ADVARER OM ØKT TRUSSELBILDE: Nils Kristian Einstabland, partner i Advokatfirmaet Selmer og ekspert på informasjonssikkerhet og personvern.

Løsepengevirus – en trussel også i eiendomsbransjen

- Dette er trusler som også eiendomsbransjen må ta på alvor i takt med at bygg blir stadig mer teknologisk avanserte, automatiserte og knyttet til Internett.

Publisert

Vi har den senere tiden sett mange medieoppslag om personopplysninger på avveie og cyberangrep som lammer mange offentlige og private virksomheter i dagesvis. Det verdensomspennende datavirusangrepet “WannaCry”, omtalt som tidenes største, rammet i mai over 200 000 datamaskiner i 150 land.

Estate Nyheter har tatt en prat med Nils Kristian Einstabland, partner i Advokatfirmaet Selmer og ekspert på informasjonssikkerhet og personvern om trusselbildet og hvordan sikkerhetshendelser kan håndteres.

Eiendomsbransjen – en risikogruppe– Det er ikke tvilsomt at angrep mot virksomhetene over Internett utgjør en økende trussel, sier Einstadbland.

– Det rammer i økende grad virksomheter som ikke umiddelbart tenker på seg selv som en teknologibedrift. Eiendom er en risikogruppe. Bransjen utgjør en viktig del av samfunnsinfrastrukturen, representerer store verdier, er raskt i ferd med å bli digitalisert og er fortsatt umoden med hensyn til å forstå og håndtere denne type trusler.

Les også: Ny lovendring gir økt rettsvern for utbygger

Informasjonssikkerhet utgjør summen av de organisatoriske, IT-tekniske og juridiske tiltakene organisasjonen har for å forebygge og håndtere uautorisert bruk, endring eller tap av data.

Et ledelsesansvarGode brannmurer og andre IT-sikkerhetstiltak er selvfølgelig viktig, men overraskende mange datavirusangrep lykkes fortsatt fordi ansatte åpner e-poster med ukjent adressat og e-poster fra tilsynelatende kjente avsendere med uvanlig innhold.

– Opplæring og etablering av god sikkerhetskultur er derfor avgjørende. Dette er en ledelsesoppgave. Styret og den øverste ledelsen må forstå at robust informasjonssikkerhet er avgjørende for å ivareta aksjonærverdier og unngå rettslig ansvar og omdømmetap. Uten forankring på toppnivå er det vanskelig å få gjennomslag nedover i organisasjonen for de endringer som må gjennomføres, fremhever Einstabland.

Les også: Forsikringsforetak får større muligheter for investering i fast eiendom

Når krisen oppstårVirusangrep reiser både IT-tekniske, HR-messige, rettslige og forretningsmessige problemstillinger som må avveies og håndteres på kort tid i en kritisk fase. Einstabland lister opp følgende umiddelbare tiltak:

– Oppdatere programvaren og få tettet sikkerhetshullet.– Sikre tilgang til back-up løsningen og sørge for at virksomheten blir operativ så raskt som mulig.– Underrette ansatte og andre om det som har skjedd. Hva kan, bør og må du si til leietakere og myndigheter?– Ha klart et budskap hvis dette kan bli en mediesak.– En beredskapsplan som organisasjonen har trent på i forkant gjør deg bedre i stand til å håndtere krisen, påpeker Einstabland.

Dataangrep kan få mange rettslige konsekvenser– Vi blir gjerne trukket inn ganske raskt etter at uhellet har oppstått, sier Einstabland.

– Vi blir engasjert for å vurdere mulige rettslige konsekvenser. Det vil typisk være spørsmål om personopplysninger har kommet på avveie eller blitt endret, har IT-leverandørene gjort det de skal, må Datatilsynet eller fagforeninger varsles med videre.

Hvis dataangrepet har fått betydning for driften av bygningen kan det også oppstå spørsmål om ansvar overfor leietakere. Mange utleiere har vide ansvarsfraskrivelser som dekker slike situasjoner, og det kan også tenkes at situasjonen utgjør force majeure. Det blir raskt også et spørsmål om hendelsen er dekket av noen av partenes forsikringer.

– Her er det mange problemstillinger som ennå ikke er avklart i norsk rett, sier Einstabland.

Les også: Nye personvernregler – hvorfor er dette relevant for eiendomsbransjen?

Force majeure kan i enkelte situasjoner beskytte utleier mot ansvar for uforutsette og ekstraordinære hendelser. Et minstevilkår for at en utleier kan påberope seg force majeure-unntaket ved dataangrep er nok at IT-systemer og rutiner etc. er robuste nok til å motstå “normale” dataangrep. Andre ansvarsfraskrivelser kan rekke lengre, men må vurderes konkret.

Ved WannaCry og andre løsepengevirus oppstår spørsmålet om en skal betale løsepenger. Under trussel om personopplysninger og annen forretningssensitive data legges fritt tilgjengelig på internett er det ofte fristende å betale seg ut av problemet.

– Langsiktig kan imidlertid dette være uheldig ved at du viser angriperne at du har betalingsvilje og dermed øker risikoen for ytterligere angrep. Betaling av løsepenger kan også bli sett på som ulovlig hvitvasking, eller bidrag til terrorfinansiering dersom en terrororganisasjon som IS eller Al Qaida står bak.

Les også: Erstatning hvis kommunen forkaster et byggeprosjekt?

Hva gjør du etter at den umiddelbare krisen har lagt seg?Når den umiddelbare krisen har lagt seg er det behov for å evaluere situasjonen – hvor omfattende er skaden, hvordan oppsto den og hva kan vi gjøre for å hindre at lignende situasjoner oppstår i fremtiden. Selmer-advokaten avslutter med å nevne noen typiske eksempler på viktige tiltak:

– Grundig risikovurdering – Har vi god nok oversikt over hvilke data/aktiva vi har som er forretningsviktige og hvilke risiki de utsettes for, har systemene for å hindre brudd på informasjonssikkerheten vært robuste nok og har vi gode nok rutiner for å håndtere slike situasjoner når de oppstår? Hva kan vi lære av denne hendelsen?

– Kriseberedskap – Har vi håndtert situasjonen på en adekvat måte eller må vi få på plass en bedre kriseorganisasjon med tydeligere roller og rapporteringsrutiner som trer i kraft når krisen inntrer. Når varsles IT-sjefen og hvem rapporterer han til? Når må myndighetene og viktige samarbeidspartnere varsles? Hvem sier hva til pressen? Og ikke minst, er vi tilstrekkelig trent på krisesituasjoner?

– Opplæring – tren de ansatte, både i IT-avdelingen og andre i hvordan de skal behandle sensitive opplysninger og hvordan sikkerhetshendelser skal forebygges.

– Nettverk – etabler kontakt med eksterne rådgivere og myndigheter som kan hjelpe til med å holde deg oppdatert på sikkerhetsutfordringer og avhjelpende tiltak – og som kan bistå deg når krisen oppstår.

 

Powered by Labrador CMS