Solarwinds-investorer har saksøkt programvareselskapets direktører i forbindelse med verdikjedeangrepet som ble offentlig kjent i desember 2020 og rammet 18.000 av kundene deres. Investorene mener direktørene visste om cybersikkerhetsrisikoer for selskapet før angrepet skjedde, uten å overvåke disse.
Hackerne la inn skadevare i en av selskapets programvareoppdateringer, og fikk tilgang til dataene til tusenvis av selskaper og offentlige kontorer. Amerikanske myndigheter har pekt på Russland som opphav til angrepet.
Det norske oljefondet var et av 18.000 selskaper som lastet ned den hackerforgiftede oppdateringen av programvaren Solarwinds i juli i fjor.
Søksmålet, som ble anlagt i Delaware sist uke, er ifølge nyhetsbyrået Reuters det første som kommer fra aksjonærene i etterkant av angrepet.
Søksmålet er rettet mot en kombinasjon av nåværende og tidligere direktører.
Krever erstatning
Saksøkerne hevder at styret ikke hadde implementert prosedyrer for å overvåke cybersikkerhetsrisikoer, for eksempel å kreve at selskapets ledelse rapporterer om disse risikoene regelmessig.
Søksmålet, som er ledet av et pensjonsfond i Missouri, inneholder krav om erstatning på vegne av selskapet, og om å endre selskapets retningslinjer for cybersikkerhetsovervåking.
En talsperson for Solarwinds sier ifølge Reuters at de ikke kommenterer pågående rettsprosesser, men at de er fokusert på å «gjøre kundeforholdene dypere» og «åpent diskutere sine Secure by Design-initiativer» mens de «søker å sette standarden for sikker programvareutvikling».
Solarwinds har uttalt at de samarbeider med myndighetsorganer om etterforskning av angrepet. Selskapet har ifølge Reuters avvist et annet aksjonærsøksmål med krav om erstatning i forbindelse med nedgang i aksjekursen.
Mnemonic: – Én ting fører til mest lidelse
– Vil komme søksmål
Dataangrep rammer stadig flere virksomheter, og konsekvensene både for driften og økonomien kan være svært alvorlige og ramme kunder, partnere, offentlige virksomheter og enkeltmennesker.
I september uttalte partneradvokat Vebjørn Søndersrød til Digi.no at han tror styrer i selskaper vil bli stilt til ansvar for dataangrep i fremtiden, dersom de ikke har gjort nok for å hindre det i forkant.
Kostnadene gjør at vi vil begynne å se at aktører som har tapt penger på kostbare dataangrep, tar styret i selskapet som er angrepet, til retten, uttalte han.
Styret i et selskap er etter aksjeloven pålagt å være ansvarlig for selskapets drift på et overordnet nivå. Søndersrød mener at en del av dette ansvaret i dagens virkelighet er å iverksette og sette av penger til risikovurderinger i forkant av potensielle dataangrep.
– Angrepsforsøk skjer hele tiden, og selv om bare noen få er vellykket, må du regne med at det kan skje. Hvis du som styre i en bedrift ikke har gjort noen vurderinger av egen risiko for uønskede hendelser og tiltak du bør ha på plass, stiller du veldig dårlig når det smeller, sa han.
Søndersrød mener mange private virksomheter er så dårlig forberedt at styret i etterkant av fremtidige dataangrep risikerer å bli holdt ansvarlig for ikke å ha gjort nok for å hindre det.
– Det skulle vært en selvfølgelighet at ethvert styre har informasjonssikkerhet som et av flere årlige tiltak. Styret skal få forelagt rapporter, vurdere om man ligger der man skal være og om man bør gjøre noe med det. Jeg tror det kun er et fåtall styrer som faktisk gjør det, uttalte Søndersrød i saken, som dreide seg om norske virksomheter.
Både eierne av selskapet, kreditorer og kunder som har tapt penger, kan ha grunnlag for å gå til styreansvarssak, sa Søndersrød. Det forutsetter at de mener det har skjedd noe uaktsomt, altså at styret burde forstått og handlet på en annen måte etter etablerte normer og regler.
Intel: Saksøkt for feil med prosessorene