Nasjonal Sikkerhetsmyndighet varsler i sin årsrapport for 2018 at cyberangrep (dataangrep) utgjør en stor trussel for norske virksomheter, og at de alvorligste sakene har blitt mer komplekse, sofistikerte og krevende enn tidligere. Av 19.712 registrerte hendelser i 2018, ble hele 4.689 ansett for å utgjøre en reell trussel som krevde videre oppfølgning. Dette er dataangrep som utgjør betydelig økonomisk risiko for norske virksomheter.
I 2019 har allerede større norske bedrifter blitt rammet av alvorlige cyberangrep som har kostet bedriftene hundretalls millioner kroner. Cyberangrep er ikke bare noe som rammer større virksomheter, også mindre virksomheter med mindre midler til IT-sikkerhet er særlig utsatt for eventuelle angrep. Ifølge undersøkelser fra IBM og Ponemon Institutt mangler 77 prosent av verdens bedrifter tilstrekkelig responsplan ved et datasikkerhetsbrudd. Som følge av GDPR sine strenge sikkerhetskrav og potensial for høye bøter har den økonomiske risikoen ved cyberangrep økt det seneste året.
Et brudd på datasikkerheten vil fort også utgjøre et brudd på personopplysningssikkerheten som utløser plikter og ansvar under GDPR. Dersom et sikkerhetsbrudd medfører utilsiktet eller ulovlig tap, tilintetgjøring, endring, ulovlig spredning av eller tilgang til personopplysninger som virksomheten behandler, så er det å regne som et brudd på personopplysningssikkerheten. Det er tilstrekkelig at systemer som behandler personopplysninger er nede eller er utilgjengelig for at et cyberangrep anses som et brudd på personopplysningssikkerheten i henhold til GDPR.
Norske bedrifter må ta høyde for at cyberangrep er noe som kan ramme alle. Når uhellet først er ute og virksomheten får kjennskap til et brudd på personopplysningssikkerheten, er selskapet pliktig til å håndtere og melde fra til Datatilsynet så snart som mulig. GDPR oppstiller en 72-timersfrist for avviksmelding til Datatilsynet. En slik avviksmelding skal blant annet inneholde en beskrivelse av sikkerhetsbruddet, mulige konsekvenser for berørte personer og de tiltak som har eller vil gjennomføres for å håndtere sikkerhetsbruddet. Dersom det er høy risiko for berørte personer, skal disse også varsles. De fleste virksomheter vil ha utfordringer med å overholde varslingsreglene dersom de ikke på forhånd har etablert rutiner for å kunne avdekke og håndtere sikkerhetshendelser.
GDPR stiller strenge krav til at virksomheter har egnede tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet i forhold til risikoen. Den behandlingsansvarlige skal kunne påvise at behandlingen utføres i samsvar med regelverket. Dette innebærer at virksomheten blant annet skal ha oversikt over sine behandlingsaktiviteter, ha på plass databehandleravtaler med leverandører og ha utført risikovurdering for sentrale systemer. Manglende kontroll på IT-løsninger og leverandører og uklar intern ansvarsfordeling vil kunne ha store konsekvenser for virksomhetens evne til å håndtere et cyberangrep.
Alle virksomheter må være forberedt på at cyberangrep vil kunne ramme dem, og det er da viktig å ha beredskap i form av interne rutiner for å begrense skade og for å varsle tilsynsmyndigheter og berørte personer.
Denne artikkelen ble først publisert i Finansavisen mandag 06.05.19.