Risikerer krav etter slapp sikkerhet

Risikerer krav etter slapp sikkerhet

Hvis din bedrift videresender en virusinfisert epost som skader andre, risikerer du å måtte betale erstatning, mener Jon Bing.
Myndigheter i flere land arbeider med å etablere lover og regler mot spredning av datavirus og spam (uønsket epost). Disse lovene er opprettet for å straffeforfølge opphavsmennene. Men det er svært vanskelig å spore seg frem til personene som lager slike skadelige programmer.

Professor Jon Bing ved juridisk fakultet på Universitetet i Oslo hevder imidlertid at bedrifter og privatpersoner som ikke beskytter seg tilstrekkelig, også risikerer straff.

-- Det er fullt mulig at en som sikrer seg for dårlig, kan bli gjort ansvarlig, sier Bing til Computerworld.

Skaper presedens

Bing viser til en dom i forbindelse med en bedrageri-sak. Her var det en person som svindlet til seg penger med kredittkort fra bensinstasjon-kjeder. Måten han gjorde dette på var å sette opp en falsk postkasse, for så å få kredittkortene tilsendt til denne adressen. Personen skrøt av sin svindel også til andre. Dette medførte at flere utnyttet samme metode.

Før ugjerningen ble oppdaget, var bensinstasjons-kjedene svindlet for millioner.

Bedrageren ble dømt. Men bensinstasjon-kjedene fikk ikke erstattet alle sine tap. Grunnen var at de ikke hadde ringt eller undersøkt på noen måte om adressen de sendte kredittkortene til var ekte.

-- De hadde ikke tatt de nødvendige forholdsregler for å sikre seg. Dermed hadde de medvirket til egen skade, sier Bing.

Bing hevder denne dommen kan få betydning for skadeverk som følge av datavirus og spam.

-- Jeg mener det ikke bare er den som er opphavsmannen til viruset som kan bli gjort erstatningspliktig, men også de som ikke tar ansvaret for egen innboks og beskytter denne, sier Bing.

Videresender du eller din bedrift en epost med virus, som andre åpner og blir påført skade eller lider økonomiske tap, kan du ifølge Bing bli erstatningspliktig. Med andre ord så opptrer du ifølge Bing uaktsomt hvis du ikke beskytter deg mot spam og virus.

Vil skjule feil

Sikkerhetsrådgiver Stein Møllerhaug i Symantec mener mange bedrifter ikke er redd for å bli straffeforfulgt som følge av uaktsom datasikkerhet. Ifølge Møllerhaug hersker det en slags "det hender ikke meg"-holdning i næringslivet.

Bedriftene vil heller ha hjelp til å dysse ned saker der de selv har fått virus eller har påført andre skade som følge av dårlig datasikkerhet.

-- Det er et paradoks at i stedet for å hindre at sikkerhetsglipper skjer igjen, blir vi bedt om å grave det ned så godt som mulig, sier Møllerhaug.

Men Møllerhaug mener mange revisorer er i ferd med å våkne.

-- Mange av Norges største bedrifter får påpakning av sine revisorer om uforsvarlig it-drift, sier Møllerhaug.

Anmeld saken

Et klassisk problem som mange bedrifter sliter med er ifølge Møllerhaug innleide konsulenter. De kan komme inn med en pc full av virus. Så kobler de seg på nettverket. Dermed har kunden et nettverk fullt av virus.

-- I stedet for å dysse ned en slik sak så bør den politianmeldes, sier Møllerhaug.

Han tror det ikke vil gå lang tid før vi får en rettsak på dette i Norge. Men denne vil trolig gå lang tid i rettsapparatet.

-- En bedrift som blir anmeldt for å være uaktsom på sikkerhetssiden, vil normalt føle seg urettferdig behandlet og sikkert anke saken til Høyesterett. I så fall tar det sikkert et par tre år før vi får en rettskraftig dom på området, sier Møllerhaug.