En fersk dom i Hordaland og Sunnhordaland tingrett i en sak mellom en IT-leverandør og dens kunder viser hvordan kundene i god tro hadde overlatt alle verdiene til den profesjonelle aktøren. IT-leverandøren ble utsatt for et cyberangrep og kundenes data ble helt eller delvis tapt. IT-leverandøren var Nordlo AS som leverte sky-tjenester, og saksøkere var Malermester Emberland AS, A. Utvik AS og Norsk Medical AS. Det ble opplyst i dommen at avtalens punkter var fordelt mellom kundens ansvar og IT-leverandørens ansvar: «IT-leverandør påtar seg drift, garanterer 99,5% oppetid og er ansvarlig for sikkerheten. Kundene anbefales å innføre to-faktorautentisering.»
Må kunne bevise tap
I denne saken hadde ikke leverandør ansvaret for tapet kundene pådro seg. Men, for en kunde som verken har tilstrekkelig IT-kompetanse eller ressurser, vil standardvilkår i en kontrakt med et IT-selskap kunne framstå som om leverandør tar fullt ansvar når kundens verdier blir utilgjengelige. Det gjør at kundene kan bli villedet til å tro at det er leverandør som også har ansvar for kundens data eller erstatning for tapt omsetning.
I denne saken oppfylte leverandøren sine forpliktelser. Nedetiden for systemene var kort, driften ble etablert igjen og sikkerheten ble skjerpet. Så per rettens definisjon hadde IT-leverandør ikke påført kundene tap. Saksøkerne kunne ikke vise til verken størrelse, sum eller påvirkning tapet førte til, og hverken Nordlo eller tingretten kunne vurdere faktisk tap. Tingretten var klinkende klar i tilbakemeldingen til saksøkerne: Dersom dere ikke vet hva dere har mistet, kan dere heller ikke kreve erstatning for et tap dere faktisk ikke kan vise at er reelt.
Altfor ofte gjennomføres ikke verdi- og risikovurderinger, og det er sjelden virksomheter har kompetanse nok til å stille krav til leverandør. Men hva er det reelle tapet når dataene forsvinner? Det er etter min mening en vanlig problemstilling virksomheter uten informasjonssikkerhetskompetanse sjelden kan svare på.
God IT-kompetanse er nødvendig
Verdivurderinger er en krevende øvelse, som er utfordrende å gjøre uten tilstrekkelig med ressurser. I tillegg kan det være vanskelig å beregne på lønnsomhet etter innsats der og da. En verdivurdering vil kunne angi hvilke verdier en virksomhet har, og hvilken påvirkning et tap vil medføre. Innen informasjonssikkerhet så er det viktige verdier blant annet i forretningshemmeligheter, personopplysninger, økonomiske interesser, omdømme, med mer. Er man tydelig på hvilken påvirkning tap av disse verdiene medfører vil kost-nytteeffekten av å gjennomføre en verdivurdering likevel synliggjøres.
Denne saken belyser en rekke svakheter i de tre virksomhetenes håndtering av risiko. De kontraktsmessige forholdene tilsier at virksomhetene hadde forsøkt å overføre risikoen til leverandøren. I god tro har de forstått kontrakten slik at Nordlo skulle ta fullt og helt ansvar for drift, funksjonalitet og virkemåte. Men likevel må man inneha god IT-kompetanse for å forstå detaljene i hva dette faktisk innebærer. Og det er som oftest her det går galt. Fra et faglig perspektiv er det forståelig at tingretten dømmer i Nordlos favør. Saksøkerne har gått rettens vei for å få erstattet tapt omsetning etter det de mener er kontraktsbrudd, mens virkeligheten er at det ikke forekom kontraktsbrudd fra leverandør, og ansvaret lå hos kundene selv. I tillegg kunne ikke saksøkerne vise til et reelt tap.
Overføring av risiko
Kan man overføre risikoen til leverandør? Ja, avtaleloven er tydelig på at risiko kontraktsmessig kan overføres. I denne saken henviser tingretten til at saksøkerne manglet intern IT-kompetanse og derfor er det sannsynlig å tro at de mangler en forståelse for hvilken risiko det faktisk medførte å overlate ansvaret for verdiene til Nordlo.
Jeg mener at denne saken viser at konsekvensen kan være stor for kundene ved inngåelse av kontrakter med IT-leverandører, spesielt når de har manglende kompetanse for hva avtalen bør inneholde. Dette gjør at jeg fra et faglig perspektiv bekymrer meg for lignende saker i framtiden. Tilsvarende dataangrep kommer til å skje igjen.
Nylig ble igjen en rekke bedrifter satt ut av spill etter at IT-selskapet Inventum Øst ble utsatt for hackerangrep. Én av kundene, rørleggerselskapet Knut Malmberg på Gjøvik, måtte permittere 35 ansatte, og jobb verdt rundt syv millioner kroner forsvant da dataene ble borte. Om denne saken havner i retten får vi vente å se. Men her har i alle fall kunden reflektert over noen av sine verdier. Om ansvaret er tydeliggjort i kontrakten er noe annet.
Viktige krav
Nå tar EU grep. I takt med det økende digitale trusselbildet oppdaterer EU sitt digitale sikkerhetsdirektiv, NIS2. Dette øker kravene til enkelte virksomheters håndtering av sikkerhet. I tillegg venter vi på lov om digital sikkerhet i Norge. Min anbefaling for virksomheter er at man allerede nå setter seg inn i kravene fra NIS1, NIS2 og forarbeidet til ny lov. Selv om en virksomhet ikke direkte underlegges nytt direktiv eller lov, vil det å følge de samme kravene være svært viktig for å sikre virksomheten og å redusere konsekvensene dersom man blir rammet av et dataangrep. Som et minimum må alle virksomheters ledelse ha en klar formening om verdien av informasjon og informasjonssystemer, og hvilke konsekvenser et dataangrep vil innebære. Totalt sett mener jeg det vil sikre en lønnsom virksomhet.
