Cyber-angrep kan koste bedrifter dyrt

Ransomware, malware eller CFO-fraud begrepene er mange når ulike typer angrep på virksomheters datasystemer omtales. Hver dag blir norske virksomheter utsatt for denne type angrep. Aktiviteten er økende og angrepene blir stadig mer avansert. Ræders spesialister Kristian Østberg, Kyrre W. Kielland og Vebjørn Søndersrød jobber med de mange juridiske sidene av cyberangrep. Sammen har de mye kompetanse om hvordan forebygge og håndtere cyberangrep. 

 

Løsepenger ikke nødvendigvis ulovlig 

Angripernes motivasjon er oftere og oftere løsepenger. Kravet fremsettes på ulike måter og kravene er høyst ulike. 

– Det antas at mange av kravene er automatisert, fordi kravene ofte ikke er relatert til offerets betalingsevne. Betaling av løsepenger er ikke nødvendigvis ulovlig. Det må imidlertid vurderes nøye om løsepenger er riktig løsning på angrepet. Det er ingen garanti for at angriperne åpner opp systemene igjen, eller at ikke bedriften rett etterpå vil få et nytt angrep fra utpresserne. I tillegg bidrar betaling av løsepenger til at de kriminelle nettverkene blir tilført økte ressurser, sier Kristian. 

 

Leveringsbetingelser avgjør erstatningsansvar

Et dataangrep kan føre til at sentrale deler av virksomheten svekkes eller lammes. Det kan få konsekvenser for virksomhetens mulighet til å ta imot nye ordre eller levere eksisterende bestillinger. At tapene kan bli svært store, er det ingen tvil om. Da A.P. Møller – Mærsk ble rammet av et «løsepengevirus» sommeren 2017, fikk de blant annet ikke tatt i mot nye frakt- bestillinger og måtte stenge 75 havne- terminaler i et helt døgn. Selskapet har i ettertid estimert tapet til mellom 250 og 300 millioner dollar. 

– I tillegg til tapt omsetning kan virksomheten dessuten ha et ansvar overfor kunder som lider et økonomisk tap ved manglende eller forsinket leveranse under et dataangrep. Det kommer blant annet an på hva slags vare eller tjeneste virksomheten leverer, og ikke minst hvilke leveringsbetingelser som er avtalt. I utgangspunktet vil manglende eller forsinket leveranse være et kontraktsbrudd, som kan lede til at kunden har krav på erstatning. Det er ikke gitt at leverandøren kan nå frem med en argumentasjon om at et dataangrep skal regnes som «force majeure» eller «forhold utenfor partenes kontroll» dersom det ikke står uttrykkelig i leveringsbetingelsene, sier Kyrre. 

 

Muligheter for å plassere tapet hos andre 

For at den berørte virksomheten skal kunne plassere tapet hos noen andre, kreves etter norsk rett et ansvarsgrunnlag. Det kan være grunnlag for erstatning hos den som har skyld i skaden, for eksempel vedkommende som står bak angrepet. All erfaring tilsier imidlertid at det er vanskelig å få stilt de skyldige til ansvar, enten fordi man ikke vet hvem det er eller fordi de ikke har penger. Det kan i noen tilfeller også være grunnlag for erstatning hos den som burde avverget skaden, for eksempel leverandøren av det systemet som ble rammet eller som slapp viruset inn på andre systemer. 

– Et slikt ansvar vil naturligvis avhenge av de konkrete omstendighetene og hvilke forpliktelser leverandøren har påtatt seg. Det er større grunn til å vurdere å plassere ansvaret hos en leverandør som sikrer systemene mot dataangrep, enn leverandøren av et mer tilfeldig program der det i ettertid oppdages et sikkerhetshull. For den som har forpliktet seg til å sikre systemene, så kan dataangrepet være et erstatningsbetingende kontraktsbrudd, eller til og med brudd på leverandørens garantier, sier Kyrre.

Virksomheten kan også ha forsikringsdekninger som dekker hele eller deler av tapet. Hos mange selskaper kan slike tap være dekket under kriminalitetsforsikringen, men stadig flere selskaper tilbyr nå en egen cyber-forsikring, tilføyer Kristian. 

 

Strengere regler for personopplysninger 

EUs personvernforordning GDPRinnfører dramatisk økning i sanksjonsnivå.

– Dersom cyberangrep utnytter manglende sikkerhetsnivå for datasystemer, manglende «patching» eller forhold virksomheten burde ha oppdaget ved jevnlige sikkerhetsrevisjoner, kan det foreligge brudd på GDPR. Medfører et angrep at personopplysninger kommer på avveie, kan tilsynsmyndighetens håndheving av GDPR lede til kraftige reaksjoner som for eksempel bøter på inntil 4% av global omsetning. Å skylde på underleverandører reduserer ikke dette ansvaret. I tillegg vil data på avveie også kunne representere brudd på bedriftens ansvar etter konfidensialitetsavtaler og med det også erstatningsplikt, sier Vebjørn. 

 

Tar stor risiko 

Overraskende mange bedriftsledere har en «vent-å-se-holdning». Fremfor å ta konkrete – og enkle – risikoreduserende grep, så velger mangle daglige ledere og styremedlemmer å satse på at de ikke blir rammet. Risikoen kan reduseres med enkle grep; evaluering av datasikkerheten, gjennomgang av standardbetingelsene i avtalene og tegning av riktig forsikring. Mange virksomheter kan bli adskillig bedre sikret om daglig leder hadde brukt én dag med riktige rådgivere. Partnerne anbefaler alle virksomheter å gjennomgå sine avtaler for å sikre seg best mulig, både som leverandør, kunde og forvalter av data. 

– En rekke selskaper driver med stor risiko. Det gjelder ikke bare selskaper med systemer som er enkle å angripe, men også de som er ekstra sårbare på grunn av for dårlige avtaler med kunder og leverandører, fastslår de.