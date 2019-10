Artikkelen er skrevet av advokatfullmektig Hermon Melles i Bing Hodneland Advokatslskap DA. Foto: Selskapet

Teknologiske fremskritt har bidratt til økt omsetning og reduserte utgifter for virksomheter som er villig til å ta steget ut i den digitale verden. Medaljen har imidlertid en bakside. Når store deler av virksomheten foregår digitalt, enten i form av skylagring, kommunikasjon, tjenesteyting eller drift, innebærer ethvert angrep mot virksomhetens digitale infrastruktur store konsekvenser.

Norske virksomheter lever i en «boble» — snart sprekker den

Syv av ti norske virksomheter opplevde målrettede cyberangrep i 2018. Cyberangrepet på Norsk Hydro mars 2019 kostet alene virksomheten opptil 450 millioner kroner. Dette beløpet er ikke medregnet tapet av renommé og reduksjonen i aksjeverdi på Oslo Børs.

Episoden viser at skadepotensialet øker drastisk fordi vi nå er mer avhengig av IT-systemer til flere og viktigere oppgaver.

Høy sannsynlighet for angrep og mulighet for enorme tap er en eksplosiv cocktail for virksomheter som ikke har tilstrekkelige tiltak på plass. Vår erfaring er at virksomheter ikke forstår det risiko- og trusselbilde de står overfor, og heller ikke det ansvaret som påhviler ledelsen når det gjelder IT-sikkerhet.

De færreste virksomheter kan skrive av et økonomisk tap på 450 millioner kroner. For de aller fleste av oss vil dermed et større dataangrep ha som konsekvens at firmaet går konkurs eller lider et vesentlig økonomisk tap.

Enkelte virksomheter risikerer også bøter for brudd på NIS-direktivet eller GDPR. Bøter etter GDPR kan overstige virksomhetens omsetningstap.

Et eksempel er British Airways som i juli 2019 fikk en bot på om lag 2 milliarder kroner, etter at et sikkerhetsbrudd resulterte i at personopplysninger kom på avveie.

Dersom virksomheten ikke har gode nok rutiner, et bevisst forhold til IT-sikkerhet eller kanskje forsikring mot IT-angrep, risikerer ledelsen i tillegg et personlig ansvar.

Ledelsens ansvar følger blant annet av aksjeloven og det alminnelige uaktsomhetsansvaret domstolene har etablert. Det kan være uaktsomhet av ledelsen, dersom et sikkerhetsbrudd finner sted som kunne ha vært avverget med tiltak ledelsen burde ha iverksatt. Aksjonærenes tap som ikke kan rettes mot selskapet, kan dermed rettes mot personene i ledelsen som kunne forhindret skaden.

Hvilke krav stilles til IT-sikkerheten til virksomheter?

De overordnede kravene til sikkerhetsnivå er til en viss grad konkretisert i regelverket. GDPR nevner blant annet tekniske tiltak som kryptering og tilgangskontroll. NIS-direktivet fra EU nevner bl.a. risikostyring, katastrofeberedskap og overvåkning.

Det er både ulikheter, og overlapp mellom disse regelverkene. Fellesnevneren er at det legges opp til konkrete risikovurderinger for den enkelte virksomhet, ettersom sikkerhetsnivået kan variere fra virksomhet til virksomhet som følge av forskjeller i trusselbilde og potensielle konsekvenser.

Ansvaret for at risikovurderinger er foretatt ligger hos øverste ledere i virksomheten. Ledelsens første oppgave bør derfor være å kartlegge risikobildet, før de iverksetter tiltak som reduserer den konkrete risikoen.

Utviklingen tiltar

Det er sikkert at truslene vil øke, etterhvert som stadig større deler av virksomheter digitaliseres. Med inntoget av førerløs transport, smarte hjem og automatiserte virksomheter vil også skadepotensialet øke og kunne inkludere tap av menneskeliv.

Det er ingen underdrivelse å si at «cybersecurity» vil være et konkurransefortrinn for enkelte og spikeren i kisten for andre.

Artikkelen er skrevet av advokatfullmektig Hermon Melles, i Bing Hodneland advokatselskap DA.