Les om «ansvar for datasikkerhet» hos det offentlige og private, særlig om ansvar for styret ved å forholde seg passive til «dataintegritet», ledere eller ansatte for brukerfeil, styreansvaret etter aksjeloven, oppsigelser arbeidsmiljøloven, data som formuesobjekt i lovgivningen, bruk av instrukser for datasikkerhet er ikke i seg selv nok mv. Kan man ansvarsfritt forholde seg til at virksomheten er under angrep?
1. Informasjonsansvar
- I 2014 økte antall målrettede dataangrep i Norge med 400 prosent,
ifølge sikkerhetsselskapet Symantec. Den globale veksten i samme periode var
åtte prosent.
- slurv med it sikkerhet bør være oppsigelsesgrunn, adv. Christian S. Svensen, DN
08.05.2015
For Software Innovation brukerforum 17. september 2015,
Christian S. Svensen adv.
2. Tema
Kan du som styremedlem eller leder –
eller ansatt ansvarsfritt forholde deg til at
virksomheten er under angrep?
Hva er problemet?
Hvilket omfang har det?
….
3. Hva er problemet
• Bakgrunnsmateriale - aktualitet
– NTT Com Security, Value Research Report 2014
• Norstat for First House 2013
– Erfaringstall fra Interpol
– Nasjonal sikkerhetsmyndighet (NSM)
– Null_CTRL
• Kunnskap om virkning av brudd….
– Hvor enkelt det er å opptre uforsvarlig når man ikke
forstår hvilken verdi data utgjør
4. Hva er problemet
… hvilke holdninger har man til «data» som
formusgjenstand
Hei! Jeg lurte på hvordan strafferammene er rundt kriminell aktivitet på internett. Mer
spesifisert "Hacking". I mine øyne er jeg en erfaren internett bruker og har ved flere
anledninger tatt meg inn på, eller tatt kontroll over, nettsider på (så vidt jeg vet) ulovelig
vis, men i et flertall av tilfellene med den hensikt å rapportere hvordan jeg har gjort
dette til webadministratorene slik at de kan fikse feilen(e) som gjør at noen kan gjøre
slik sistnevnte gjorde.
.. samme som for ting og eiendom?
5. Hva er problemet
• Hva utsettes virksomheten for
• Datainnbrudd, straffeloven §145
• Databedrageri, §270, 271 a.
• Informasjonsheleri, §317
• Skadeverk, §§291,292, 151 b.
• Ulovlig bruk av datakraft /
datamisbruk, §261
• Dokumentfalsk, §182
• (Piratkopiering, åndsverksloven §§2,12, 54)
6. Hva er problemet
– Eks. «data» for offentlig virksomhet
• Personvernlovgivning
• Enkeltvedtak
• Anbudsopplysninger..
– Konkurransegjennomføringsverktøyet
» Passord?
• (..)
7. Hva er problemet
• Forretningskritisk
– Offentlige virksomheter som private
• (..)
• Target Inc. Electronics 2013
– «… data breach»
– Saksøkt for å ikke å ha ivaretatt kundenes data
– «.. 148 mill US lost»
– «.. Target CEO loses job after security breach»
8. Hva er problemet
• Makroperspektivet – offentlig virks.
– Tillitt til offentlig forvaltning
– Systemkritisk
• Makroperspektivet – privat
– Åpenbart virksomhetskritisk
9. Hvilke løsninger – enkle grep
• Instrukser
• IT instruks
– Ved ansettelser
– Løpende
– «..må foreligge, må håndheves..»
• Varsling
– (.)
10. Enkelte utslag..
- dersom overtredelsen er besluttet av selskapets styrende organer, vil
foretaksstraff være «særlig sterkt begrunnet», jf.Rt. 2004 s. 1457
(.. også passivitet ved kjennskap til problemet?)
- hensynet til straffens preventive virkning tilsier
også at bøtenivået for foretak normalt bør være langt høyere enn for
fysiske personer, jf. Ot.prp. nr. 90 (2003-2004)
- Selskapet:
- Kun et samlebegrep for den enkeltes handlinger
eller unnlatelser?
11. Oppsummering
- ..det skjer med stadig hyppigere frekvens
- ..det påfører selskaper og virksomheter
betydelige skade, økonomisk som
omdømme
- ..relativt enkle grep for å vesentlig
redusere fare for tap
12. …
Kan du som styremedlem eller leder – eller ansatt
ansvarsfritt forholde deg til at virksomheten er under
angrep?
• Aksjeloven §§6-12 (forvaltning),6-13(tilsyn),17-1
– «..loven så full av plikter at unnlatelser er det
praktiske ansvaret..»
- «..lov å vurdere feil, men ikke å unnlate å vurdere»
• Arbeidsmiljøloven §15-7, Tjenestemannsloven kap. II
– .. IT ansvarlige?
– .. Ansatte med «gule lapper»?
• Instruks, advarsel
13. Takk for meg !!
Christian S. Svensen
css@lynxlaw.no
@CSSvensen