Fróðleikur
Lögmenn LEX eiga í nánu samstarfi við viðskiptavini, hafa frumkvæði í lausnum og ráðgjöf, faglegri nálgun verkefna og stöðugri umbótahugsun.
LEX hefur um langt skeið veitt fyrirtækjum, opinberum stofnunum og einstaklingum víðtæka þjónustu á öllum sviðum og eru lögmenn LEX á meðal fremstu sérfræðinga landsins á sviði persónuverndar, hugverka-, fjarskipta- og upplýsingatækniréttar og veita alhliða þjónustu á þessum réttarsviðum.
Þá býður LEX einnig upp á sérhæfða þjónustu til fyrirtækja sem fást við þróun hugbúnaðar og gervigreindar, gerð gagnagrunna eða notast við tæknilausnir í störfum sínum og veita auk þess þjónustu á sviði rafrænna viðskipta og fjártækni
Gagnagíslataka og ábyrgð stjórnenda
24. maí, 2022Gagnagíslataka og ábyrgð stjórnenda. Grein eftir Láru Herborgu Ólafsdóttur sem birtist í viðskiptablaði Morgunblaðsins þann 3. nóvember 2021.
Flestir hafa ekki farið varhluta af nýlegum fréttum um netárásir hérlendis, en þeim hefur fjölgað mjög að undanförnu. Raunar er það svo að fæstar netárásir rata í fréttir og mörg fyrirtæki bera harm sinn í hljóði. Netárásir eru mun algengari og ófyrirsjáanlegri en áður þekktist og geta valdið umfangsmiklu fjárhagstjóni auk þess sem einstaklingar eiga á hættu að persónuupplýsingar þeirra rati í rangar hendur. Því er ekki úr vegi að reifa hvenær stjórnarmenn fyrirtækja geta bakað sér bótaábyrgð þegar félög verða fyrir netárásum.
Stjórnarmönnum og framkvæmdastjórum er samkvæmt hlutafélagalöggjöf skylt að bæta hlutafélagi það tjón er þeir hafa valdið félaginu í störfum sínum, hvort sem er af ásetningi eða gáleysi. Sama gildir þegar hluthafi eða aðrir, t.d. kröfuhafar, verða fyrir tjóni vegna brota á ákvæðum laga eða samþykktum félags. Þegar sök einstakra stjórnarmanna er metin í slíkum tilvikum er jafnan miðað við vitneskju á þeim tíma sem ákvörðun var tekin, ráðstöfun átti sér stað eða látið var hjá líða að grípa til aðgerða ef tjón má rekja til athafnaleysis.
Dómstólar hérlendis hafa farið varlega í að endurmeta svonefndar viðskiptalegar ákvarðanir félaga. Hafi stjórnarmaður tekið ákvörðun í góðri trú, með hagsmuni félagsins að leiðarljósi, þá getur slík ákvörðun almennt ekki leitt til bótaábyrgðar, jafnvel þótt ákvörðunin reynist síðar hafa verið slæm og leitt til tjóns fyrir félagið. Þessu kann þó að vera öðruvísi farið þegar ákvarðanir stjórnarmanna brjóta bersýnilega gegn lögum eða samþykktum félags, svo sem hvað hagsmuni félagsins áhrærir.
Netárásir geta verið margvíslegar en einna skæðustu tegundirnar eru svokallaðar gagnagíslatökur (e. ransomware). Gagnagíslatöku má lýsa sem svo að brotist er inn í tölvukerfi þar sem komist er yfir gögn sem eru í framhaldi dulkóðuð fyrir tilstilli svonefndrar óværu. Oft nýta hakkararnir sér þekkta veikleika í kerfum en einnig er algengt að höfðað sé til einstaklinga með því að senda sýkt skjöl eða hlekki í tölvubréfi. Vilji sá sem fyrir barðinu verður á slíkri háttsemi nálgast gögn sín á nýjan leik þarf viðkomandi að greiða lausnargjald til hinna óprúttnu aðila.
Oftar en ekki skal greiða slíkt lausnargjald með rafmynt á borð við bitcoin, þar sem erfitt getur verið að rekja slíkar greiðslur. Mörg þekkt dæmi eru um að fyrirtæki greiði há lausnargjöld, en eigendur olíuleiðslunnar Colonial Pipeline greiddu t.d. rúmlega hálfan milljarð króna til að losna úr klóm hakkara og endurheimta gögn. Þá eru vísbendingar um að tæknifyrirtækið Garmin hafi greitt um 1,3 milljarða króna vegna gagnagíslatöku á síðasta ári. Hins vegar skal gjalda varhug við að greiða lausnargjald enda hefur reynslan sýnt að engin trygging er fyrir endurheimt gagna sé greiðsla innt af hendi auk þess sem oft er slík ráðstöfun einungis byrjunin á frekari fjárkúgunum.
Eftir því sem netárásir verða sérhæfðari og rafrænum ógnum fjölgar er mikilvægt að fyrirtæki séu vel í stakk búin til að takast á við árásir af þessu tagi, og séu með öflugt netöryggi og raunhæfar viðbragðsáætlanir. Algengt er orðið að stjórnir fyrirtækja leiti ráðgjafar og formlegra úttekta öryggisfyrirtækja og setji á fót netöryggisstefnu sem ætlað er að verja gögn fyrir innri og ytri ógnum og stuðla að upplýsingaöryggi. Huga þarf að atriðum á borð við lagskiptingu kerfa, aðgangsstýringu og þjálfun starfsfólks. Þá hefur færst í aukana að hinir óprúttnu aðilar eyðileggi afrit gagnanna áður en þau eru dulkóðuð, svo nær ómögulegt getur verið fyrir viðkomandi að nálgast gögnin sín aftur án þess að greiða lausnargjaldið. Því er afar mikilvægt að örugg afritun gagna sé til staðar og að afrit séu aðskilin frá framleiðslukerfum, til að tryggja að þau glatist ekki, en slíkt getur reynst dýrkeypt.
Störf stjórnenda og viðeigandi ábyrgð þeirra verður hverju sinni að taka tillit til þess síbreytilega umhverfis sem félög starfa í. Í núverandi viðskiptaumhverfi, þar sem öryggisógnum fer fjölgandi, verður að telja eðlilegt að stjórnendur fyrirtækja geri markvissar ráðstafanir til að tryggja öryggi þeirra upplýsinga sem félagið hefur undir höndum, þ.m.t. að félagið starfi í samræmi við lög og reglur. Hafi engar slíkar ráðstafanir verið gerðar af hálfu stjórnar má leiða að því líkur að stjórnarmenn geti eftir atvikum borið ábyrgð á tjóni af völdum netárása. Er slíkt auk þess í samræmi við úrlausnir erlendra dómstóla sem fjallað hafa um sambærileg sakarefni.
Til baka í yfirlit