Hackerangreb bliver dyrt for advokatfirma

Et advokatfirma blev for mere end to år siden udsat for et ransomware-angreb. Formålet med angrebet var afpresning, og i den forbindelse blev virksomhedens IT-systemer sat ud af drift og låst. Afpresningen bestod herefter i, at virksomheden skulle betale en løsesum for at få adgangen tilbage igen.

Virksomheden anmeldte hurtigt hackerangrebet som et databrud til Datatilsynet. Hackerne havde nemlig haft adgang til virksomhedens servere, som indeholdt oplysninger om virksomhedens klienter og modparter. Bruddet indebar derfor en alvorlig risiko for de pågældende, selvom virksomheden ikke fandt spor af, at oplysningerne var blevet kopieret under angrebet. Samtidig var en begrænset mængde data, der hverken vedrørte klienter eller modparter, gået tabt.

Basale sikkerhedsforanstaltninger manglede

Datatilsynet konstaterede, at virksomheden ikke havde sørget for at implementere helt basale sikkerhedsforanstaltninger ved opsætning af fjernadgang til IT-systemet med de fortrolige personoplysninger. Oplysninger skal altid behandles på en måde, der forhindrer uautoriseret adgang til eller brug af oplysningerne. Det indebærer, at virksomheder skal vurdere de risici, som behandling indebærer, og sørge for at implementere tiltag, som reflekterer risikoen for blandt andet hackerangreb.

Ved opgørelsen af bødeniveauet lagde Datatilsynet på den ene side vægt på, at virksomheden ikke havde implementeret de sikkerhedsforanstaltninger, der som minimum kunne forventes ved fjernadgang til et system med så beskyttelsesværdige personoplysninger.

På den anden side bemærkede Datatilsynet, til virksomhedens fordel, at virksomheden på tidspunktet for hackerangrebet havde været i gang med at implementere en multifaktor-autentifikationsløsning. Datatilsynet lagde også vægt på, at virksomheden havde været meget samarbejdsvillig.

IUNO mener

Mange forskellige elementer kan påvirke risikoen for at blive udsat for hackerangreb. I begyndelsen af coronaviruspandemien blev mange virksomheder særligt udfordrede af de nye hjemmekontorer, der pludseligt skulle op at køre. Andre helt mere sædvanlige elementer som eksempelvis nye systemer eller den teknologiske udvikling generelt gør dog også, at virksomheder nærmest uafbrudt bør have fokus på, om de sikkerhedsforanstaltninger, der er på plads, er tilstrækkelige.

IUNO anbefaler, at virksomheder løbende kontrollerer med deres IT-systemer og overvejer, om der er tilstrækkelig beskyttelse, herunder ved brug af sikkerhedsforanstaltninger som kryptering eller multifaktorlogin. Det er især vigtigt for virksomheder, der sidder inde med meget fortrolige oplysninger. Derudover bør virksomheder også have procedurer på plads for håndtering af eventuelle hackerangreb.

[Datatilsynets politianmeldelse af SIRIUS advokater af 14. juli 2022]