Cirka 10 miljoner svenskar lösenord läckte i veckan ut på internet vilket möjliggjordes av att flera populära hemsidor med användarkonton blev hackade. Hackerattacker blir ett allt vanligare hot mot företag och organisationer och kostnaderna för ett dataintrång kan bli höga. Vad gäller för lagar och regler för myndigheters och företags beredskap på hackerattack, ta del av vår juridiska guide.
Senaste åren har 67 % av världens företag har under det senaste året varit utsatt för någon form av hackerattack och undersökningar visar att nästan alla har någon gång utsatts för ett hackat lösenord. Det är därför viktigt att ha väl fungerade processer och rutiner på plats. Vilka processer måste du som företagare ha på plats när något sånt här händer? Vilka försäkringar ska du ha? Vilket ansvar har du gentemot den enskilde? Kan den enskilde ställa krav på företag och organisationer?
Hackerattack – statliga myndigheters skyldigheter
Sedan den 1 april 2016 måste hackerattacker anmälas till Myndigheten för samhällsskydd och beredskap (MSB) enligt Förordning (2015:1052) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap.
Det är endast statliga myndigheter som träffas av tvånget men även andra företag och organisationer har också möjligheten att kontakta MSB om de drabbats. Om en myndighets säkerhet påverkar av en störning hos ett företag som levererar IT-tjänster måste även detta redovisas till MSB inom 24 timmar.
Hackerattack – privata företags skyldigheter
Idag finns det ingen generell anmälningsplikt för företag och organisationer att anmäla IT-incidenter eller stöld av personuppgifter. Personuppgiftslagen ålägger skyldigheter på företag som behandlar personuppgifter att vidta erforderliga organisatoriska- och IT-säkerhetsåtgärder. Företag kan välja att självcertifiera sig enligt olika branschstandards eller ISO processer.
Från och med maj 2018 får EU en ny dataskyddslagstiftning (även kallad GDPR) där det dock kommer att ändras. I den nya lagstiftningen finns det ett tvång för företag och organisationer att senast 72 timmar efter att man upptäckt ett intrång rapportera till Datainspektionen. Företagen kommer även ha en skyldighet att kontakta den enskilda individer som drabbats av en hackerattack om incidenten är allvarlig.
I kontraktsrelationer har det länge varit standard att formulera hackerattack som en force majeure händelse p.g.a. av det ofta inte finns någon real grund att förutse en attack. Desto mer företag och organisationer som använder outsourcade eller managerade molntjänster och SaaS tjänster, desto viktigare kommer aspekter av IT säkerhet bli.
Ett hot om en potentiell hackerattack innebär för all iblandade innebär en betydande och obestämd fördröjning och risk i den dagliga verksamheten. Med tanke på det rättsliga ansvaret och ofta oförutsägbara ekonomiska konsekvenserna av ett avbrott orsakat av en hackerattack, är det klokt att se över befintliga force majeure klausuler. Många företag kommer i framtiden förvänta sig det är tydligt och klart vem som får stå för slutnota när en stor hackerattack har inträffat.
Hackerattack – tips på riskhantering
Det är uppenbart att efterlevnad, styrning och riskminimering måste omarbetas från endast vara ett ansvar för IT avdelningen till att bli en fråga för ledningsgruppen, HR, Legal och verksamheten. Tänk på följande:
- Utarbeta processer och verktyg för att kunna upptäcka när och i vilken utsträckning ert företag blivit utsatt för hackerattack;
- Se över er IT- och säkerhetspolicy;
- Se över er policy för hur era anställda får använda olika appar, SaaS-tjänster och molnlagringstjänster (s.k. ”Shadow IT”), vilka anses vara tillräckligt säkra och vad väljer ni att förbjuda?
- Se över företagets ansvarsförsäkringar för att säkerställa att risk och kostnad för hackerattack omfattas;
- Är ni skyddade mot ansvar och kostnad för hackerattacker i förhållande till era leverantörer och kunder? Se över era allmänna villkor för inköp, konsulter och ramavtal för att se till att inte ni ensamt bär ansvaret.
Juridiskvägledning.se är en blogg med serie av inlägg om IT-juridik, internetjuridik som tillhandahålls av affärsjuridiska byrån Sharp Cookie Advisors, vars juridiska tech team rådger ledande techföretag.
För att veta mer om Sharp Cookie Advisors, eller om du har frågor om hackerattacker, personuppgifter, eller behöver hjälp att förbereda ert företag för de nya dataskyddsreglerna, klicka här.