Når skyen svikter: Hvor godt sikret er egentlig dataene dine?

En versjon av artikkelen er publisert i Finansavisen

Et målrettet hackerangrep

I april 2021 ble IT-driftsleverandøren Nordlo Haugesund utsatt for et målrettet løsepengeangrep, utført av profesjonelle hackere. Angrepet førte til at én av selskapets kunder, Btec, mistet tilgang til store mengder virksomhetskritisk data nødvendig for produksjon og leveranse. Tapet førte til store utfordringer for Btec, inkludert produksjonsstans, tap av kunder og store kostnader knyttet til rekonstruksjon av data og gjenoppretting av virksomheten.

Btec krevde 60 millioner i erstatning – fikk ikke medhold

Btec krevde 60 millioner kroner i erstatning fra Nordlo, med påstand om at Nordlo hadde handlet uaktsomt ved ikke å sikre seg bedre mot dataangrep, og ved å ha mangelfulle rutiner for backup. Ekspertvurderinger i saken avdekket svakheter i Nordlos infrastruktur, inkludert fravær av tvungen tofaktorautentisering, fravær av geografiske innloggingsbegrensninger, utdaterte programmer og mangelfulle testing av sikkerhetskopiering.

Retten konstaterte at en av Nordlos hovedforpliktelser etter avtalen var å tilby en dataløsning som ivaretok nødvendig beskyttelse mot cyberangrep og at «noen løsninger ikke var helt optimale». Likevel konkluderte retten med at Nordlo ikke hadde handlet uaktsomt. Retten fant heller ikke grunnlag for ansvar basert på kontrollansvar. Kontrollansvar innebærer ansvar uten skyld for alt som ikke er utenfor selgers kontroll ved leveranse av standard tjenester og varer.

Retten la avgjørende vekt på at Nordlo hadde implementert flere tiltak for å redusere risikoen for sikkerhetshendelser, blant annet ved segmentering av kritisk infrastruktur og backup i egne nettverk og at hackergruppen var svært profesjonell. I tillegg vektla retten at Nordlo var en liten IT-leverandør, andre aktører også tillot fravalg av tofaktorautentisering, kunden ikke stilte i møter hvor den ville fått informasjon som kunne redusert risiko eller hadde forsikret seg. I det hele tatt kunne en kjøper av standard ASP-tjenester til en lav pris ikke forvente at leverandøren tar over virksomhetsrisikoen sin.

Hva kan kundene lære?

Dommen er en påminnelse om at ansvaret for datasikkerhet ikke uten videre kan settes helt bort. Kundene må selv ta aktive grep for å beskytte sine data. Dette inkluderer:

1. Avtalegjennomgang: Forstå ansvarsbegrensningene og sikkerhetsforpliktelsene som er spesifisert i avtalen. Forstå hva du kjøper og på hvilke vilkår.
2. Tilleggssikring: Iverksett egne sikkerhetstiltak, som tofaktorautentisering og lokal backup. Test tilbakeføring fra backup.
3. Kommuniser: Informer leverandøren om virksomhetskritiske data og andre forutsetninger, slik at nødvendige tiltak kan iverksettes.
4. Forsikring: Forsikre deg mot økonomiske konsekvenser av tap av data. Tegn cyberforsikring.

En bransjeutfordring

Saken illustrerer en bredere utfordring i bransjen. Mange kunder antar at skytjenester automatisk gir et høyt sikkerhetsnivå, mens realiteten ofte mer nyansert. Som retten bemerket, er det umulig å garantere 100 % sikkerhet mot avanserte cyberangrep.

For å motvirke utfall som i denne saken, bør både leverandører og kunder ta grep. Leverandører bør være åpne om sine sikkerhetsrutiner og begrensninger, mens kundene bør være mer bevisste på hvilken beskyttelse de reelt sett får, og ta nødvendige grep for å sikre seg mot de mest alvorlige konsekvensene av datatap.

Dommen fra 20. juni, som enda ikke er rettskraftig, bør tjene som en vekker for alle som benytter seg av skytjenester og andre datasentertjenester. Som Btecs erfaring viser, kan det bli en kostbar misforståelse å tro at man er bedre sikret enn man faktisk er. Nordlo slapp så langt unna med skrekken, i dette andre søksmålet relatert til databruddet.