FARLIGE CYBERANGREP: Oslo Børs en høstdag.

Foto: Erik Johansen NTB scanpix

Kommentar: Stopp aksjehandelen – selskapet er under cyberangrep

Børsnoterte selskaper må sette cybersikkerhet på styre- og ledelsesagendaen. Forståelsen av risiko og konsekvenser av hendelser er avgjørende for å oppfylle informasjonsplikten i samsvar med verdipapirhandellovens bestemmelser.

  • Jørn Bremtun
    Jørn Bremtun
    Partner i Nord & Bremtun Cybersecurity Communication
Publisert:
Dette er en kronikk
Kronikken gir uttrykk for skribentens holdning. Du kan sende inn kronikker og debattinnlegg til E24 her.

Cyberangrep og datakriminalitet kan stenge ned hele virksomheter og forårsake enorme økonomiske tap, utløse bøter og erstatningskrav og ha betydelig negativ effekt for omdømme.

Avdekker en børsnotert virksomhet forhold som kan tyde på at cyberangrep er på gang kan dette utløse informasjonsplikt etter Verdipapirhandellovens bestemmelser om innsideinformasjon.

I praksis vil virksomheter møte noen store dilemmaer i en slik situasjon. Det er for eksempel ikke sikkert at hverken virksomheten eller dens eiere er tjent med at informasjon om inntrengere offentliggjøres. Offentliggjøring kan eskalere situasjonen, og gjøre det vanskelig for IKT- og sikkerhetsekspertise å løse utfordringen, det vil si forhindre inntrengeren å gjøre (mer) skade eller få tilgang til kritisk informasjon. Et annet element som kan kreve tid er å identifisere hvem angriperen er og således sikre spor til en eventuell etterforskning.

Ansees risikoen for skade for overhengende er det likevel på det rene at virksomheten og dens ledelse er i besittelse av innsideinformasjon. Handel i egne verdipapirer er dermed ulovlig. Et stort nedsalg før et alvorlig cyberangrep kan åpenbart tolkes i retning av ulovlig innsidehandel.

Les også

Utbyttefest på Oslo Børs – allerede passert fjoråret

Den norske verdipapirhandellovens bestemmelser er ikke spesifikke på cyberangrep. Amerikanske børsmyndigheter (SEC) har derimot funnet det nødvendig å være mer spesifikk når det gjelder rapporteringsplikter ved cyberangrep. 26. februar i år publiserte SEC retningslinjer for håndtering av cybersikkerhet. Den slår fast tre vesentlige forhold.

For det første faller cyberangrep og uønskede IKT-hendelser inn under informasjonsplikten. For det andre erkjenner SEC dilemmaet knyttet til offentliggjøring, men da påhviler det likevel selskapet å følge de retningslinjene som gjelder for handel basert på innsideinformasjon. Personer som er kjent med at et angrep pågår eller er under oppseiling kan ikke handle i verdipapirene. For tredje mener SEC at cyberrisiko er et forhold som virksomheter regelmessig må rapportere om. Både hendelser som har vært i egen virksomhet og i nærliggende relasjoner, for eksempel hos kunder eller samarbeidspartnere, skal det gis informasjon om i en risikokontekst. Dette skal sikre at investorer og marked til enhver tid har et best mulig bilde av hvilken selskapsspesifikk risiko et kjøp av aksjer i selskapet kan innebære.

Les også

Her er de verste dataangrepene

Børsnoterte selskaper bør derfor i beredskaps- og kriseplaner ha tenkt igjennom hvordan ulike scenarier for cyberangrep skal håndteres når det gjelder rapportering. Utgangspunktet for scenariene bør være en risikoanalyse som fanger opp hvilke informasjonsverdier virksomheten forvalter, hvilke trusler som er mest sannsynlig og hvilke sårbarheter som eksisterer i systemer og digitale samhandlingsmønstre. I beredskapsplaner må varslingsplikter mot myndigheter, kunder, partnere og Oslo Børs gjennomgås, og ledelsen må trekke opp linjene for hva som etter verdipapirhandellovens bestemmelser er en ryddig håndtering av slike situasjoner.

Cybersikkerhet er ikke bare et spørsmål om teknologi, men et tema som må på bordet til toppledere og styret. Amerikanske børsmyndigheter er forbilledlige klare når det gjelder å tydeliggjøre dette ansvaret, både når det gjelder løpende rapporteringsarbeidet og i hendelsesspesifikk håndtering.

En tilsvarende eksplisitt tydelighet ligger ikke per nå i det norske lovverket, men når man kjenner konsekvensene av et alvorlig cyberangrep er det liten tvil om at det er fanget opp i verdipapirhandellovens mer generelt utformede bestemmelser.

Dette bør få styre og ledelse i børsnoterte selskaper til å gjennomgå og øve på rutiner og planer for håndtering av slike hendelser.

Les også

Facebook bekrefter: 30 mill. rammet av hackerangrep

Les også

Hackerangrep i Norge kan ta strupetak på kalde briter

Her kan du lese mer om

  1. Oslo Børs
  2. Aksjehandel
  3. Datakriminalitet
mail
E24

Start dagen med

Morgengryn Logo

Hold deg oppdatert på de viktigste nyhetene, de siste nøkkeltallene, og dagens kalender. Tilbudet er gratis.

Flere artikler

  1. Finansavisen fikk intervju før viktig børsmelding ble sluppet: Aker BioMarine legger seg flate

  2. Sliter med Oljefondets saudi-aksjer

  3. Oljefondet-notat om bærekraft: Vil ikke detaljstyre selskaper

  4. Annonsørinnhold

  5. Betalt innhold

    Kjempebot til Equinor etter gassutblåsing

  6. – Forventer at Equinor gjør sitt ytterste for å unngå å komme i en lignende situasjon