+ mer
Stadig mer sofistikerte angrep: Partner Alexander Plows, advokat Johan André Eikrem og senioradvokat Lars A. Jøstensen, DLA Piper rapporterer om sterk økning i dataangrep mot norske bedrifter.  Foto: Iván Kverme

– Dette er en skikkelig giftig cocktail

Et cyberangrep kan føre til store tap for bedriften, erstatningskrav fra tredjeparter og i verste tilfelle også overtredelsesgebyr fra Datatilsynet, ifølge DLA Piper-advokater.

– Jeg har jobbet med kriminalitetsforsikringer i 20 år. Det startet med ran av kontanter, typisk Nokas-ran med finlandshetter. Nå er det blitt mer sofistikert. Det meste skjer via internett og det er ikke lenger kontanter. Dette er høyt utdannede mennesker som sitter i et land som ikke har noe forhold til selskapet som skal angripes, sier partner Alexander Plows i DLA Piper.

Cyberhendelser øker i omfang. Sofie Nystrøm, direktør i Nasjonal sikkerhetsmyndighet (NSM), har tidligere uttalt til Finansavisen at det fra 2019 til 2021 har vært en tredobling av alvorlige cyberoperasjoner mot Norge.

Amedia, Nordic Choice og Nordland fylkeskommune er noen av cyberoperasjonene som er omtalt den seneste tiden. Ifølge Plows og hans to kolleger, advokat Johan André Eikrem og senioradvokat Lars A. Jøstensen, er det bare toppen av isfjellet som når mediene.

– Dette er en trend som bare vil fortsette på grunn av hjemmekontor og stadig mer sofistikerte angrep, sier Jøstensen.

Advokatene har forsikringsselskapene som klienter, og er såkalt «breach response manager» for et internasjonalt forsikringsselskap i Norge. Det innebærer at samtlige cyberhendelser som berøres av polisene meldes inn til DLA Piper-advokatene.

Mener bedrifter må sikre seg: DLA Piper anbefaler alle selskaper å ha en egen cyberforsikring, men mener den er viktigst for små og mellomstore selskaper. Foto: Dreamstime

 – Kan oppstå konkurser 

Advokatene sitter derfor med god oversikt over hvordan cyberangrepene utføres på norske bedrifter. De mener alle bedrifter har behov for cyberforsikring, men for noen er det viktigere.

– Det er særlig ett segment som bør være oppmerksom, og det er markedet for små og mellomstore bedrifter, sier Jøstensen, som mener at dette markedet ikke er nok bevisste hva som står på spill om bedriften blir angrepet.

– Ved et dataangrep risikerer bedriften at hele systemet må stenges ned. Kanskje er all data infiltrert. Har du ikke gode backupsystemer, så har du da mistet tilgangen til e-post og lønnsportal. Tapene blir veldig fort store hvis du ikke har tilgang til hjelp og støtte, utdyper Jøstensen.

– Det er selskapets eget tap, så er det et tredjepartstap som kan bli veltet tilbake på selskapet. I tillegg er det også risiko for overtredelsesgebyrer fra Datatilsynet dersom persondata har kommet på avveie. Dette er en skikkelig giftig cocktail. Vi tror det snart kan oppstå flere konkurser i Norge på grunn av cyberhendelser, fortsetter Eikrem.

Krisetelefon

Plows viser til at små- og mellomstore bedrifter ofte ikke har en intern IT-avdeling. Men har bedriften en forsikring og det skjer et angrep, kan man ringe et krisenummer slik at man får bistand til å minimere tapet.

– Det blir koblet på ulike ressurser, alt fra IT-eksperter, PR- og kommunikasjon til advokater. I noen tilfeller vil man også kunne dra veksel på et callsenter dersom persondata er kommet på avveie og personene må varsles, fortsetter Eikrem.

De internasjonale forsikringsselskapene har også tilgang til konsulenter som er eksperter på å forhandle med cyberkriminelle.

– Man kan gå inn i forhandlinger med formål om å trekke ut tiden for å jobbe med å finne sikkerhetshullet. Man kan også gå i forhandlinger for å fremforhandle rabatter og betale løsepengekravet som typisk blir fremsatt i den typen saker, sier Eikrem.

Man kan gå inn i forhandlinger med formål om å trekke ut tiden for å jobbe med å finne sikkerhetshullet
Johan André Eikrem, DLA Piper

– Dersom et selskap opplever infiltrasjon er det viktig å få oversikt over hva som har skjedd og prøve å stanse den. Jo tidligere du kommer inn for å stoppe spredningen jo bedre. Hvis dette får lov til å spre seg kan det bli fatalt, sier Jøstensen.

Større selskaper med en veldreven IT-funksjon og stab har ofte mindre behov for en breach response-forsikring, men heller dekning for tap.

Kan bidra til hvitvasking

– Hva skal du gjøre dersom du ikke er forsikret og havner i en løsepengesituasjon?

– Jeg vil i det absolutt sterkeste fraråde å håndtere det på egenhånd. Dette gjelder særlig spørsmålet om man skal betale eller ikke betale. Dersom man vurderer å betale må man være bevisst på hva man holder på med. Betalingsmottageren kan for eksempel være sanksjonerte enheter eller terroristorganisasjoner slik at betaling er en absolutt no go, sier Jøstensen.

Jeg vil i det absolutt sterkeste fraråde å håndtere det på egenhånd. Dette gjelder særlig spørsmålet om man skal betale eller ikke betale.
Lars A. Jøstensen, DLA Piper

– I verste fall er det straffeansvar. Man kan ha bidratt til hvitvasking og finansiering av terrorvirksomhet avhengig av hvilken organisasjon som krever løsepenger, sier han.

Å stikke hode i sanden vil de heller ikke anbefale.

– Nei, det går ikke vekk. Jeg ville ha snakket med advokat som har ekspertise på sanksjoner. Man bør også koble på noen IT-eksperter og andre konsulenter.

Han legger til at man også har plikt til å varsle Datatilsynet etter et visst antall timer hvis man mistenker at persondata er på avveie.

– Om man misligholder den plikten kan må få et overtredelsesgebyr. Det er minefelt å bevege seg i.

Kan være russisk

Den klassiske typen angrep er at hackerne finner en svakhet i selskapets datasystem.

– Svakheten kan komme av mange årsaker, men blir utnyttet som en inngang av datakriminelle. De krypterer en større andel data, trekker seg ut og går inn i en ny fase, for eksempel fremsette løsepengekrav mot selskapet som de infiltrerer i bytte mot en dekryptreringsnøkkel, sier Eikrem.

Dersom persondatafiler, som lønnslipper og personnummer, lekkes må man tenke seg nøye om.

– Skal man faktisk betale løsepengekravet? Her er det ikke bare snakk om selskapets interesser, men også ansattes interesse. En trussel som ofte kommer på toppen er at trusselaktøren truer med å publisere dataene på det mørke nettet eller en offentlig side som alle kan få tilgang til.

Skal man faktisk betale løsepengekravet? Her er det ikke bare snakk om selskapets interesser, men også ansattes interesse.
Jon André Eikrem, DLA Piper

Nettstedet Ransomwatch tar daglig skjermbilder av det de cyberkriminelle legger ut på det mørke nettet «Tor». Det kan for eksempel være flere hundre gigabyte med sensitive data fra ett selskap som har bestemt seg for ikke å betale ut løsepenger.

– Noen ganger legges dataene ut gratis og hvem som helst kan laste de ned. Andre ganger kreves betaling for de som ønsker å se på filene, sier Eikrem.

De aller fleste grupperingene holder til i Kina eller tidligere Sovjetunionen. De opererer også som vanlige arbeidsgivere. De har arbeidskontrakt, lønn og pensjon.

En trusselaktør som går igjen er Conti ransomware. Eikrem forteller at det ikke er identifisert hvem som står bak, men organisasjonen har tatt russisk side i Ukraina-krigen.

– Det spekuleres nå om at aktøren er en del av den russiske stat, sier han.

STOR AKTØR: Det ikke er identifisert hvem som står Conti ransomware, men organisasjonen har tatt russisk side i Ukraina-krigen. – Det spekuleres nå i om aktøren er en del av den russiske stat, sier Johan André Eikrem i DLA Piper. Skjermbilde: Ransomwatch.org

Sofistikerte metoder 

Eikrem legger til at cyberkriminelle ikke bryr seg om høytider og sommerferier.

– Vi hadde en hendelse som vi måtte håndtere lillejulaften sent på kvelden. Det slår ofte til i høytider fordi da er færre på jobb i selskapet de ønsker å angripe og guarden er senket.

Jøstensen forteller at trusselsaktøren kan finne på å infiltrere underleverandøren først, og deretter overvåke korrespondansen mellom underleverandøren og målselskapet. Når trusselaktøren ser en åpning, for eksempel bestilling av en vare, følger de opp med å sende en link i en e-post som er nesten helt identisk med hvordan e-posten ellers ville sett ut om den kom fra den virkelige underleverandøren.

– Den som trykker på linken tror det er en oppfølging av korrespondansen man har hatt med underleverandøren, men i realiteten er det et cyberangrep.

Andre datakriminelle kan for eksempel ringe målselskapet og presentere seg som en journalist. Deretter følger de opp med en e-post som ser ut til å komme fra journalisten.

– Det finnes også ulike aktører med ulike spesialiseringer. Noen aktører gjennomfører selve infiltrasjonen før dataene selges videre til aktører som spesialiserer seg på å fremsette løsepengekrav, sier Jøstensen.

Mest systeminfiltrasjon 

Å vite hvem trusselaktøren er kan derfor være veldig nyttig ved vurderingen av om man skal betale løsepengekravet eller ikke.

– Det varierer veldig om du får tilbake dataene om du betaler løsepengekravet. For eksempel er trusselaktøren Conti tro mot sin forretningsmodell. Betaler du får du dekrypteringsnøkkelen nesten alltid tilbake. Til sammenligning er det ikke sikkert du får utlevert dekrypteringsnøkkelen dersom trusselaktøren heter BlackCat, en organisasjon som ble observert første gang i november i fjor.

Hva er et typisk løsepengekrav?

– Trusselaktøren tilpasser kravet til selskapets økonomi for at det skal være mulig for selskapet å betale. Så de har gjort hjemmeleksen der, svarer Eikrem.

Tall fra forsikringsmarkedet i London viser at rundt 60 prosent av cyberhendelsene relaterer seg til systeminfiltrasjon, rundt 15 prosent utilsiktede utleveringer av data, såkalte «slipping fingers», mens 1 prosent kommer fra utro tjenere.

– Det er ikke nødvendigvis alltid en kriminell handling som utløser en cyberhendelse og behov for cyberforsikring. Det kan også oppstå om noen i virksomheten utilsiktet videresender dokumentasjon. Eller det er noen i virksomheten som samarbeider med trusselaktøren, sier Eikrem.

Flere får avslag på cyberforsikringer

Det finnes ingen statistikk på hvor mange cyberforsikringer det selges årlig i Norge.

Christian Rindlisbacher, såkalt chief broking officer for Aon Norway, har ansvaret for innkjøpsavdelingen i forsikringsmegleren. Denne avdelingen håndterer alle anbud på vegne av Aons kunder i Norge.

Han forteller at en del mindre selskaper gjerne kjøper cyberforsikring gjennom IF, Gjensidige og Tryg, mens større selskaper bruker megler og går til globale aktører som AIG, Axa, Zurich, Qbe og Allianz.

– Det er nok mange selskaper der ute som ikke har en cyberforsikring. Men vi på grunn av stort antall angrep ser vi at etterspørselen øker, sier Rindlisbacher.

Ifølge ham har forsikringsselskapene den seneste tiden høynet terskelen til hvem som får cyberforsikringer.

Få har ikke blitt forsøkt angrepet: Christian Rindlisbacher, chief broking officer i forsikringsmegleren Aon Norway. Terje Rygg / Aon

– Vi ser at forsikringsselskapene tenderer til å avslå forespørsler om forsikring dersom selskapene ikke har god nok sikkerhet. Mange selskaper må forberede sin egen sikkerhet og tankegang rundt cyberrisiko før de får forsikring, sier han.

– Hvem mener du bør ha denne typen forsikring?

– Det er kanskje en klisje, men egentlig er det noe alle bør vurdere. Noen industrier er mer attraktivt for de kriminelle enn andre, men det er veldig få kunder vi snakker med som ikke har blitt forsøkt angrepet. Det henger nok sammen med at det er mange ulike metoder som brukes fra de kriminelle. Det kan være alt fra masseutsendelser, altså spam, til målrettede angrep.

Prisene øker

Rindlisbacher forteller at prisene på slik forsikringer har økt betraktelig de siste par årene på grunn av stadig økende angrep mot ulike bedrifter.

– Prisen vil blant annet avhenge av bransje, størrelse og ikke minst hvor god sikkerhet man har i selskapet. Når det er sagt så er det ikke uvanlig å se priser på mellom 3–5 prosent av forsikringssum.

Grunnelementene i cyberforsikringer er ofte det samme, men det varierer mellom hvert enkelt vilkår hva som tilbys utover dette, forklarer han.

– I forsikringssammenheng er det ofte snakk om hva som kan utløse bruken av en forsikring, og her kan det være litt variasjon. Noen dekker for eksempel kun angrep fra tredjepart, mens andre også inkluderer ansatte om er uheldig eller med viten og vilje velger å angripe kunden. Et viktig element som de fleste inkluderer er enten å dekke kostnaden til spesialkompetanse for håndtering av et angrep, eller at de faktisk har knyttet til seg et panel av eksperter som kommer inn ved et angrep, sier han.

– Viktigst å være klar over risiko

– Hva er det man må være obs på når man velger forsikring?

– Det aller viktigste er nok å være klar over sin egen risiko, og forstå konsekvensene av et angrep. Hvilke mulige scenarioer vil ramme min bedrift hardest, og hvordan vil det påvirke oss økonomisk dersom uhellet er ute, sier han og forsetter:

– Deretter bør man se på hvordan man eventuelt beskytte seg økonomisk dersom man blir angrepet. Er forsikring det riktige for min bedrift, eller kan vi investere i andre tiltak som sikrer våre verdier? Dersom man velger å kjøpe en forsikring bør den omfavne de scenarioer som er mest sannsynlig for den bedriften som ønsker å beskytte seg økonomisk.

Inside
Næringsliv
Jus