Det går knapt en dag uten at vi hører om dataangrep, sist tirsdag angrepet på Hydro. Et annet er NotPetya-dataangrepet som rammet blant andre det danske gigantselskapet Maersk i 2017. Som følge av at Maersks systemer og virksomhet ble frosset i flere uker, anslår selskapet selv tapet til mellom 200 og 300 millioner amerikanske dollar. En annen velkjent hendelse gjelder botnettet Mirai, som satte Amazon, Netflix mfl. ut av spill.
Eksemplene viser at skadepotensialet øker dramatisk fordi vi bruker IT-systemer til stadig flere og viktigere oppgaver. Konsekvensen av høy sannsynlighet for angrep og mulighet for store konsekvenser er enorm risiko for virksomheten. Hva betyr dette for ledelsens personlige ansvar og hvordan kan risikoen reduseres?
Ansvar for styre og ledelse kan være nærliggende konsekvenser om virksomheten går konkurs eller taper stort på grunn av manglende sikkerhet. Ansvaret følger bl.a. av aksjeloven og det alminnelige uaktsomhetsansvaret domstolene har etablert.
Antall ansvarssaker 10-doblet seg på 13 år
Antall ansvarssaker mot daglige ledere og styremedlemmer har eksplodert i domstolene de siste 20 årene. Antallet saker under de to aksjelovenes ansvarsregler var mellom 2000 og 2005 på 4,8 per år. De siste to og et halvt årene frem til 30. juni 2018 var antallet 51,6 per år. Det vil si en økning på 1075%.
En av grunnene kan være domstolens skjerpelse av ansvaret. Det er mye som tyder på at det skal mindre uaktsomhet til for å bli ansvarlig nå enn før, direkte eller bare for medvirkning.
Om et sikkerhetsbrudd finner sted, og det kunne ha vært avverget med tiltak ledelsen burde ha iverksatt, er du trolig å anse som uaktsom.
Den eksplosive kombinasjonen av strengere normer, økt ekstern trussel og økt sårbarhet øker det personlige ansvaret for ledende personer. Dersom virksomheten din opplever et tap fordi du som leder eller styremedlem ikke har gjort noe du burde, vil aksjonærene lide et tap. Siden tapet ikke kan rettes mot selskapet selv, vil det rettes mot personene som kunne forhindret skaden. Disse vil kunne bli personlig ansvarlige, med sin formue, hytter, hus og biler.
Figuren illustrerer hvordan.
Hvilke normer vurderes ledelsen etter?
Den mest praktiske reglen om personlig ansvar står i aksjeloven og allmennaksjeloven § 17-1. Disse sier:
Selskapet, aksjeeier eller andre kan kreve at daglig leder, styremedlem, medlem av bedriftsforsamlingen, [uavhengig sakkyndig], gransker eller aksjeeier erstatter skade som de i den nevnte egenskap forsettlig eller uaktsomt har voldt vedkommende. [Allmennaksjeloven].
Som figuren over viser er spørsmålet hva ledelsen burde gjort eller ikke gjort. Det er her de nye sikkerhetsreglene kommer inn med full tyngde. Fordi det kommer nye pålegg om sikkerhet, skjerpes kravene til handling - normen.
“Istappdommen” (Rt 2013 s.312) gir en god illustrasjon på hvordan domstolene tenker. Saken gjaldt ansvar for store skader en fotgjenger ble påført av is som falt fra taket til en bygård i Oslo. Høyesterett vurderte om daglig leder, styret og vaktmester hadde gjort det som var mulig for sikring. Vaktmesteren ble vurdert som uaktsom etter straffeloven og dømt, fordi han under sin inspeksjon av taket ikke hadde oppdaget rasfaren. Ved aktsom atferd burde vaktmesteren ha gått over veien for å se farepotensialet ved isen og snøen som lå på taket. Styret og daglig leder slapp ansvar da de hadde sørget for sikkerhetsrutiner som samsvarte med det som var vanlig i bransjen. I tidligere instanser ble styret og ledelsen derimot funnet ansvarlig.
Ny IKT-sikkerhetslov kommer
For å gjennomføre EU-direktivet om nettverks- og informasjonssystemer (NIS), vedtatt 6. juli 2016, utarbeides en ny norsk IKT-sikkerhetslov. NOUen kom 3. desember 2018. I motsetning til IKT-forskriften som gjelder i dag, omfatter NIS-direktivet enhver virksomhet hvis den enten utgjør en
- i) digital tjeneste eller en
- ii) samfunnskritisk tjeneste.
En digital tjeneste er en en tjeneste som (1) leveres mot betaling, (2) på avstand, (3) elektronisk, og (4) på forespørsel av mottakeren av tjenesten. NIS-direktivet nevner uttrykkelig skytjenester, digitale markedsplasser og søkemotorer.
På internett oppleves mange tjenester «gratis» fordi vi ikke betaler med penger, men med personlige data. Om tjenester hvor betalingen utelukkende består av data vil omfattes av IKT-sikkerhetsloven, gjenstår å se. Men med økende fokus på pengeverdien til data og opplysninger kan en slik tolkning tenkes.
En tjeneste er samfunnskritisk om den:
- er viktig for kritiske samfunnsmessige eller økonomiske aktiviteter,
- er avhengig av nettverk og informasjonssystemer, og
- en hendelse ville ha vesentlig forstyrrende virkning på tjenesten.
Kort sagt begrenser dette seg til kjernefunksjoner i et samfunn. Funksjonene kan for eksempel være relatert til helse, vannforsyning eller transport.
Regelen påvirker også leverandører. En underleverandør kan for det første vurderes som samfunnskritisk i seg selv. For det andre vil virksomheter som er regnet som samfunnskritiske videreføre sikkerhetskrav til sine underleverandører. NOUen bekrefter dette og at tilsyn bør rettes mot leverandører og underleverandører. De nye reglene vil dermed få virkning for mange virksomheter.
NOUen anbefaler også at en mer generell IKT-sikkerhetslov, som omfatter også ikke-samfunnskritiske virksomheter, utredes.
Ny sikkerhetslov har kommet
I tillegg til ny IKT-sikkerhetslov for samfunnskritiske funksjoner har den nye sikkerhetsloven allerede trådt i kraft (1. januar 2019). Sikkerhetsloven gjelder både informasjon og sikring av informasjonssystemer. Informasjon som er «skjermingsverdig», og systemer som er «avgjørende for grunnleggende nasjonale funksjoner» er omfattet. Sistnevnte overlapper i stor grad med «samfunnskritiske tjenester» i utkastet til IKT-sikkerhetslov nevnt over. Sikkerhetsloven er derimot begrenset til det offentlige og enkelte leverandører til det offentlige (jfr. sikkerhetsloven § 1-2).
Andre sikkerhetsregler
For fullstendighetens skyld nevner vi også noen andre regelsett og normer som stiller krav til datasikkerhet (ikke uttømmende):
- personopplysningsloven med GDPR (art. 32)
- helseregisterloven
- pasientjournalloven
- helseberedskapsloven
- IKT-forskriften (hjemlet i betalingssystem-loven, børsloven og finanstilsynsloven).
- lov om elektroniske tillitstjenester
- forvaltningsloven
- eForvaltningsforskriften
- sivilbeskyttelsesloven
- aksjelovene
- arkivloven
- bokføringsloven
- ekomloven med forskrifter
- forskrift om IKT-standarder i helse- og omsorgstjenesten
- helsetilsynsloven
- avtalebestemmelser (særlig om du er leverandør)
- NSMs grunnprinsipper for IKT-sikkerhet
- Helsenormen (norm for informasjonssikkerhet i helse og omsorgssektoren)
- internasjonale standarder, som ISO 27000-serien
Alle disse reglene vil kunne danne normer for domstolenes vurdering av aktsomhet.
Hvilken sikkerhet kreves?
Både i GDPR (art. 32), og NIS-direktivet (art. 14 og art. 16) formuleres overordnede krav til at sikkerheten er egnet holdt opp mot risikoen. Reglene i begge regelsett har nesten identisk ordlyd, men NIS-direktivet regulerer mer enn bare personopplysninger.
Sikkerhetsloven krever «forsvarlig sikkerhetsnivå». Kravet vil i praksis trolig ligge tett opp til NIS-direktivet og GDPR-kravene. Om vi tar et sideblikk til sikkerhetsstandarder stiller også ISO 27000-serien lignende krav. Det samme gjør en rekke av regelverkene listet opp over.
De overordnede kravene til sikkerhetsnivå blir konkretisert noe i regelverket. GDPR nevner blant annet kryptering. NIS-direktivet nevner risikostyring, tiltak for å forebygge og minimere virkningen av hendelser i datasystemene, katastrofeberedskap, overvåking, revisjon og testing, og overholdelse av internasjonale standarder.
Kravene legger med andre ord opp til konkrete risikovurderinger for den enkelte virksomhet. Ansvaret for at slike risikovurderinger gjøres, legges hos ledelsen.
Ut fra den risikoen man så avdekker, må nødvendig sikkerhetsnivå fastsettes og etableres. Fordi nivået vil variere fra virksomhet til virksomhet, og ettersom teknologien utvikler seg raskt, fastsetter ikke reglene mer konkrete krav.
Hva gjør jeg?
Som nevnt må kravene til sikkerhetsnivå konkretiseres i lys av risikobildet. For å avdekke risikoen må du kartlegge potensielle trusler og potensielle konsekvenser ved sikkerhetsbrudd.
Vanlige trusler. Som Maersk-saken viste, kan selv store virksomheter bringes i kne som følge av et dataangrep. Det finnes en rekke trusseltyper, som
- inntrenging på nettverk
- social engineering, herunder phishing (fisking, f.eks, via lure-eposter)
- tjenestenekt angrep (DoS og DDos) som forårsaket av Mirai
- passordangrep
- avlyttingsangrep
og mange flere.
Truslene vil ikke bli noe mindre ettersom at stadig flere ting kobles opp til internett, og stadig større deler av virksomheten blir avhengig av IT.
Mulige konsekvenser er mange, slik som
- tap av liv, for eksempel ved svikt i vitale forsyninger som vannforsyning, eller ved hacking av fly, båter eller biler
- tap eller lekkasje av personopplysninger, bedriftshemmeligheter eller annen virksomhetskritisk data
- materielle skader, som når en vannkoker hackes for å starte en brann
- omdømmetap, som når en bank har utfordringer med betalinger og kontoinformasjon grunnet sikkerhetsbrudd
- bøter fra tilsynsmyndigheter
- søksmål med erstatningskrav
- feil beslutninger, fordi underliggende informasjon er feilaktig
og mange flere.
Etter en risikovurdering følger en vurdering av hvilke tiltak som skal implementeres for å gjøre risikonivået akseptabelt.
Viktige tiltak
Ledelsen kan og bør gjøre flere ting. Her er noen av de viktigste:
- Lag styreinstruks til daglig ledelse. Styret må klargjøre sikkerhetspliktene til daglig ledelse, og sørge for jevnlig rapportering. Inkluder gjerne sikkerhetsrapportering i styrets årshjul.
- Sørg for at en person utnevnes som sikkerhetsansvarlig. Det bør ikke være IT-sjefen, men en person som skal holde IT-sjefen i ørene, og dessuten sørge for personell- og fysisk sikkerhet.
- Få utført risikovurdering.
- Etabler helthetlige sikkerhetsrutiner. Disse må dekke teknisk, personell og fysisk sikkerhet. Få gjerne hjelp av en sikkerhetsekspert.
- Få kontroll på underleverandører. Utover å etablere rutiner for sikkerhet internt, må virksomheten sørge for å få disse kravene med i avtaler med underleverandører. Mindre aktører kan forvente krav fra større kunder.
- Samordne med GDPR-arbeidet. Det vil være mye overlapp mellom krav til informasjonssikkerhet i personopplysningsloven og de mer generelle sikkerhetskravene som gjelder og som kommer. Samordne dette hos sikkerhetsansvarlig.
- Samordne med selskapets kvalitetsarbeid. For å unngå å bygge opp flere ulike strukturer for oppfølging av overlappende krav, samordne sikkerhetsarbeidet med kvalitetsarbeidet.
- Revisjon av uavhengig tredjeperson. Rutiner og systemer bør revideres. Til dette kan man få hjelp av sikkerhetseksperter (f.eks. penetrasjonstesting, sikkerhetsrutiner) og advokater (f.eks. avtaler med underleverandører og rutiner).
- Tegn et abonnement hos et sikkerhetsselskap, som kan redusere risiko for at et sikkerhetsbrudd skjer, og hjelpe mer effektivt når ulykken inntrer.
- Inngå cyberforsikring. I dag går det an å forsikre deler av risikoen mot dataangrep. Til og med forsikring mot overtredelsesgebyr tilbys. Bruk en forsikringsmegler, for produktene kan være komplekse, og forsikringsgiver ofte utenlandske.
Bøter ikke bare etter GDPR
Først og fremst vil et sikkerhetsbrudd kunne gjøre stor skade for tilliten til virksomheten. I verste fall kan resultatet bli konkurs. I tillegg kan virksomheten ilegges bøter, og ikke bare etter GDPR.
Bøtereglene i NIS-direktivet art. 21 ligner dem i GDPR (art. 83.1): Sanksjonene skal være virkningsfulle, stå i et rimelig forhold til overtredelsen og virke avskrekkende. Til forskjell fra GDPR er ikke noen konkret bøteramme i EURO eller prosent fastsatt (se vår tidligere artikkel om GDPR praksis). Brudd på sikkerhetsloven kan resultere i både bøter og fengselsstraff. Dette skjerper kravene sammenlignet med GDPR.
Uttalelser i NOUen til ny IKT-sikkerhetslov indikerer at myndighetenes intensjon er å legge bøtenivået på tilsvarende nivå som for GDPR. Sett i lys av potensielle konsekvenser, i ytterste konsekvens tap av menneskeliv ved f.eks. angrep mot vannforsyning, kan bøter i øvre del av GDPRs skala absolutt tenkes.
Slike tap ønsker ikke daglig leder og styret å dekke personlig.
Advokat Kristian Foss er partner i Bull & Co Advokatfirma, medlem i Fagutvalget for IKT-rett i Juristenes utdanningssenter, tidligere husadvokat i EVRY og fagansvarlig for TMT i Haavind Advokatfirma. Han arbeider med IT, personvern- og sikkerhetsrett. Kristian kan nås på kf@bull.no eller mobil 97 06 26 55.
Advokatfullmektig Anders A Christie er tilknyttet Bull & Co sin avdeling for teknologi. Han arbeider med IT, personvern- og sikkerhetsrett. Han har skrevet masteroppgave om bruk av Big Data innenfor rammene av Personvernforordningen (GDPR). Anders kan nås på aac@bull.no eller mobil 92 21 69 60.