Juridiske spørsmål tilknyttet dataangrep

Dataangrep kan arte seg på mange ulike måter. Noen rammes av såkalte «ransomware» eller «løsepengevirus», som blokkerer virksomhetens egne tilganger til systemene og krever løsepenger for å frigi systemene. Andre rammes av såkalt «malware» eller «skadevirus» som ødelegger systemene eller data som er lagret i systemene. Noen rammes av svindelforsøk, for eksempel såkalt «CFO-fraud» eller «direktør-svindel» der noen ved å manipulere en e-post utgir seg for å være finansdirektøren eller daglig leder som ber om at det utføres en hurtig utbetaling fra selskapets konti. Atter andre vet ikke nødvendigvis at de er rammet, for eksempel ved infeksjon av virus som gir en bruker uatorisert tilgang til systemene og lagrede data («trojanske hester»).

Det er mange måter å sikre seg mot dataangrep, men helt sikker kan man aldri bli. Det er derfor viktig at virksomheten har god forståelse av de ulike risiki man står overfor og har gode rutiner og systemer som er egnet til å minimere problemene dersom man skulle bli rammet. Vi vil i denne artikkelen trekke frem tre juridiske problemstillinger som typisk oppstår i kjølvannet av et dataangrep.

Hvordan forholde seg til krav om løsepenger?

Angripernes motivasjon er oftere og oftere «løsepenger». Kravet fremsettes på ulike måter og kravene er høyst ulike. Det antas at mange av kravene er «automatisert» idet kravene ofte ikke er relatert til offerets betalingsevne. Betaling av løsepenger er ikke nødvendigvis ulovlig. Det må imidlertid vurderes nøye om løsepenger er riktig løsning på angrepet. Det er ingen garanti for at angriperne rent faktisk «åpner opp» maskinene igjen, eller at ikke bedriften snarlig får et nytt angrep fra samme angripere. I tillegg bidrar betaling av løsepenger til at de kriminelle nettverkene blir tilført økte ressurser.

Hvilket ansvar har virksomheten overfor kunder som ikke får leveransene sine?

Et dataangrep kan føre til at sentrale deler av virksomheten svekkes eller lammes, med de konsekvenser dette får for virksomhetens mulighet til å ta imot nye ordre eller levere under eksisterende bestillinger.  At tapene kan bli svært store, er det ingen tvil om.

Da containerfraktselskapet Moller-Maersk ble rammet av et «løsepengevirus» sommeren 2017, fikk de ikke tatt i mot nye fraktbestillinger i en periode. Selskapet har i ettertid gått ut med opplysninger om et estimert tap av frakt i størrelsesorden USD 200-300 millioner.

Et dataangrep kan i mange bransjer skape vel så stor utfordring med virksomhetens leveranser under eksisterende bestillinger. Da DLA Piper, et globalt advokatfirma med hovedkontor i London, ble rammet av det samme viruset som Moler-Maersk, tok det flere uker før alle systemene var oppe igjen og de ansatte kunne fortsette produksjonen som normalt. Størrelsen på tapet er ikke offentlig kjent, men selskapet selv har uttalt at det er snakk om «millions», og da i en valuta som er betydelig sterkere enn den norske kronen.

Virksomhetens ansvar overfor kunder som lider et økonomisk tap som følge av manglende eller forsinket leveranse, vil bero på hva slags vare eller tjeneste virksomheten leverer, og ikke minst hvilke leveringsbetingelser som er avtalt. I utgangspunktet vil manglende eller forsinket leveranse være et kontraktsbrudd som kan lede til at kunden har krav på erstatning. Det er ikke gitt at leverandøren kan nå frem med en argumentasjon om at et dataangrep skal regnes som «force majeure» eller «forhold utenfor partenes kontroll» dersom det ikke står uttrykkelig i leveringsbetingelsene.

Kan virksomheten plassere ansvaret over på andre?

For at den berørte virksomheten skal kunne plassere tapet hos noen andre, kreves etter norsk rett et ansvarsgrunnlag. Det kan være grunnlag for erstatning hos den som har skyld i skaden, for eksempel vedkommende som står bak viruset. All erfaring tilsier imidlertid at det er vanskelig å få stilt de skyldige til ansvar enten fordi man ikke vet hvem det er eller fordi de ikke har penger.

Det kan i noen tilfeller også være grunnlag for erstatning hos den som burde avverget skaden, for eksempel leverandøren av det systemet som ble rammet eller som slapp viruset inn på andre systemer.  Slik ansvar vil naturligvis bero på de konkrete omstendighetene og hvilke forpliktelser leverandøren har påtatt seg. Det er større grunn til å vurdere å plassere ansvaret hos en leverandør som konkret har påtatt seg å sikre systemene mot dataangrep enn leverandøren av et program der det i ettertid oppdages et sikkerhetshull. For den som har forpliktet seg til å sikre systemene så kan datangrepet være et erstatningsbetingende kontraktsbrudd, eller til og med brudd på leverandørens garantier.

Virksomheten kan også ha forsikringsdekninger som dekker (deler av) tapet. Hos mange selskaper kan slike tap være dekket under kriminalitetsforsikringen, men stadig flere selskaper tilbyr nå egne dekninger mot cyberrisiko.

Virksomhetens ansvar for data på avveie

EUs personvernforordning GDPR, som trer i kraft i mai 2018, innfører dramatisk økning i sanksjonsnivå. Dersom cyberangrep utnytter manglende sikkerhetsnivå for datasystemer, manglende «patching» eller forhold virksomheten burde ha oppdaget ved jevnlige sikkerhetsrevisjoner, kan det foreligge brudd på GDPR. Medfører et angrep personopplysninger på avveie, kan tilsynsmyndighetens håndheving av GDPR her lede til kraftige reaksjoner. Å skylde på underleverandører reduserer ikke dette ansvaret. I tillegg vil data på avveie også kunne representere brudd på bedriftens ansvar etter konfidensialitetsavtaler med tilhørende erstatningsplikt.