Vi er stolte av å kunngjøre at Brækhus nå er medlem av FSi (Forsvars- og sikkerhetsindustriens forening). Dette markerer et viktig skritt i vårt arbeid for å levere juridisk rådgivning av høyeste kvalitet til bransjen.
Som medlem ser vi frem til et tett samarbeid med øvrige medlemsbedrifter og aktører i sektoren. I en tid preget av usikkerhet er det avgjørende med effektiv gjennomføring og solid prosjektledelse. Dette blir særlig viktig når omfattende kontrakter og leveranser skal forhandles de kommende årene.
Vår rolle som fasilitator for kontraktsgjennomføring blir stadig mer sentral. Gjennom vårt medlemskap i FSi vil vi fortsette å styrke vår kompetanse og bidra til en smidigere og mer forutsigbar prosess for alle involverte parter.
Vi ser frem til å bidra aktivt i fellesskapet og jobbe sammen med bransjen for å møte morgendagens utfordringer.
For mer informasjon om vårt arbeid og medlemskapet i FSi, ta gjerne kontakt med oss.
PST, NSM og Etterretningstjenesten peker i sine ferske trusselvurderinger på økt fare for sabotasje, innsiderisiko, digitale angrep og økonomisk etterretning. Norske virksomheter må styrke beredskapen nå. Hva om en ansatt i din virksomhet mottar en LinkedIn-henvendelse med et fristende tilbud om å utlevere informasjon? Eller at en underleverandørs svake IT-sikkerhet gir fremmede aktører tilgang til sensitiv informasjon? Kanskje en nyansatt stolt deler et bilde med sitt adgangskort på sosiale medier – og uvedkommende kopierer det for å skaffe seg tilgang?
Økende cybertrusler
Cyberoperasjoner mot norske virksomheter blir stadig mer avanserte. Statlige og kriminelle aktører bruker digitale operasjoner for å skaffe informasjon, påvirke beslutningstakere og forstyrre kritisk infrastruktur. Sektorer som energi, finans, helse og teknologi er særlig utsatt. Konsekvensene kan være store – økonomiske tap, svekket omdømme og tap av forretningshemmeligheter.
Innsiderisiko og sabotasjetrusler – en skjult risiko
Trusselvurderingene peker på økt risiko for sabotasje mot kritisk infrastruktur som kraftforsyning, transport og telekommunikasjon. Statlige aktører utnytter også økonomiske virkemidler og leverandørkjeder for å få tilgang til sensitiv informasjon. Innsidetrusselen er en særlig utfordring, der ansatte med tilgang til kritiske systemer kan bli utsatt for press, økonomiske insentiver eller ideologisk påvirkning til å lekke informasjon eller sabotere virksomheten.
Økonomisk etterretning og utenlandsk påvirkning
Fremmede stater benytter økonomisk etterretning for å skaffe seg innsikt i norske teknologiske og industrielle fremskritt. Dette skjer gjennom investeringer, samarbeid eller skjult eierskap i strategisk viktige virksomheter.
H
Hvordan vi kan bistå
For å møte dagens trusselbilde bistår vi virksomheter med en strategisk gjennomgang av sikkerhetsrisikoer og nødvendige tiltak. Vår rådgivning omfatter:
Sikkerhets- og beredskapsstrategi: Vi hjelper virksomheter med å kartlegge risikoer, implementere forebyggende tiltak og utvikle robuste beredskapsplaner.
Håndtering av innsiderisiko og leverandørkjeder: Vi bistår med kontrakter og due diligence for å redusere sårbarheter. Vurdering av adgangen til å foreta kredittvurderinger, bakgrunnsundersøkelser og rusmiddeltesting. Vi bistår også med å etablere rutiner for innsyn i ansattes e-postkasse og PC.
Overholdelse av regulatoriske krav: Vi sørger for at din virksomhet følger sikkerhetsloven og øvrige regulatoriske krav som gjelder kritisk infrastruktur og nasjonal sikkerhet.
Juridisk støtte ved cyberoperasjoner og andre sikkerhetshendelser: Vi gir rådgivning ved hendelser som kan få regulatoriske eller rettslige konsekvenser, inkludert varsling til myndigheter ved brudd på personopplysningssikkerheten.
Trusselbildet er stadig i endring, og norske virksomheter må være proaktive. Kontakt oss for en vurdering av hvordan vi kan styrke din virksomhets sikkerhet og beredskap.
Cyberangrep på norske virksomheter – hvem bærer risikoen?
Cyberangrep har for alvor kommet på dagsorden for norske virksomheter. Men hvor beviste er norske bedrifter, organisasjoner og offentlige aktører på krav og ansvar til forebyggende sikkerhet og håndtering av cyberangrep? Og er det virksomheten selv eller deres IT-leverandør som har risikoen dersom angrepet lykkes?
Cyberangrep innebærer uautorisert tilgang til datasystemer eller nettverk med det formål å stjele, endre, eller ødelegge informasjon, samt få tilgang til, kontroll over eller stoppe tjenester.
Cyberangrep begås oftest av hackere som tilhører kriminelle miljøer. Noen hackere har også tilknytning til stater, mens andre er aktivister. Tilknytningen, formålene og fremgangsmåten til gruppene varierer. Det desentraliserte hackerkollektivet Anonymous foretar for eksempel cyberangrep for å påføre skade eller spre aktivistisk budskap, mens den russiske gruppen Wizard Spider driver med digital utpressing ved bruk av eller utleie av den egenutviklede ransomwaren Conti.
Omfanget av cyberangrep har vokst eksponentielt de siste par årene i takt med den teknologiske utviklingen samt økt polarisering og konfliktnivå globalt. Cyberkriminalitet påførte verdensøkonomien et estimert tap på seks billioner dollar i 2021. Tapet forventes å vokse med inn til 15 % årlig opp til 10.5 billioner dollar innen 2025.
Uklar ansvarsfordeling
Vår erfaring er at IT-kontrakter ofte mangler en tilfredsstillende fordeling av ansvaret for forebyggende sikkerhet og håndtering av cyberangrep. Hverken Statens Standardavtaler (SSA), Dataforeningen eller IKT-Norges standardavtaler regulerer ansvaret for å forhindre cyberangrep. Standardavtalene er også i all hovedsak tause om ansvar for kostnader ved opprydding av cyberangrep samt hvem som har ansvar for de tap som oppstår.
Partene i en IT-kontrakt får også begrenset drahjelp av lovgivningen. Eksempelvis stiller personvernforordningen krav til kunder og leverandørers implementering av tekniske og organisatoriske sikkerhetstiltak ved behandling av personopplysninger, men det er lagt opp til at disse tiltakene skal fastsettes på ad-hoc basis. Virksomheten har også rapporteringsplikter etter samme regelverk, men det er ikke alltid enkelt uten juridisk bistand å vurdere om et angrep skal rapporteres.
Både leverandører og kunder bør bli mer bevisste på fordeling av risiko og ansvar for cyberangrep. Dette bør reguleres i kontraktbilagene, f.eks. kundens kravbilag, bilaget med leverandørens løsningsforslag, en databehandleravtale og/eller et eget bilag om sikkerhet. Ved inngåelse av nye kontrakter må dette være en selvfølge, men også løpende kontrakter bør undersøkes nærmere og evt. forsøkes reforhandlet.
Årsaken til at et cyberangrep lykkes kan skyldes svakheter hos den rammede virksomheten, f.eks. teknisk gjeld eller at egne ansatte uforvarende har installert skadelig programvare ved phishing eller bruk av usikrede eksterne lagringsmedier. Det vellykkede angrepet kan også skyldes at IT-leverandøren ikke har gjort det som kan forventes for å forebygge eller avverge dette.
Dersom virksomheten blir rammet av et cyberangrep og fordeling av risiko på forhånd ikke er presist regulert, vil risikofordelingen bero på om årsaken til angrepet tilsier at det er virksomheten eller IT-leverandøren som må bære risikoen. Denne vurderingen vil ofte være kompleks og noen ganger vil konklusjonen være usikker.
Håndtering av cyberangrep
Dersom et angrep inntreffer, må dette håndteres omgående for å forhindre eller redusere konsekvenser og for å oppfylle lovpålagte krav. Under angrepet er det lite tid og mye som står på spill og da bør ikke partene bruke tiden til å diskutere fordeling av kostnader og tap.
Hvis det er tvil om hvem som har ansvaret bør partene raskt søke å avtale at dette skal avklares i ettertid og at alle kontraktsfestede frister knyttet til reklamasjon og krav om justering av vederlag og annet fryses inntil videre. Dersom virksomheten ikke får leverandøren med på en slik avtale bør virksomheten utstede en endringsordre. Det er som regel når angrepet er under kontroll at virksomheter og deres IT-leverandører kan evaluere angrepet gjennomføre et endelig økonomisk oppgjør derav.
Virksomheter som rammes av cyberangrep må heller ikke forsømme de lovpålagte plikter som gjelder for rapportering av slike angrep. Selv dersom slike rapporteringsplikter er delegert til IT-leverandøren bør virksomheten ta eierskap til rapporteringsprosessen, da den som oftest vil være pliktsubjektet etter loven og nærmest til å sikre hensiktsmessig rapportering.
Getting the Deal Through er en Q&A-basert verdensomspennende referanseguide som dekker 150 jurisdiksjoner. Guiden blir benyttet som en informasjonsressurs av mer enn 150 000 bedriftsadvokater, privatpraktiserende advokater, samt ledere i selskaper eller i det offentlige, og gir en oversikt over gjeldende regelverk og vesentlige spørsmål innenfor et gitt rettsområde.
Brækhus har spisskompetanse innenfor offentlige anskaffelser og rådgir klienter innen alle typer anskaffelsesformer, fra enkle anbud til eneleverandøranskaffelser og konkurransepreget dialog – og innen de fleste markeder – fra sikkerhetsanskaffelser hvor konkurransegrunnlaget er delvis unntatt offentlighet og forsvarsanskaffelser til konkurransepreget dialog i helsesektoren og enkle entrepriser.
