika og getur haft varnaðaráhrif gegn árásum. Vöktun slíkra skráninga er til þess fallin að tryggja eftirlit með aðgangi og annarri vinnslu persónuupplýsinga og svo hægt sé að koma auga á óeðlileg atvik og grípa til ráðstafana.
Mögulega komust þrjótarnir inn í gegnum netþjón eða með því að senda veiðipóst (phishing) á starfsmenn. Persónuvernd ákvað að taka árásina til rannsóknar eftir að um hana var fjallað í fjölmiðlum. Strætó reyndi að velta ábyrgðinni yfir á Advania – þeim hafi borið að tryggja öryggi, atvikaskráningu og vöktun samkvæmt gildandi þjónustusamningi. Advania reyndi að verjast þessu með því að vísa til þess að þjónustusamningur fælist um rekstrarþjónustu og viki í engu að skyldu Advania til að stunda netvöktun. Advania benti á að Strætó væri enn að notast við svokallað lykilorð lénstjóra ( e. domain admin password) sem hafi ekki verið breytt síðan árið 2006. Líklegast sé að þrjótarnir hafi nýtt sér þann brest til að brjótast inn í kerfin.
Karakurt hafði komist yfir mikið magn af persónuupplýsingum um 10-15 þúsund einstaklinga. Sumar upplýsingarnar voru ósköp saklausar, svo sem nöfn, heimilisfang og kennitala, en aðrar viðkvæmari svo sem upplýsingar um sakaskrá einstaklinga sem höfðu sótt um vinnu hjá strætó eða gegndu verktöku fyrir fyrirtækið, launaupplýsingar um starfsmenn, auðkennisupplýsingar og fjárhagsupplýsingar svo dæmi séu tekin.
Persónuvernd rakti að árásin hafi ekki komið úr lausu lofti heldur átt sér aðdraganda. Sá fyrsti í október þegar minni árás átti sér stað þar sem óprúttnir komust yfir nokkuð af gögnum. Strax þarna hafi verið tilefni fyrir Strætó að bregðast við öryggisbrest, en það var ekki gert. Hér hefði atvikaskráning verið mikilvæg og mögulega náð að draga úr umfangi stærri árásarinnar í desember. Þetta hafi kallað á viðbrögð, en ekkert gert.
Þar með voru að mati Persónuverndar, bæði fyrirtækin brotleg. Advania hafi lofað að fylgja tilteknum öryggisstuðlum í samningi sínum við Strætó, en til að uppfylla þá staðla hafi þurft að tryggja öryggi svo sem með vöktun og atvikaskráningu. Breyti engu þó að slík þjónusta hafi ekki verið tiltekin berum orðum í samningi. Strætó hefði svo haft fullt tilefni til að bregðast fyrr við og eins að tryggja að Advania væri að uppfylla áðurnefnda staðla sem sem með því að gera mat á upplýsingaöryggisáhættu.
Bæði fyrirtækin væru sek um að bregðast skyldu sinni að gæta að öryggi persónuupplýsinga. Hins vegar hafi bæði fyrirtæki farið í tafarlausar úrbætur og átt í góðu samstarfi um slíkt. Þau hafi sýnt samstafsvilja við rannsókn Persónuverndar og því ekki talið tilefni til að beita stjórnvaldssektum.