Nordlo-dommen fra 2023 er nå rettskraftig etter at anken ble trukket. Tre selskaper sitter dermed igjen med smuler etter at deres driftsleverandør, Nordlo Haugesund AS, ble rammet av et avansert cyberangrep. Dette angrepet førte til at selskapene mistet tilgang til egne data i en periode, og for én av kundene var tapet permanent. I verste fall kunne dette betydd kroken på døra for kundene.
Hvordan kunne Nordlo bli frifunnet for nesten alle krav, til tross for at tingretten påpekte flere alvorlige svakheter?
- Tingretten mente at Nordlo ikke burde latt det være valgfritt for kundene å velge bort tofaktorautentisering. Alternativt kunne de ha isolert kundene som ikke brukte tofaktorautentisering i et eget driftsmiljø.
- Videre påpekte retten at selv om avanserte angripere enkelt kan omgå regionsperre for pålogging via proxy-servere, var dette likevel et tiltak leverandøren kunne ha benyttet seg av.
- Retten trakk også frem at Nordlo hadde mangelfullt oppdatert programvare, der operativsystemet var oppdatert, men brukerprogramvare som Google Chrome og Microsoft Office ikke var det. Dette skapte sårbarheter som hackere kunne utnytte. IT-leverandører bør ifølge retten alltid sørge for å ha de siste oppdateringene («patchene»).
- Til tross for at avtalen ikke krevde sikkerhetskopiering til et fysisk adskilt nettverk, burde Nordlo ha besørget dette. Retten trakk paralleller til det store cyberangrepet mot Hydro i 2019, hvor slik separering ikke var på plass, men understreket at Nordlo nesten hadde gjennomført en slik omlegging da angrepet skjedde i 2021.
Retten avviste Nordlos forsøk på å påberope seg force majeure, siden de nødvendige tiltakene var innenfor selskapets kontroll. Likevel kom Nordlo seg unna mesteparten av kravet på cirka 4,5 millioner kroner. Som følge av avtalens ansvarsbegrensning på 25 prosent av årlig driftsvederlag, ble de tre kundene tilkjent bare omkring 60.000 kroner til sammen.
Slapp med skrekken
Hvorfor slapp Nordlo med skrekken? Det var særlig to grunner: For det første hadde Nordlo gjort en god del riktig, og for det andre sto avtalens ansvarsbegrensning seg. I tillegg var kundene for passive.
Fordi Nordlo hadde gjort mange riktige grep, ble selskapet ikke ansett som grovt uaktsomt, slik de tre kundene hadde anført. Dermed var det ikke grunnlag for å se bort fra (sensurere) avtalens ansvarsbegrensning.
Retten fremhevet at Nordlos generelle datasikkerhet var god. De hadde nesten fullført separeringen av nettverket da angrepet kom, noe som reduserte skadene – bare fire av rundt 250 kunder opplevde datatap. Retten understreket også at hackerne var ressurssterke og profesjonelle og at ingen driftsleverandør kan garantere 100 prosent sikkerhet. Derfor må kundene selv ta noe ansvar for sin egen sikkerhet, noe flere av Nordlos kunder faktisk hadde gjort.
I lys av avtalens risikofordeling, som retten aksepterte, burde kundene ha gjort mer for å beskytte seg. For eksempel kunne de ha tegnet cyberforsikring, slik noen av de andre kundene hadde gjort, og som avtalen oppfordret til. Riktig forsikring ville kunne dekket mye av tapet som følge av nedetid og behovet for å rekonstruere informasjon. Kundene kunne også ha hatt beredskapsplaner, slik andre kunder med hell hadde. Retten påpekte at kundene burde ha vurdert de mulige konsekvensene av et hackerangrep, gitt avtalen som var inngått.
Pris påvirker ansvar
Tingretten anså både forpliktelsene og ansvarsbegrensningen i avtalen som klare, så uklarhet kunne ikke brukes som grunnlag for å tilsidesette ansvarsbegrensningen. Retten gjorde også en uvanlig god vurdering av forholdet mellom betaling og risiko. Den fremholdt at ansvarsbegrensningen må sees i sammenheng med det vederlaget som kundene betalte, samt de krav avtalen stilte til kunden. Prisen kundene betalte kunne ikke rettferdiggjøre at leverandøren skulle overta kundens «forretningsrisiko».
Retten understreket at siden ingen driftsleverandør kan garantere full sikkerhet for kundens data, må forretningsrisikoen plasseres hos en av partene. Prisen kunden betaler, må vurderes opp mot leverandørens fortjenestemargin og forretningsrisiko uten en ansvarsbegrensning. Jo lavere pris kunden betaler for tjenesten, desto mer rimelig fremstår en ansvarsbegrensning.
Trolig like viktig var at avtalen eksplisitt påla kunden ansvar for å forsikre egne data (cyberforsikring), noe som ytterligere klargjorde risikofordelingen mellom leverandør og kunde. Retten fant denne risikofordelingen naturlig, og det er noe vi er enige i.
Sov kundene i timen?
Når man ser på de store konsekvensene databruddet fikk for de tre kundene, og hvor lite som skulle til for å unngå mange av problemene, kan man stille spørsmål ved om daglig leder og styret oppfylte sitt ansvar for forsvarlig forvaltning av selskapet etter aksjeloven.
Virksomhetene kunne ganske enkelt ha sørget for å ha en beredskapsplan, inngått cyberforsikring og implementert tofaktorautentisering.
Hvis kundene ønsket å overføre mer risiko til leverandøren, måtte dette vært avtalt på forhånd. Selv om kundene hadde tilbudt å betale et høyere vederlag, er det usannsynlig at Nordlo ville akseptert å påta seg mer av kundens forretningsrisiko. Slik risiko bæres best og rimeligst av et forsikringsselskap, og summen av høye ansvarsgrenser for mange kunder kan føre til at leverandøren går konkurs hvis en stor hendelse skulle ramme flere kunder samtidig.
Lærdommen etter denne dommen er klar: Alle driftsleverandører og deres kunder bør gå nøye gjennom avtalen og vurdere fordelingen av risiko. De bør også vurdere og iverksette nye beskyttelsestiltak, inkludert bruk av tofaktorautentisering, legge beredskapsplaner, gjennomføre beredskapsøvelser, og vurdere cyberforsikring for restrisikoen. Dommen fra 28. september 2023 kan du finne her.
Fortalte om rystende hendelser: «Konsekvensene blir dyre. Det lover jeg deg»