Som følge av dataangrepet, hele den kommunale tjenesteleveransen med få unntak ble rammet, bestilte kommunedirektøren en rapport fra revisjons- og rådgivningsselskapet KPMG.
Dette for å kunne bidra til å gi svar om årsak og konsekvens til berørte parter, herunder innbyggere, tilsynsorganer og politisk ledelse.
Formålet med rapporten er læring og innspill til hvordan Østre Toten kommune bør organisere sitt arbeid innenfor digital sikkerhet i fremtiden.
Østre Toten kommune, ved kommunedirektøren, har hatt som intensjon å unnta deler av rapporten for å hindre at opplysningene kan brukes av kriminelle. Derfor har blant annet det som omhandler tekniske undersøkelser tidligere vært unntatt offentlighet.
Etter et innsynskrav og klagebehandling hos Statsforvalteren i Innlandet har Østre Toten kommune, ved kommunedirektøren, gjort nye vurderinger med den hensikt å frigjøre så mye som mulig av rapporten. I mai 2022 ble rapporten offentliggjort i sin helhet.
Kommunedirektøren orienterte kontrollutvalget om rapporten fredag 27. august 2021.
Ordfører Bror Helgestad sier rapporten gir et godt grunnlag for det videre arbeidet med IKT-sikkerheten i Østre Toten kommune. KPMG vil presentere rapporten i kommunestyremøtet 15. september.
Sammendrag fra rapporten:
- KPMGs gjennomgang har identifisert en rekke svakheter knyttet til arbeidet med IKT-sikkerheten i Østre Toten kommune.
- Basert på at implementering av sikkerhetstiltak fremstår som noe tilfeldig, samtidig som enkelte mangler er blitt identifisert, men ikke gjort noe med, vurderer KPMG sikkerhetsstyringen i kommunen som svak eller mangelfull.
- Det er lite som tilsier at Østre Toten kommune har vært i en særstilling og av den grunn har vært dårligere stilt til å sikre sine digitale verdier enn andre kommuner på tilsvarende størrelse. KPMG antar at tilstanden i sammenliknbare kommuner ligger på omtrent samme nivå som Østre Toten kommune forut for hendelsen.
- Implementasjon av få, men viktige tiltak kan gjøre stor forskjell på sikkerhetstilstanden i en kommune.