Cybersikkerhet - stadig strengere krav til ledelsen

Daglige ledere og styremedlemmer kan i dag bli stilt personlig ansvarlig for manglende datasikkerhet i logistikkvirksomheten de leder. Ansvaret følger bl.a. av aksjeloven og det alminnelige uaktsomhetsansvaret domstolene har etablert. Det er flere forhold som tyder på at dette ansvaret vil skjerpes i årene som kommer.

Strengere praksis. Antall ansvarssaker mot daglige ledere og styremedlemmer har eksplodert i domstolene de siste 10 årene. En av grunnene kan være domstolens skjerpelse av ansvaret. Det skal mindre uaktsomhet til for å bli ansvarlig nå enn før, direkte eller bare for medvirkning.

Uaktsomhet betyr å handle på en annen måte enn en normalt ansvarlig person i samme stilling ville gjort. Når det gjelder cybersikkerhet kan det f.eks. være å la være etablere sikringstiltak og rutiner. Hva ledelsen bør gjøre, bestemmes av flere forhold vi nå skal se på.

Strengere normer. Kravene til sikkerhet er skjerpet. Den nye personopplysningsloven (GDPR) er godt kjent, men den er ikke det eneste regelverket å følge med på. Av særlig interesse er et nytt EU direktiv om nettverks- og informasjonssystemer (NIS), vedtatt i EU 6. juli 2016. I motsetning til IKT-forskriften omfatter NIS-direktivet transportbransjen. En logistikkvirksomhet vil omfattes av loven hvis:

• virksomheten er viktig for kritiske samfunnsmessig eller økonomiske aktiviteter;
• virksomheten er avhengig av nettverk og informasjonssystemer; og
• en hendelse for disse systemene ville ha vesentlig forstyrrende virkning på logistikktjenesten.

Logistikk er for samfunnet som blodsystemet er for kroppen. Bryter transporten sammen, vil samfunnet bryte sammen. Mat og andre varer er kritisk for overlevelse og økonomisk aktivitet. Større og mellomstore logistikkvirksomheter er i dag nesten som IT-selskaper å regne, med svært komplekse IT-systemer som styrer nær sagt all aktivitet. Det er derfor rimelig klart at de største logistikkvirksomhetene i Norge kan omfattes. Kanskje også en del av de mellomstore. Om din virksomhet omfattes, må ledelsen vurdere.

NIS-direktivet stiller en del generelle krav til virksomheten, slik som:

• krav om risikostyring
• sikkerhetstiltak (forholdsmessig til risiko)
• tiltak for å forebygge og minimere virkningen av hendelser i datasystemene
• katastrofeberedskap
• overvåking, revisjon og testing
• overholdelse av internasjonale standarder

Planen er å innta disse og andre regler i en ny IKT-sikkerhetslov (NOU av 3. desember 2018). Det kan heller ikke utelukkes at visse logistikkvirksomheter vil kunne bli omfattet av den nye sikkerhetsloven som trer i kraft 1. januar 2019.

Jeg går ikke her inn på kravene etter luftfartsloven, jernbaneloven, havne- og farvannsloven eller andre maritime lover eller Nasjonal transportplan (som kan kalles en “softlaw”).

Økte trusler. Som Maersk-saken viste, kan selv store virksomheter bringes i kne som følge av et dataangrep. Det finnes en rekke trusseltyper, som

• tjenestenenekt agrep (DoS)
• fisking (lure-e-poster)
• passordangrep
• avlyttingsangrep
• og mange flere.

Truslene vil ikke bli noe mindre ettersom kjøretøy og fartøy gjøres selvstyrende og IT kommer inn på enda flere områder.

Økt sårbarhet. Fordi transportselskaper bruker mye IT og elektronisk kommunikasjon, øker sårbarheten. Ikke bare blir biler, skip, tog og fly styrt med IT, men sporingssystemer bruker IT intenst. Stadig flere og mindre ting som transporteres kobles til nettet.

Hvordan rammer dette meg?

Den eksplosive kombinasjonen av strengere norm, økt trussel og økt sårbarhet øker det personlige ansvaret for ledende personer. Dersom virksomheten din opplever et tap fordi du som leder eller styremedlem ikke har gjort noe du burde, vil aksjonærene lide et tap. Siden tapet ikke kan rettes mot selskapet selv, vil det rettes mot personene som kunne forhindret skaden. Disse vil kunne bli personlig ansvarlige, med sin formue, hytter, hus og biler.

Hva kan du gjøre?

Ledelsen kan og bør gjøre flere ting. Her er noen av de viktigste:

Lag styreinstruks til daglig ledelse. Styret må klargjøre sikkerhetspliktene til daglig ledelse, og sørge for jevnlig rapportering. Innlem gjerne sikkerhetsrapportering i styrets årshjul. Sørg for at en person utnevnes som sikkerhetsansvarlig. Det bør ikke være IT-sjefen, men en person som skal holde IT-sjefen i ørene, og dessuten sørge for personell- og fysisk sikkerhet. Etabler helhetlige sikkerhetsrutiner. Disse må dekke teknisk, personell og fysisk sikkerhet. Få gjerne hjelp av en sikkerhetsekspert. Få kontroll på underleverandører. Utover å etablere rutiner for sikkerhet internt, må logistikkselskaper sørge for å få disse kravene med i avtaler med underleverandører. Mindre aktører kan forvente krav fra større kunder. Samordne med GDPR-arbeidet. Det vil være mye overlapp mellom krav til informasjonssikkerhet i personopplysningsloven og de mer generelle sikkerhetskravene som gjelder og som kommer. Samordne dette hos sikkerhetsansvarlig. Revisjon av uavhengig tredjeperson. Rutiner og systemer bør revideres. Til dette kan man få hjelp av sikkerhetseksperter (f.eks. penetrasjonstesting, sikkerhetsrutiner) og advokater (f.eks. avtaler med underleverandører og rutiner).    Inngå cyberforsikring. I dag går det an å forsikre deler av risikoen ved databrudd. Til og med forsikring mot overtredelsesgebyr tilbys. Bruk en forsikringsmegler, for produktene kan være komplekse, og forsikringsgiver ofte utenlandske.

Sørger styret og daglig leder for at dette er på plass, vil det beskytte seg selv mot ansvar, og viktigst; beskytte selskapet mot tap og kanskje konkurs.