Infosikkerhet er toppledelsens fulle ansvar

Også ved ekstern IT-drift står ledelsen ansvarlig for sikkerheten, sier advokat Jostein Ramse.

Mørketallsundersøkelsen fra 2006 viser at det er mye som ennå ikke er på plass av sikkerhetsrutiner i norske bedrifter.

Mer enn halvparten av virksomheter som har samfunnskritisk infrastruktur mangler opplæringsprogram på sikker bruk av IKT. Seks av ti mangler planer for håndtering av brudd på IKT-sikkerhet.

En stygg statistikk tatt i betraktning alle de standarder, lover og regler som allerede finnes eller er på vei som setter krav til sikkerhetsrutiner i bedrifter. I juli 2008 vil det såkalte Eurosox-direktivet bli implementert i Norge, som innebærer et enda strengere regelverk fra EU.

Advokat Jostein Ramse i Føyen Advokatfirma, poengterte i går på et symposium arrangert av IPnett, at virksomhetens øverste ledelse har ansvaret for å sikre tilgjengelighet og konfidensialitet.

- Det er ledelsens ansvar å sørge for sikkerhetsplaner på hvordan rutiner og etablerte systemer skal ivaretas og følges opp – Det er ledelsens ansvar å sørge for sikkerhetsplaner på hvordan rutiner og etablerte systemer skal ivaretas og følges opp, sier Ramse til digi.no.

For det er ingen andre enn ledelsen og styret som blir stilt til ansvar når uvedkommende eller konkurrenter får tak i virksomhetens informasjon, eller når det skjer lekkasjer som kan påvirke omdømme med mulig erstatningsansvar i etterkant.

Beskyttelse av konfidensiell informasjon av virksomhetene skal ikke minst sikre at egne IT-systemer ikke blir utnyttet til kriminell aktivitet. Derfor må det også settes opp klare rutiner for ansatte som beskytter mot hackervirksomhet.

Prinsippet om at toppledelsen har ansvaret for infosikkerhet gjelder også når virksomheten settes ut til driftsselskaper, for eksempel når en bank setter ut driften av sine IT-systemer til EDB.

Et eksempel på dette er det som skjedde i 2002, da en feilkobling i et datalagringsskap hos EDB Fellesdata stoppet 114 banker og halvparten av alle Norges bankkunder i over én uke.

EDB fikk kraftig kritikk i en rapport fra Kredittilsynet. Rapporten understreker samtidig at nedetid og problemer er bankenes ansvar – selv om de har satt ut driften sin.

Tilsynet kritiserer EDB Fellesdata og EDB Teamco fordi tjenesten ikke er regulert i et eget avtaleverk mellom partene. Det mangler et enhetlig rammeverk for risikostyring i Fellesdata. Siden det for bankene knytter seg høy risiko til manglende driftsstabilitet på IT-siden, er etablering av et slikt rammeverk etter Kredittilsynets vurdering svært viktig.

– Det må anses som viktig at det i tillegg foreligger et eget avtaleverk mellom disse, som detaljert beskriver ansvar, oppgaver og samhandling mellom FD og TC, uavhengig av hver enkelt kundeavtale, skriver Kredittilsynet i sin rapport.

I dette tilfelle slapp daværende administrerende direktør Bjørn Trondsen erstatningsansvar, men Ramse tror strengere regler til IT-revisjon som for eksempel Eurosox-direktivet, kan gi kraftigere straffereaksjoner.

Det vil først og fremst være børsnoterte selskaper, samt bank, finans og forsikring som vil måtte innføre revisjonsdirektiv. Dagens styreledere vil kunne bli målt på om de etterlever revisjonsdirektivet.

Revisjonsdirektivet krever blant annet at revisor skal byttes ut hvert syvende år for å unngå kompisstempelet.

- Det er styret og ledelsen som framover vil bli målt på om de følger opp forpliktelsene – Det er styret og ledelsen som framover vil bli målt på om de følger opp forpliktelsene, sier Ramse.

Ledelsesansvaret kommer klart fram fra en rekke lover, blant annet aksjelovens paragraf 6 til 12 som fastslår prinsippet om at forvaltningen av selskapet hører inn under styret som skal sørge for en forsvarlig organisering av virksomheten.

Ledelsen får også en klar forpliktelse om å sørge for at formueforvaltningen er gjenstand for betryggende kontroll.

- Ledelsen kan naturlig nok delegere oppgavene til andre som lager sikkerhetsplanen, for det er et nitidig arbeid. Men det er ledelsens ansvar å sørge for at tiltakene blir gjennomført – Ledelsen kan naturlig nok delegere oppgavene til andre som lager sikkerhetsplanen, for det er et nitidig arbeid. Men det er ledelsens ansvar å sørge for at tiltakene blir gjennomført, fortsetter Ramse.

Aksjelovens paragraf 17 presiserer dessuten at styret og daglig leder har et soleklart erstatningsansvar dersom de forsettelig eller uaktsomt har voldt tap under utførelsen av sin oppgave. Dette gjelder både i forhold til selskapet og til aksjeeierne.

Straffebestemmelsene regulerer straffeansvar hvis selskapet forsettelig overtrer aksjeloven.

Borgarting Lagmannsrett fra 1996 dømte tidligere styremedlem og medeier erstatningsansvar for mangel på interne kontroll og rutiner.

– I dette tilfelle var det økonomisk kontroll, men det kunne like gjerne ha vært IT-kontroll eller HMS (helse, miljø og sikkerhet) som ble slått ned på, forklarer Ramse.

Arbeidsmiljøloven kan også anvendes som i tilfelle der et medlem av idrettslaget ble påført skader ved fall, og kommunen ble tilkjent ansvar.

Regjeringens IKT-melding framhever: «Verksemdene må fokusere på god IKT-tryggleik som eit aktivum som gir dei eit konkurransefortrinn, framfor å sjå på dette som ein negativ kostnad.»

Til toppen