Hvert år rapporterer flere tusen norske virksomheter om alvorlige sikkerhetshendelser. I en tid hvor digitale trusler øker, viser historiene om økonomiske tap og ødelagt omdømme viktigheten av at ledere tar aktivt ansvar for informasjonssikkerhet og personvern.
Våren 2024 mottok Datatilsynet en melding fra en mellomstor norsk virksomhet: «IT-innbrudd. Alle filer kryptert av kriminelle. Oppdaget mandag når vi skulle begynne å jobbe. Fikk ikke tilgang. Hele bedriften er lammet. Har ikke sjanse til å drifte selskapet. Sterkt lidende.»
Meldingen er ikke unik. Datatilsynet mottar rundt tre tusen meldinger hvert år fra norske virksomheter som opplever sikkerhetshendelser, mange med brudd på personopplysningssikkerheten. I flere tilfeller innebærer dette at personopplysninger kan ha kommet på avveie, med potensielt alvorlige konsekvenser for enkeltpersoner. Slike hendelser skyldes ofte mangler i virksomhetens informasjonssikkerhetsarbeid, som svakheter i tilgangsstyring, sårbarhet for digital utpressing, eller manglende evne til å gjenopprette systemer etter angrep.
Eirik Gulbrandsen
Senioringeniør, Datatilsynet
Det er ikke hendelsen, det er forberedelsene
Konsekvensene av slike hendelser er store, både for de som rammes av lekkede personopplysninger og for virksomheten selv. Nedetid, inntektstap og kostnader knyttet til gjenoppretting av systemer kan være betydelige økonomiske utfordringer for en mellomstor bedrift. Eksempler som Østre Toten kommune i 2021 (med oppryddingskostnader på 32 millioner kroner) og Norsk Hydro i 2019 (over 800 millioner kroner) viser hvor omfattende økonomiske tap som kan oppstå. Østre Toten ble i tillegg ilagt et overtredelsesgebyr på 4 millioner kroner fordi det grunnleggende informasjonssikkerhetsarbeidet ble vurdert som mangelfullt av Datatilsynet. Norsk Hydro derimot slapp unna sanksjoner på grunn av dokumentert tilstrekkelig sikkerhetsarbeid.
Dette understreker en viktig forskjell: Det er ikke det å bli utsatt for et angrep som er klanderverdig, men å unnlate å gjøre det nødvendige arbeidet på forhånd for å redusere risikoen og begrense skadene.
Tillit som konkurransefortrinn
Langsiktige konsekvenser kan være tap av tillit fra ansatte, kunder og samfunnet generelt. En amerikansk studie viser at tre av fem små og mellomstore virksomheter går konkurs innen seks måneder etter et dataangrep. For mange er tap av omdømme og tillit den sterkeste motivasjonen for å prioritere informasjonssikkerhet og personvern.
Informasjonssikkerhet, personvern, cybersikkerhet og GDPR henger tett sammen, og det mest effektive er å integrere disse som en del av virksomhetens generelle internkontroll og styringssystem. Dette er et ledelsesansvar. Og ledelsen kan ikke bare være informert og godkjenne tiltak, de må være aktivt involvert i (økonomiske) risikovurderinger og i beslutningene om hvilke tiltak som er nødvendige og passende. Det handler ikke om «lederforankring», men om «lederdeltagelse».
I denne sammenheng er GDPR et nyttig verktøy. Artikkel 32 pålegger virksomheter å sikre at systemene som behandler personopplysninger er robuste nok til å sikre kontinuerlig konfidensialitet, integritet og tilgjengelighet. Dette er ikke bare «gode råd», men dermed krav som er forankret i norsk lov.
Nye krav i horisonten: Digitalsikkerhetsloven
Ved tilsyn i 98 norske kommuner i 2023 konkretiserte Datatilsynet kravene gjennom veiledning fra Nasjonal Sikkerhetsmyndighet, basert på internasjonale standarder som ISO 27001. Dette viser at systematisk informasjonssikkerhetsarbeid kan gjenbrukes i arbeidet med personopplysningssikkerhet. Det er imidlertid viktig å huske at selv om god informasjonssikkerhet er en forutsetning for godt personvern, er det ikke nok i seg selv. Godt personvern krever også at data behandles lovlig, rettferdig og på en åpen måte.
I løpet av 2025 vil Norge få en ny lov – Digitalsikkerhetsloven. Denne loven, som er basert på EUs NIS-direktiv (Network and Information Security), vil innføre krav om meldeplikt ved hendelser og muligheten for overtredelsesgebyrer dersom virksomheter ikke overholder kravene. Digitalsikkerhetsloven vil på mange måter være en «GDPR for informasjonssikkerhet», og har klare sammenhenger med GDPR.
Lederens aktive rolle
For norske virksomheter er informasjonssikkerhet og personvern ikke et valg – det er en nødvendighet. Lederens aktive deltagelse i sikkerhetsarbeidet er avgjørende for å beskytte både virksomhetens omdømme og dens fremtidige overlevelse. Som for virksomheten nevnt innledningsvis, vil tiden vise om de klarte å håndtere angrepet. Moralen er klar: Å håpe «det skjer ikke oss» er ikke en bærekraftig strategi.
Tekst: Eirik Gulbrandsen