Hvordan sikre cybersikkerhet i leverandørkontrakter?
Cyberkriminalitet er en utfordring som bare vokser. Både handlinger i vinnings hensikt, terrorhandlinger, spionasje og tyveri av data er cyberangrep som man må bygge forsvarsverk mot. Et av områdene som er en potensiell vei inn i systemene er leveranser av produkter og tjenester. Vi har tatt en prat med Kristian Foss, som er partner i Bull & Co Advokatfirma. Kristian Foss er spesialisert på hvordan man ivaretar cybersikkerhet i leverandørkontrakter.
Cybersikkerhet har økt oppmerksomhet
Du har arbeidet mye med anskaffelser og har lang erfaring. Ser du noen endringer i forhold til cybersikkerhet, er det økt oppmerksomhet på dette når det kommer til anskaffelser?
Ja, det gjør jeg, særlig hos erfarne innkjøpere. Jeg tenker det er i alle fall tre drivere som har forårsaket endringen. Den første er den enorme økningen i dataangrep kombinert med økt sårbarhet pga. komplekse og stadig mer virksomhets- og samfunnskritiske systemer. Den andre er personvernrettens krav til informasjonssikkerhet. Den tredje er domstolenes skjerping av styreansvaret, som jo kan gi daglig leder og styret personlig ansvar.
Styre og ledelses ansvar
Et selskaps ledelse og styre er ansvarlig for selskapets forretningsmessige drift, og kan i ytterste konsekvens stilles til ansvar for økonomiske feilgrep. Kan ledelsen bli stilt til ansvar ved mangelfull cybersikkerhet?
Ja, det kan de. Det følger av aksjelovene at styre og daglig leder kan bli personlig ansvarlige for sin uaktsomhet. Høyesterett har uttalt at brudd på lovbestemmelser i utgangspunktet vil anses som uaktsomhet. Krav til cybersikkerhet (og mye annet) følger av flere ulike lover. Disse er utfylt av standarder og bransjepraksis. Sover ledelsen i timen, slik at virksomheten ikke er forberedt ved en hendelse, kan de bli personlig ansvarlige for tap som kunne vært unngått.
Kontraktene er det viktigste instrumentet
I forbindelsen med anskaffelser så blir det gjerne sagt at kontrakten er det viktigste instrumentet. I hvor stor grad refereres det i dag til standarder i kontraktsdokumenter for å beskrive cybersikkerhet?
Det refereres i overaskende liten grad til sikkerhetsstandarder. Det tror jeg kommer av manglende kompetanse og bevissthet, og kanskje forståelsen avtalene spiller ved ansvarsfordelingen. Her er forbedringspotensialet stort. Henvisninger til relevante standarder kan være et effektivt og rimelig tiltak for en bedrift.
Lover og forskrifter
Hva med kontraktens forhold til lov og forskrifter. Tas det for gitt at lovverket følges, og hvordan kan man eventuelt ta i bruk standarder dersom det ikke er nedfelt krav i lov eller forskrift?
Henvisning til lov og forskrift er også et effektivt og mye brukt grep i avtalen. Det vil si, angi som krav at leveransen skal være i overensstemmelse med lov og forskrift. Her må innkjøper være forberedt på å hjelpe leverandøren til å få oversikt over hvilke lover og forskrifter som gjelder for kunden. Disse kan gjerne listes opp i avtalen. Av og til blir det en diskusjon om hvem som skal følge med på endringer i reglene. Ofte vil det rimeligste være om kunden, som uansett må følge med på sitt område, tar den oppgaven. Alternativet blir kanskje å måtte betale leverandøren for å følge med, særlig om det er veldig spesielle regler.
Hvordan bør man referere til standarder?
Standardsamlingen NEK 820 beskriver sikkerhet for industrielle automatisering- og kontrollsystemer (IACS). Samlingen tar for seg hele livssyklusen, har risikobasert tilnærming og behandler sikkerhet i policy/prosedyrer, system- og komponentnivå. Dette er en omfattende samling og kan være krevende for innkjøper og leverandør å forholde seg til. Når forespørselen i forkant av en anskaffelse skal skrives, vil det da etter din mening være tilstrekkelig å, for eksempel, bruke NEK 820 som en overordnet referanse, eller må det refereres mer spesifikt til de enkelte delene i samlingen?
Godt spørsmål. Vi får to spørsmål, som henger sammen: Hva kan anses akseptert som del avtalen (vedtatt) og hva kan leverandøren rimeligvis skaffe seg innsikt i? Dersom standardene ikke er alminnelig kjent hos leverandørene og/eller de er kostbare å skaffe seg, kan bare en henvisning skape unødig usikkerhet, særlig om den er overordnet (hele familien av standarder). For både å redusere denne usikkerheten og øke sannsynligheten for at leverandørene faktisk setter seg inn i kravene, er det en fordel å minst angi eksakt hvilken standard i familien man ønsker etterlevet. Helst bør avtalen også fortelle om hva standarden krever, særlig om standarden ikke er godt kjent. Det kan gjøres f.eks. ved å legge ved et faktaark eller sammendrag av standarden, som avtalen så henviser til. Målet må være at reell risiko i avtalen reduseres ved at god kommunikasjon skjer, fremfor at kjøper kanskje vil ha et formelt krav om noe skulle gå galt.
Cybersikkerhet i leveransen
Cybersikkerhet gjelder ikke bare selve produktet eller tjenesten som anskaffes. Det er ofte nødvendig å gi en leverandør tilgang til systemer eller informasjon både i leveranse og vedlikehold. Cybersikkerhet må ivaretas i hele denne verdikjeden og det finnes standarder, eksempelvis ISO/IEC 27036-1 Cybersecurity – Supplier relationships, som man kan støtte seg på. Hva er din erfaring i forhold til at dette beskrives tilstrekkelig i kontraktsdokumentene?
Også dette er et område med stort forbedringspotensiale. De færreste innkjøpere av IT-systemer er kjent med disse standardene, i motsetning til i tradisjonell leveranseindustri som systematisk jobber med standarder på sine områder. Sikringstiltak begrenser seg som regel til bruk av sikre felles samarbeidsplattformer (for å unngå epost) og taushetserklæringer.
Under Cybersikkerhetskonferansen 24. august vil Kristian Foss fortelle mer om cybersikkerhet i leverandørkontrakter. Samtidig vil cybersikkerhetseksperten Christer Berg Johannesen foreta en live hacking for å demonstrere potensielle konsekvenser ved manglende sikkerhet.
Les mer om Cybersikkerhetskonferansen og meld deg på!