Slik håndterer du "WannaCry"og andre løsepengevirus


Det verdensomspennende datavirusangrepet "WannaCry" omtales som tidenes største, og skal til nå ha rammet over 200 000 datamaskiner i 150 land. Datavirusangrep kan medføre stor skade og betaling av løsepenger kan være ulovlig. Her er tips til hvordan de umiddelbare skadene kan håndteres og hvordan nye sikkerhetshendelser kan forebygges.

Fagartikkel

Datavirusangrep kan forårsake alvorlig skade på virksomheten

Datavirusangrep kan føre til at data ødelegges eller at man hindres tilgang til forretningskritiske systemer. "WannaCry" er et såkalt løsepengevirus ("ransomware" på engelsk) som innebærer at tilgangen til dataene dine blokkeres ved bruk av krypteringsteknologi. De som står bak angrepet krever løsepenger for å oppheve krypteringen og gi deg tilgang til dataene igjen. I dette angrepet skal løsepengesummen være på minst 300 dollar (rundt 2600 norske kroner), med oppgjør i den digitale valutaen bitcoin.

Selv om norske virksomheter ser ut til å ha sluppet relativt lett unna i denne omgangen er det all grunn til å frykte nye angrep i fremtiden. Virusangrep reiser både IT-tekniske, HR-messige, rettslige og forretningsmessige problemstillinger som må avveies og håndteres på kort tid i en kritisk fase. Det aktualiserer behovet for å ha en klar plan for hvordan slike saker håndteres.

Hva gjør du når krisen oppstår?

Løsepenger kan være ulovlig hvitvasking

Ved løsepengevirus oppstår spørsmålet om en skal betale løsepenger og håpe at angriperne frigir dataene slik at virksomheten kan bli operativ igjen. Trusselen hvis en ikke betaler er ofte at personopplysninger og annen forretningssensitive data legges fritt tilgjengelig på internett.

Ut fra omdømmerisikoen ved å få lekket data og den kortsiktige skaden ved å ikke kunne bruke datasystemene, er det ofte fristende å betale de relativt beskjedne løsepengene. Langsiktig kan imidlertid dette være uheldig ved at du viser angriperne at du har betalingsvilje og dermed øker risikoen for ytterligere angrep.

Betaling av løsepenger kan etter omstendighetene være straffbart. Blant annet kan det bli sett på som ulovlig hvitvasking av penger. Dersom en terrororganisasjon som IS eller Al Qaida står bak, kan utbetalingen rammes av forbudet mot å bidra til terrorfinansiering. Den generelle anbefalingen fra myndighetene og andre med kjennskap til datavirusangrep er derfor å ikke betale løsepenger.

Hva gjør du etter den umiddelbare krisen har lagt seg?

Når den umiddelbare krisen har lagt seg er det behov for å evaluere situasjonen - hvor omfattende er skaden, hvordan oppsto den og hva kan vi gjøre for å hindre at lignende situasjoner oppstår i fremtiden.

Viktige tiltak vil typisk være:

Datavirusangrep kan også medføre rettslig ansvar for virksomheten

Overordnet omfattes informasjonssikkerhet og tiltak for å hindre at virksomheten skades av datavirusangrep av styrets ansvar for forsvarlig organisering av virksomheten. Erfaringsmessig er tydelig forankring i styret og den øverste ledelsen avgjørende for at tiltakene får den tiltenkte effekten.

Personopplysningsloven og lovgivning rettet mot spesielle bransjer som finans, telekom, helse og energi, stiller også krav til informasjonssikkerhet og plikt til å orientere myndighetene ved sikkerhetsbrudd. Sikkerhetsbrudd kan gi sanksjoner både i form av overtredelsesgebyr og bøter og tilbakekall av tillatelser til å drive virksomhet.

Den nye personvernforordningen, GDPR, som trer i kraft 25. mai 2018 skjerper kravene til risikovurdering og nødvendige tiltak for å ivareta informasikkerheten. De nye reglene innebærer også en plikt til å varsle Datatilsynet innen 72 timer ved sikkerhetsbrudd og betydelige strengere sanksjoner enn dagens regelverk. 

Bør integreres som del av generelt compliance-program

Etterlevelse av personvernlovgivningen og andre krav til informasjonssikkerhet bør håndteres som en del av virksomhetens generelle compliance-program, på linje med tiltak mot blant annet hvitvasking, korrupsjon og innsidehandel. En work-shop med ledelsen er ofte en egnet start for å sikre eierskap til temaet, identifisere risikoområder og avklare overordnet ambisjonsnivå. Dersom virksomheten er utsatt for et virusangrep kan det være behov for å granske hendelsen nærmere.

 

Bistand til informasjonssikkerhet og håndtering av sikkerhetshendelser

Selmer hjelper selskaper med å identifisere personopplysninger og andre data som må beskyttes i henhold til lov eller av andre grunner er forretningskritisk, hva som er nødvendig beskyttelsesnivå og hvilke tiltak av juridisk og organisatorisk karakter som må gjennomføres. Ved behov kan vi også utarbeide strategidokumenter og retningslinjer, og implementering av disse i virksomheten. Opplæring og ansvarliggjøring er viktige tiltak for å forebygge sikkerhetshendelser. Vi har også gode samarbeidspartnere som kan hjelpe med å evaluere og implementere tekniske tiltak.

Bistand til gransking av sikkerhetshendelser

Vi hjelper selskaper med å granske sikkerhetshendelser for å redusere skadeomfang, rettsforfølger ansvarlige personer og sikrer at virksomheten trekker lærdom av hendelsen for å forebygge fremtidige sikkerhetsbrudd. Med gode forbindelser til relevante myndighetsorgan tilrettelegger vi gjerne for å etablere kanaler til rette myndighetskontakter, når det måtte være ønskelig.

Kontaktpersoner
Kontaktpersoner:

Nils Kristian Einstabland

Stilling: Partner, advokat

Kompetanse:

Kontaktinfo:n.einstabland@selmer.no
+47 402 13 723

» Les mer om Nils Kristian

Relaterte artikler:
Fagartikkel

Hvordan hånd-
tere nye kon-
kurrenter på..

To nye betalingstjenester som innføres når EUs reviderte betalingstjenestedirektiv (Payment [...]

Fagartikkel

"Big data" kan
spore risiko for
hvitvasking og ..

Banker og andre finansinstitusjoner sitter på enorme mengder verdifull informasjon som kan brukes [...]

Aktuelt

Frokostseminar om det digitale...

Tirsdag 8. november 2016 var PE-bransjen samlet hos Selmer på månedlig NVCA-fagfrokost. Tema var [...]