I virksomheter landet over har cyberangrep blitt en del av virkeligheten, det er ikke lenger noe som skjer «der ute». De fleste angrep blir ikke offentlig kjent, men flere selskaper har allerede lidd produksjonsstans, fått kompromittert konfidensiell/følsom data og midler stjålet eller utpresset (ransomware), samt møtt andre katastrofale konsekvenser av et cyberangrep. Samfunnet må takle disse utfordringene ikke bare teknisk, men også fra andre perspektiver.
Hvordan bør ledelsen agere i den nye cyber-virkeligheten?
Å lede et selskap krever høy grad av aktsomhet. Ledelsen bør være kjent med, og forstå, cyberrisikoer og hvordan håndtere disse, selv om de kanskje ikke har den spesifikke tekniske kompetansen. Det er prisverdig at mange selskaper allerede har definert IT-sikkerhetsrisiko som en av de mest kritiske risiki.
Er identifisering/bevissthet nok?
Aktsomhet utvises av en ledelse som ikke bare (realistisk) vurderer risikoen for et cyberangrep, men som også introduserer hensiktsmessige tiltak og overvåker implementeringen av disse. I løpet av planleggingen er det avgjørende å vurdere følgende: Hvordan måler vi om vi lykkes med disse tiltakene? «Vi vil ikke bli angrepet» er ikke den beste tilnærmingen, ettersom risiko og sårbarhet er uforutsigbart.
Det er mer passende å vurdere om nivået på IT-sikkerheten har økt tilstrekkelig. Til tross for all innsats kan ikke alle hendelser forhindres, ettersom det ikke finnes noe sånt som «absolutt sikkerhet». Med nøye planlagte tiltak er det imidlertid mulig å øke IT-sikkerheten til et nivå som kan forhindre kritiske hendelser og de verste konsekvensene.
Formålet med risikovurderinger og implementering av sikkerhetspolicyer og tiltak er ikke å skape dokumenter, men å være praktisk: å koble sammen sentrale aktører i selskapet (IT, ledelse, personvernombud, HR, PR og andre sentrale interessenter) og gi dem tilstrekkelige ressurser. IT-avdelingen kan ikke bære ansvaret for cybersikkerheten alene, det må være et ansvar alle ansatte bærer, da det svakeste leddet ofte er brukere som har fått for lite opplæring. I tilfelle et angrep er det kun samordnet handling og koordinert respons som kan forhindre kritiske hendelser og begrense negative konsekvenser.
«Analyse av cyberangrep viser ofte utilstrekkelig identifisert risiko, manglende implementering av passende retningslinjer, dårlig koordinering av sentrale aktører og mangel på kompetanse og ressurser. Hvis ledelsen kan vise til at de faktisk har gjort alt som en nøye og aktsom ledelse ville gjort, kan de være mye mindre bekymret for de juridiske konsekvensene.»
Jure Planinšek, M.Sc., Head of Compliance and Legal, Conscia Group
Hva er de potensielle juridiske konsekvensene av utilstrekkelig aktsomhet fra ledelsen?
- Innvirkning på forretnings- og kontraktsmessig skadeansvar: Kontrakter med kunder eller leverandører fastsetter vanligvis de juridiske konsekvensene av forsinkelser og kontraktsmessig skadeansvar. Dette betyr at ved kontraktsbrudd er selskapet forpliktet til å betale kontraktsmessige bøter og/eller er erstatningsansvarlig overfor partneren. I tillegg til direkte skade, forårsaker cyberangrep ofte indirekte skader, hovedsakelig i form av tap av kundetillit og omdømme. Indirekte skader er vanskeligere å måle og overstiger i mange tilfeller direkte skader.
- Bøter: På grunn av den stadig mer komplekse lovgivningen som pålegger beskyttelse av konfidensielle, personlige og andre typer data, kan et selskap få svært høye bøter som følge av et nettangrep. For eksempel betalte et kjent flyselskap en bot på 22 millioner euro for ikke å ha beskyttet kundenes personopplysninger tilstrekkelig.
- Tap av konsesjon: Regulerte virksomheter (bank, forsikring, aksjemegling osv.) kan risikere å få tilbakekalt tillatelser eller konsesjoner til å drive. Øvrige konsekvenser kan også oppstå, som fastsatt i særlovgivningen.
- Straffesaker: Siden nettangrep vanligvis har karakteristika av straffbare handlinger, er det også nødvendig å varsle de rettshåndhevende myndighetene om dem. I unntakstilfeller er ledelsens straffansvar ikke helt utelukket, dersom grov uaktsomhet var involvert.
- Ledelsens ansvar for skader: Et nettangrep vil ikke bli ignorert av selskapets overordnede og eiere, som kan bestemme seg for å erstatte ledelsen. Ved mangelfull aktsomhet gis det rettslig grunnlag for at erstatningskrav kan rettes direkte mot ledelsen.
Hvordan kan ledelsen forsvare seg?
I alle eksemplene ovenfor vil det sentrale juridiske spørsmålet, med hensyn til profesjonaliteten og følgelig ledelsens ansvar, være om et tilstrekkelig nivå av informasjonssikkerhet under et nettangrep var realisert. Det vanlige forsvaret om at «hendelsen kunne ikke vært forhindret» er kun delvis akseptabelt.
En leder som viser seg å ha opptrådt med aktsomhet og sørget for iverksetting av konkrete tiltak vil ikke bli klandret. Analysen av nettangrep avslører ofte utilstrekkelig identifiserte risiko, manglende implementering av hensiktsmessige retningslinjer, dårlig koordinering av nøkkelaktører og mangel på kunnskap og ressurser. Hvis ledelsen kan vise til at de faktisk har gjort alt som en aktsom og forsiktig forretningsdriver ville gjort, kan de være mye mindre bekymret for de juridiske konsekvensene.
Beste praksis?
Nøye planlegging og prioritering gjør tilstrekkelig cybersikkerhet mulig. Selv om hackere stadig finner opp nye måter å angripe stadig mer komplekse informasjonssystemer på, kan erfarne eksperter implementere løsninger som reduserer sannsynligheten for at disse angrepene blir vellykkede.
På grunn av mangel på kvalifisert personell og kostnadseffektiviteten av slike løsninger, engasjerer de fleste organisasjoner erfarne partnere som har referanser og praktisk erfaring med sikkerhetshendelser. Ved å trekke på deres erfaring, vil slike partnere også være i stand til å hjelpe når en hendelse faktisk oppstår, og det er nødvendig å begrense de negative konsekvensene og overholde kompleks lovgivning.
Gode cybersikkerhetsplaner begrenser seg ikke til IT-avdelingen, programvareløsninger og/eller forsikring, som ikke kan dekke hele skaden (hovedsakelig skadeansvar og tap av omdømme).
Artikkelen ble opprinnelig publisert i AmCham YearBook – Power of Relationships 2022/2023 og på conscia.com/si.