Vår eksplosive og plutselige bruk av hjemmekontorløsninger øker virksomhetenes sårbarhet. Cyberangrep øker i omfang under Covid-19 og angrepene kan potensielt gi uvedkommende tilgang til kritiske data. Når vi i tillegg installerer løsninger for digitale videomøter, kan virksomhetene potensielt åpne store sikkerhetshull.
Nasjonale sikkerhetsmyndighet (NSM) publiserte 8. april et oppdatert varsel om økt digital risiko i forbindelse med Covid-19 hvor det oppfordres til økt årvåkenhet og bevisstgjøring rundt IKT-sikkerhet, særlig knyttet til midlertidige hjemmekontorløsninger. Når virksomhetene kjenner sikkerhetsrisikoen i bruk av digital kommunikasjon, må de være seg sitt ansvar bevisst og sørge for sikre løsninger for sin bruk.
Noen av videomøteløsningene på markedet er blitt kritisert for manglende åpenhet om sikkerhetstiltak, manglende informasjon om lokasjon av datasenter, data som har vært sendt via Kina, manglende opplysninger om tredjeparters tilgang til lagrede data, mangel på databehandleravtale og så videre. Manglene reduserer sikkerheten og forutberegneligheten, som kan gi konsekvenser som virksomheten gjerne vil unngå. Bedriftshemmeligheter blir avslørt, konkurransefortrinn går tapt og forhandlingsresultater forverres. Personopplysninger kommer på avveie, med risiko for personvernet, tap av data og omdømme, søksmål og overtredelsesgebyr.
Overtredelsesgebyr ilegges etter GDPR, men også etter sikkerhetsloven og NIS-loven. Lovene stiller krav til ansvarlighet og egnet sikkerhetsnivå, og virksomhetene kommer i ansvar dersom pliktene ikke etterleves. GDPR artikkel 32 stiller for eksempel krav til “egnede tekniske og organisatoriske tiltak” for godt sikkerhetsnivå. Brudd på plikten til egnede tiltak for informasjonssikkerhet kan medføre erstatningssøksmål, ikke bare fra de registrerte men også fra kunder og samarbeidspartnere som får sine data tapt og misbrukt. Har uaktsomheten medført et tap, vil virksomheten raskt bli erstatningsansvarlig.
Et sikkerhetsbrudd kan påføre store skade på en virksomhet, ikke bare på grunn av tapte systemer og data men på grunn av at virksomhetens operasjoner blir avbrutt over en periode. Når virksomhetskritiske data og personopplysninger kommer på avveie, vil det ha store potensiale for tap.
For å unngå sikkerhetsbrudd bør virksomhetene minimum gå igjennom disse stegene før samarbeidsløsningen tas i bruk:
Et av de viktigste kravene i GDPR er kravet til ansvarlighet. Virksomheten skal utvise ansvarlighet i sin omgang med data. Virksomheten, og i siste instans daglig leder og styret personlig, er ansvarlige for manglende sikkerhet. Har virksomheten tatt grep som vist over er risikoen for tap og for å havne i ansvar betydelig minsket.
Kristin Haram Førde og Kristian Foss
Partnere i Bull & Co Advokatfirma