ansvar for datasikkerhet
Post on 21-Feb-2017
335 Views
Preview:
TRANSCRIPT
Informasjonsansvar- I 2014 økte antall målrettede dataangrep i Norge med 400 prosent, ifølge sikkerhetsselskapet Symantec. Den globale veksten i samme
periode var åtte prosent.
- slurv med it sikkerhet bør være oppsigelsesgrunn, adv. Christian S. Svensen, DN 08.05.2015
For Software Innovation brukerforum 17. september 2015, Christian S. Svensen adv.
TemaKan du som styremedlem eller leder – eller ansatt ansvarsfritt forholde deg til at virksomheten er under angrep?
Hva er problemet?Hvilket omfang har det?….
Hva er problemet• Bakgrunnsmateriale - aktualitet
– NTT Com Security, Value Research Report 2014• Norstat for First House 2013
– Erfaringstall fra Interpol – Nasjonal sikkerhetsmyndighet (NSM)– Null_CTRL
• Kunnskap om virkning av brudd….– Hvor enkelt det er å opptre uforsvarlig når
man ikke forstår hvilken verdi data utgjør
Hva er problemet… hvilke holdninger har man til «data» som formusgjenstand
Hei! Jeg lurte på hvordan strafferammene er rundt kriminell aktivitet på internett. Mer spesifisert "Hacking". I mine øyne er jeg en erfaren internett bruker og har ved flere anledninger tatt meg inn på, eller tatt kontroll over, nettsider på (så vidt jeg vet) ulovelig vis, men i et flertall av tilfellene med den hensikt å rapportere hvordan jeg har gjort dette til webadministratorene slik at de kan fikse feilen(e) som gjør at noen kan gjøre slik sistnevnte gjorde.
.. samme som for ting og eiendom?
Hva er problemet• Hva utsettes virksomheten for• Datainnbrudd, straffeloven §145• Databedrageri, §270, 271 a.• Informasjonsheleri, §317• Skadeverk, §§291,292, 151 b.• Ulovlig bruk av datakraft / datamisbruk, §261• Dokumentfalsk, §182• (Piratkopiering, åndsverksloven §§2,12, 54)
Hva er problemet– Eks. «data» for offentlig virksomhet
• Personvernlovgivning • Enkeltvedtak • Anbudsopplysninger..
– Konkurransegjennomføringsverktøyet» Passord?
• (..)
Hva er problemet• Forretningskritisk
– Offentlige virksomheter som private• (..)• Target Inc. Electronics 2013
– «… data breach»– Saksøkt for å ikke å ha ivaretatt kundenes
data– «.. 148 mill US lost»– «.. Target CEO loses job after security breach»
Hva er problemet • Makroperspektivet – offentlig virks.
– Tillitt til offentlig forvaltning– Systemkritisk
• Makroperspektivet – privat– Åpenbart virksomhetskritisk
Hvilke løsninger – enkle grep
• Instrukser • IT instruks
– Ved ansettelser– Løpende – «..må foreligge, må håndheves..»
• Varsling– (.)
Enkelte utslag..- dersom overtredelsen er besluttet av selskapets styrende organer, vil foretaksstraff være «særlig sterkt begrunnet», jf.Rt. 2004 s. 1457
(.. også passivitet ved kjennskap til problemet?)
- hensynet til straffens preventive virkning tilsier også at bøtenivået for foretak normalt bør være langt høyere enn for fysiske personer, jf. Ot.prp. nr. 90 (2003-2004)
- Selskapet: - Kun et samlebegrep for den enkeltes handlinger
eller unnlatelser?
Oppsummering - ..det skjer med stadig hyppigere
frekvens- ..det påfører selskaper og
virksomheter betydelige skade, økonomisk som omdømme
- ..relativt enkle grep for å vesentlig redusere fare for tap
…Kan du som styremedlem eller leder – eller ansatt ansvarsfritt forholde deg til at virksomheten er under angrep?• Aksjeloven §§6-12 (forvaltning),6-13(tilsyn),17-1
– «..loven så full av plikter at unnlatelser er det praktiske ansvaret..»
- «..lov å vurdere feil, men ikke å unnlate å vurdere»• Arbeidsmiljøloven §15-7, Tjenestemannsloven kap. II
– .. IT ansvarlige?– .. Ansatte med «gule lapper»?
• Instruks, advarsel
top related