Cyberangrep på norske virksomheter – hvem bærer risikoen?
Cyberangrep har for alvor kommet på dagsorden for norske virksomheter. Men hvor beviste er norske bedrifter, organisasjoner og offentlige aktører på krav og ansvar til forebyggende sikkerhet og håndtering av cyberangrep? Og er det virksomheten selv eller deres IT-leverandør som har risikoen dersom angrepet lykkes?
Økt trusselbilde
Cyberangrep innebærer uautorisert tilgang til datasystemer eller nettverk med det formål å stjele, endre, eller ødelegge informasjon, samt få tilgang til, kontroll over eller stoppe tjenester.
Cyberangrep begås oftest av hackere som tilhører kriminelle miljøer. Noen hackere har også tilknytning til stater, mens andre er aktivister. Tilknytningen, formålene og fremgangsmåten til gruppene varierer. Det desentraliserte hackerkollektivet Anonymous foretar for eksempel cyberangrep for å påføre skade eller spre aktivistisk budskap, mens den russiske gruppen Wizard Spider driver med digital utpressing ved bruk av eller utleie av den egenutviklede ransomwaren Conti.
Omfanget av cyberangrep har vokst eksponentielt de siste par årene i takt med den teknologiske utviklingen samt økt polarisering og konfliktnivå globalt. Cyberkriminalitet påførte verdensøkonomien et estimert tap på seks billioner dollar i 2021. Tapet forventes å vokse med inn til 15 % årlig opp til 10.5 billioner dollar innen 2025.
Uklar ansvarsfordeling
Vår erfaring er at IT-kontrakter ofte mangler en tilfredsstillende fordeling av ansvaret for forebyggende sikkerhet og håndtering av cyberangrep. Hverken Statens Standardavtaler (SSA), Dataforeningen eller IKT-Norges standardavtaler regulerer ansvaret for å forhindre cyberangrep. Standardavtalene er også i all hovedsak tause om ansvar for kostnader ved opprydding av cyberangrep samt hvem som har ansvar for de tap som oppstår.
Partene i en IT-kontrakt får også begrenset drahjelp av lovgivningen. Eksempelvis stiller personvernforordningen krav til kunder og leverandørers implementering av tekniske og organisatoriske sikkerhetstiltak ved behandling av personopplysninger, men det er lagt opp til at disse tiltakene skal fastsettes på ad-hoc basis. Virksomheten har også rapporteringsplikter etter samme regelverk, men det er ikke alltid enkelt uten juridisk bistand å vurdere om et angrep skal rapporteres.
Både leverandører og kunder bør bli mer bevisste på fordeling av risiko og ansvar for cyberangrep. Dette bør reguleres i kontraktbilagene, f.eks. kundens kravbilag, bilaget med leverandørens løsningsforslag, en databehandleravtale og/eller et eget bilag om sikkerhet. Ved inngåelse av nye kontrakter må dette være en selvfølge, men også løpende kontrakter bør undersøkes nærmere og evt. forsøkes reforhandlet.
Årsaken til at et cyberangrep lykkes kan skyldes svakheter hos den rammede virksomheten, f.eks. teknisk gjeld eller at egne ansatte uforvarende har installert skadelig programvare ved phishing eller bruk av usikrede eksterne lagringsmedier. Det vellykkede angrepet kan også skyldes at IT-leverandøren ikke har gjort det som kan forventes for å forebygge eller avverge dette.
Dersom virksomheten blir rammet av et cyberangrep og fordeling av risiko på forhånd ikke er presist regulert, vil risikofordelingen bero på om årsaken til angrepet tilsier at det er virksomheten eller IT-leverandøren som må bære risikoen. Denne vurderingen vil ofte være kompleks og noen ganger vil konklusjonen være usikker.
Håndtering av cyberangrep
Dersom et angrep inntreffer, må dette håndteres omgående for å forhindre eller redusere konsekvenser og for å oppfylle lovpålagte krav. Under angrepet er det lite tid og mye som står på spill og da bør ikke partene bruke tiden til å diskutere fordeling av kostnader og tap.
Hvis det er tvil om hvem som har ansvaret bør partene raskt søke å avtale at dette skal avklares i ettertid og at alle kontraktsfestede frister knyttet til reklamasjon og krav om justering av vederlag og annet fryses inntil videre. Dersom virksomheten ikke får leverandøren med på en slik avtale bør virksomheten utstede en endringsordre. Det er som regel når angrepet er under kontroll at virksomheter og deres IT-leverandører kan evaluere angrepet gjennomføre et endelig økonomisk oppgjør derav.
Virksomheter som rammes av cyberangrep må heller ikke forsømme de lovpålagte plikter som gjelder for rapportering av slike angrep. Selv dersom slike rapporteringsplikter er delegert til IT-leverandøren bør virksomheten ta eierskap til rapporteringsprosessen, da den som oftest vil være pliktsubjektet etter loven og nærmest til å sikre hensiktsmessig rapportering.
Denne artikkelen ble først publisert i Finansavisen.