Hacking og dataangrep – et styreansvar?

Det blir påstått at 90 % av dataangrep skyldes menneskelig feil. Historien viser at de færreste bedriftene kan stå imot et velrettet angrep. De fleste bedriftene kan imidlertid forberede seg på hvordan et angrep skal håndteres best mulig.

I de siste årene har trusselbildet endret seg. Der risikoen tidligere lå i at man mistet persondata eller sensitiv data for virksomheten, gjør dagens angrep det vanskelig å opprettholde normal drift. Det finnes mange eksempler på dette: Rommene til et hotell med elektroniske nøkler blir låst, slik at ingen kommer inn på rommene sine. Datamaskiner blir kryptert, slik at ingen får logget seg på eller får tilgang til data. Datasystemet blir bombardert av henvendelser, slik at ingenting fungerer. Hackere kan være inne i systemene til en bedrift i lange tider og kopiere og hente ut alt av viktig informasjon for forretningsdriften. Selges informasjonen videre kan det være vanskelig å være konkurransedyktig om konkurrentene har fått tilgang til forretningshemmelighetene. Konsekvensene av et dataangrep kan overgå fantasien. Felles for de store angrepene, er at de er dyre. Gjennomsnittskostnaden ved dataangrep på verdensbasis ligger på rundt 30 millioner kroner.

I møte med bedrifter er det de færreste som tror at de er eksponert for et dataangrep. De tror at de ikke er interessante, eller at de er for små til å vekke oppmerksomhet blant hackerne. Så langt har de også hatt rett. Blant de som innrømmer at de kan være utsatt for et angrep, viser de mange til at dataleverandøren deres har ansvaret for den teknologiske infrastrukturen til bedriften. En bedrift har eksempelvis satt bort datakompetansen til leverandør av datatjenester, og går ut fra at dataleverandøren vil ta seg av backup og oppetid. Stort sett vil dataleverandøren både hindre og håndtere konsekvensene av et angrep. Men hva om de ikke kan det likevel? Hva om dataleverandøren selv blir hacket og hundrevis av kunder blir rammet? Hvilket nummer i køen har da din bedrift for å få hjelp?

Tidligere ble det sagt at IT-sikkerheten var et ansvar for IT-avdelingen alene. Slik er det ikke lenger. IT-sikkerheten er først og fremst et ledelsesansvar. Det er ledelsen som har ansvaret for at bedriften er rustet til å håndtere de situasjonene som kan oppstå. I henhold til aksjeloven § 6-1, skal ledelsen sørge for forvaltningen av selskapet. At selskapet er rustet til å håndtere en uønsket hendelse, eller i alle fall har gjort seg noen tanker om hva som kan skje og hvordan man da skal reagere, må kunne sies å høre under dette utgangspunktet.

Når en uønsket situasjon først har oppstått, er det for sent å lære seg hvordan den skal håndteres. Eiere, kunder, leverandører, ansatte og offentlige myndigheter kan bli skadelidende, og ledelsen kan få ansvaret. Hvorvidt ledelsen faktisk blir idømt ansvaret, vil ofte bero på en prosess som kan bli svært langvarig. Det er derfor viktig at ledelsen er i forkant, slik at man gjør det man kan for å sikre at kravet til aktsomhet i aksjeloven § 17-1 er oppfylt.

God risikohåndtering er å erkjenne at det finnes forhold man ikke evner å ta høyde for på forhånd. Det er derfor selvsagt at man ikke kan tenke på alt som kan skje. Et mulig dataangrep er imidlertid noe som ikke er å anse som usannsynlig. Ledelsen bør derfor gjøre seg noen tanker om en slik situasjon. En måte å gjøre dette på er å ha gode datarutiner og rutiner for internkontroll. Det viktigste er å gjøre det man kan for at uønskede hendelser ikke oppstår. Noen tanker om hvordan man skal håndtere konsekvensene av et eventuelt angrep, er en annen måte å forberede seg på.

Dersom en uønsket hendelse inntreffer, er det viktig å ha gode rutiner for krisehåndtering på forhånd. Eksempler på konsekvensen av et dataangrep kan være driftsstans, kundeflukt, permitteringer, oppsigelser, låneopptak, redusert betalingsevne, dagbøter, konkurs. Dersom noe av dette kan unngås, eller begrenses ved å ha en kriseplan, har ledelsen og styret vært sitt ansvar bevisst, og bedriften blir i mindre grad rammet.

En kriseplan kan inneholde retningslinjer om bl.a. granskning av hendelsen, nedstenging av maskiner, internkommunikasjon, eksternkommunikasjon, juridisk bistand, mediehåndtering, forsikring og gjenoppbygging av tapt omdømme. Arbeid for å unngå et dataangrep er altså en oppgave for IT-avdelingen og hver enkelt ansatt, men konsekvensene av et eventuelt angrep er styrets og ledelsens ansvar. Alle avdelinger i en bedrift vil følgelig måtte involveres i utarbeidelsen av en plan, i og med at også alle avdelinger kan bli berørt av en uønsket hendelse.

Det er nok bare et tidsspørsmål før vi får se søksmål mot et styre som er anklaget for å ha utvist uaktsomhet i forbindelse med at en bedrift har blitt hacket. Et slikt søksmål kan komme fra hvem som helst som mener at de er påført et økonomisk tap.

Advocator Advokatfirma AS har lang erfaring med å diskutere risiko med bedrifter, og vi kan hjelpe med å vurdere hvilke områder din bedrift er eksponert for, og hvilke juridiske og kommersielle konsekvenser slik eksponering kan få. Om du på den andre siden er påført et økonomisk tap, vil vi også kunne vurdere mulighetene for å nå frem med et krav om erstatning.

Advokatfullmektig Kyrre Rørstad har mange års erfaring som forsikringsmegler med ansvarsforsikring og styreansvarsforsikring som spesialområde. Han har gitt råd relatert til cyberforsikring og risikoeksponering i store og små selskaper innen mange ulike bransjer. Han har også bred erfaring i å gi råd om valg av forsikringsløsninger og i å vurdere forsikringsbehov, og han har god kjennskap til norsk og internasjonalt forsikringsmarked.

 

Kyrre Rørstad

Advokatfullmektig hos Advocator Advokatfirma AS