Selskaper taper store summer på dataangrep: – Man blir ikke kriminell av å etterkomme kravene

Med noen unntak er det ikke ulovlig å betale dersom man rammes av løsepengevirus, men det er ikke nødvendigvis så lurt. Norske myndigheter anbefaler på det sterkeste å ikke betale.

RAMMET: Hackerangrepet mot A.P. Møller-Mærsk er årets mest omtalte. Det kostet den danske giganten et milliardbeløp.

Foto: Brendan Mcdermid Reuters
Publisert:

– Hvis man er offer for en kriminell handling, blir man ikke kriminell av å etterkomme kravene. I hvert fall hvis formålet er å skaffe tilbake tilgangen til offerets egne systemer og data, sier parter Kyrre W. Kielland i Advokatfirmaet Ræder til E24.

Han omtaler såkalte løsepengevirus, et uønsket datafenomen flere aktører i næringslivet har blitt rammet av.

Senest i forrige uke kom det melding om at Clarksons, verdens største skipsmegler, hadde hatt datainnbrudd. Clarksons bekreftet at data ble stjålet i innbruddet, og at tyvene nå krevde løsepenger som selskapet nekter å betale.

Les også

Telenor advarer i fersk rapport: Slik svindles sjefene

– Jeg håper våre klienter forstår at vi ikke vil bli holdt som gisler av kriminelle, og jeg vil beklage for eventuelle bekymringer denne hendelsen kan ha skapt, sa administrerende direktør Andi Case.

Kielland slår fast at det i de fleste tilfeller ikke vil være lovstridig å betale eventuelle løsepenger, men at det ikke nødvendigvis er spesielt smart å punge ut.

– Siden vi snakker jus, er det alltid noen unntak. Hvis du vet hva pengene går til, og det for eksempel er terrorfinansiering og den typen formål, kan det likevel være ulovlig. Men det er vanlig i denne typen situasjoner at man ikke vet hvem man har med å gjøre, sier han.

Anbefaler samarbeid

Det er imidlertid ingen garantier for at man faktisk får det man betaler for med løsepengene, og dessuten bidrar man med dette til å finansiere kriminell virksomhet.

– Man må alltid samarbeide med relevante myndigheter og forsikre seg om at det man gjør er egnet til å oppheve situasjonen man står overfor, sier Kielland.

Advokaten har sett på de juridiske sidene ved hackerangrep på grunn av økt pågang fra både kunder og forsikringsselskaper.

Les også

Finanstilsynet advarer mot kryptoinvesteringer: – Fare for svindel og hvitvasking

Internasjonalt har det vært flere tilfeller av hackerangrep den siste tiden, også mot de aller største. Det mest omtalte er kanskje sommerens angrep mot den danske giganten A.P. Møller-Mærsk.

– Vi ser at dette rammer på tvers av bransjer. Fokus har vært på shipping, men vi har også eksempler fra blant annet bank og hotelldrift, sier Kielland.

Kostbart

Dataangrep kan bli svært dyrt for bedriften som rammes. I tilfellet Mærsk har selskapet selv anslått kostnaden til mellom 250 og 300 millioner dollar, tilsvarende opp mot 2,5 milliarder norske kroner.

Hackerangrepet mot Mærsk satt ut deres evne til å motta og spore bestillinger, og medførte midlertidig stenging av en rekke laste- og losseterminaler.

Dersom selskapenes evne til å overholde sine kundeforpliktelser eller på andre måter gå utover kundene, er det imidlertid ikke automatikk i at man kan påberope seg force majeure – ekstraordinære omstendigheter utenfor egen kontroll.

Partner Kyrre W. Kielland i Advokatfirmaet Ræder.

Foto: Advkoatfirmaet Ræder

– Hvis årsaken til angrepet er at man har glemt å oppdatere Windows, og ikke har en leverandør å skylde på, ender du fort med regningen. Du kan gjøre mye med leveringsbetingelsene dine, men aldri fraskrive deg ansvar for grov uaktsomhet, sier Kielland.

– I slike situasjoner er det viktig å finne ut av årsaken til sikkerhetsbruddet og håndtere dialogen med kunder på en profesjonell måte, gjerne med bistand fra forsikringsselskap og advokat.

Kielland har følgende tre tips i forbindelse med dataangrep:

– Man må ha et bevisst forhold til IT-sikkerhet. Man må også ha et bevisst forhold til håndteringen av den risikoen som uansett alltid vil ligge der, ved på styrenivå å tenke gjennom og kanskje også planlegge for hva man skal gjøre ved et dataangrep. Og man må vurdere å forsikre seg mot de økonomiske konsekvensene, sier Kielland.

Anbefaler å ikke betale

Det finnes flere kjente tilfeller der norske selskaper har blitt utsatt for løsepengevirus.

Over hundre land ble på vårparten i år rammet av et voldsom hackerangrep, og i den forbindelse krevd løsepenger. Tre virksomheter i Norge ble påvirket, deriblant Petter Stordalens Choice Hotels-kjede.

Les også

Datasikkerhetsselskap spår dystert 2018

Det ble også kjent at Optimera, som står bak selskaper som Montér og Trend, var blant de rammede.

Året før opplevde aktører som Posten og Schibsted at deres systemer var infisert. Uheldige som trykket på en lenke sendt via epost, ble krevd for 4.000 kroner for dekryptering av filer.

Internasjonalt har alt fra havnen i den svenske byen Göteborg til det internasjonale advokatselskapet DLA Piper fått trøbbel det siste året.

Norske myndigheter anbefaler sterkt at verken privatpersoner eller bedrifter betaler løsepenger til hackere.

– Vi har forståelse for at folk blir engstelige når datamaskinen deres blir låst, men anbefaler sterkt at man ikke betaler løsepenger, fordi det gir gode insitamenter til å fortsette denne typen kriminalitet, sier kommunikasjonsdirektør Mona Strøm Arnøy i Nasjonal sikkerhetsmyndighet.

Hun henviser for øvrig til deres blogg, der det gis flere anbefalinger om hvordan man kan redusere risikoen for å bli rammet av skadelig programvare.

Les også

Skipsmeglergigant utsatt for hackerangrep

Les også

Logistikktjenesten rammet av hacking i juni: – Vi ble aldri informert om at tjenestene lå nede

Les også

Milliarder på spill for Mærsk etter hackerangrep

Her kan du lese mer om