Cyberkriminalitet er en stadig større trussel i erhvervslivet og dermed på nethinden hos både topchefer, myndigheder og ikke mindst de danske advokater, som ofte står i front, når der sker angreb og sikkerhedsbrud hos danske virksomheder.

”Truslen er øget over de seneste år, og set fra et forretningsmæssigt perspektiv er det et område i vækst,” siger Thomas Munk Rasmussen, der er partner i Bech-Bruun med speciale i persondataret og immaterialret, til AdvokatWatch.

Stadig flere virksomheder oplever nemlig brud på it-sikkerheden. Ifølge tal fra Danmarks Statistik er der tale om en stigning fra 10 til 26 pct. af virksomheder, der i perioden fra 2019 til 2022 har oplevet enten eksterne angreb eller selvforskyldte hændelser. 

Frygten for cyberangreb er da også til at tage og føle på i dansk erhvervsliv. En undersøgelse blandt virksomheder i Norden viser, at hver anden danske virksomhedsleder frygter et lammende angreb. Men hvad så, hvis uheldet er ude?

Thomas Munk Rasmussen er en del af et såkaldt First response unit, som Bech-Bruun de seneste syv år har haft som et samarbejde med flere internationale forsikringsselskaber, herunder AIG og CNA Hardy. Så når uheldet er ude hos en forsikret virksomhed i Danmark, så aktiveres Bech-Bruun automatisk.

”Vores rolle under en hændelse er som projektleder. Vi sørger for at vurdere, hvem der skal inddrages, og styrer forløbet fra start til slut,” siger Thomas Munk Rasmussen, der i samme ombæring oplyser, at de håndterer et sted mellem 60 og 80 sikkerhedsbrud i den rolle om året.

I nogle af de sager, som Thomas Munk Rasmussen er involveret i, ender virksomheden under angreb med at betale de kriminelle for at få dem til at aflevere ”nøglerne tilbage” til de informationer eller data, som de har tvunget sig adgang til.

Det er dog ikke helt ligetil at afregne med de lyssky hackere, der oftest tager sig betalt i kryptovaluta for at undgå sporing.

”Første gang, jeg konkret skulle være med til at betale 2 mio. euro i bitcoins, gav det da lidt udfordringer. Det er jo ikke noget, vi lærer på jurastudiet, hvordan man betaler kriminelle på the dark web,” siger partneren.

Hos Bech-Bruun er det enten partner Susanne Stougaard, senioradvokat Emil Marburger eller Thomas Munk Rasmussen selv, man ender på linjen med, hvis man ringer op til det døgnbemandede nummer, der er forbeholdt de virksomheder, der er tilknyttet en forsikring med advokatfirmaet som samarbejdspartner.

Mest forebyggende arbejde

Hos Kromann Reumert samarbejder man ikke med forsikringsselskaber om cyberforsikringer, som tilfældet altså er hos konkurrenterne i Bech-Bruun. Her ser man rådgivning om cyberkriminalitet som havende to ben, hvoraf det største klart er forebyggelse og sikkerhed. 

”Vi laver mest forebyggende cyberarbejde og heldigvis for det, men typisk er de, der ringer med en mere krise-lignende situation, folk, som er blevet taget lidt med bukserne nede,” siger Søren Skibsted, der er partner og leder af firmaets teknologi- og outsourcing-afdeling.

Søren Skibsted står desuden i spidsen for teknologikomitéen i den internationale sammenslutning af advokater, International Bar Association (IBA), og er blandt andet medforfatter på en ny vejledning fra organisationen om beskyttelse mod cyberrisici.

Han forklarer, at det som oftest ikke er klienter, der i forvejen har fået forebyggende cyberrådgivning hos advokatfirmaet, der ringer med akutte problemer. Når uheldet endelig er ude, er det ofte ham selv eller partnerkollegerne Kristian Storgaard og Christel Teglers, der fører an i operationen.

”Afhængigt af hvor klienten er i forløbet, og hvad sagen drejer sig om, så får vi som projektleder samlet en gruppe af centrale personer, og så tager vi ud til virksomheden,” siger han og forklarer, at den tætte gruppe oftest består af i hvert fald virksomhedens topledelse, eksterne teknikere og typisk tre-fire af Kromann Reumerts folk.

Søren Skibsted ønsker ikke at oplyse, hvor mange sikkerhedsbrud de håndterer hos Kromann Reumert om året, eller hvilke klienter advokathuset tidligere har assisteret.

Krypterer data

Når virksomheder oplever et angreb, så er det ifølge Søren Skibsted ofte data, der bliver krypteret, og som de ubudne gæster på den måde forhindrer virksomheden i at få adgang til. 

En sådan lammelse af virksomheden kan give flere forskelligartede problemer, og derfor skal oftest flere forskellige juridiske områder i spil i rådgivningen.

Problemer med GDPR, ansvar over for leverandører, erstatningskrav fra samarbejdspartnere, brud på kontrakter i forbindelse med driftsforstyrrelser er bare nogle af de aspekter, som kan komme i kølvandet på et hackerangreb.

Kompleksiteten kan dermed også gøre tidshorisonten for at afhjælpe problemet forskellig alt afhængigt af, om der betales den ofte fremsatte løsesum eller ej, eller om virksomheden har en backup af sin data, lyder det fra Søren Skibsted, der ved sikkerhedsbrud ”regner i uger eller måneder”. 

Thomas Munk Rasmussen fra Bech-Bruun kan nikke genkendende til forskelligeheden i både arbejdsopgaver og tidsomfang.

”Nogle gange kan det fikses indenfor få dage, hvis det er mindre alvorligt, men så er der også andre typer sager. I øjeblikket har vi én der kører på sjette måned, fordi der opstår flere retslige spørgsmål i kølvandet på hændelsen,” siger han.

Via London

På det internationale advokatfirma Kennedys’ danske kontor er samarbejde med forsikringsselskaber og hurtig afvikling af cyberproblemer også en del af hverdagen. Efter samme opskrift som Bech-Bruun er advokatfirmaet, der blandt andet har speciale i forsikringsret, også på pletten, når uheldet er ude for virksomheder.

Men hos Kennedys, der har 12 ansatte i Danmark, går kontakten over London – mere konkret igennem det britiske firma NGS Northcott, som får de første informationer og derefter alarmerer Kennedys hvis nødvendigt, forklarer advokat Thomas Arleth.

Der kan dog være forskellige konstellationer, når de rykker ud.

”Jeg har haft en multinational virksomhed i Danmark, der havde et sikkerhedsbrud, hvor teknikerne sad i New York, og projektledelsen blev lavet fra vores Singapore-kontor. Der skulle jeg egentligt ”bare” fungere som boots on the ground herhjemme,” siger Thomas Arleth.

Han forklarer i samme ombæring, at den første akutte fase oftest ikke kræver direkte juridisk rådgivning – udover muligvis akut GDPR-rådgivning og eventuelt en anmeldelse til Datatilsynet.

Han ønsker ikke at oplyse, hvilke forsikringsselskaber advokatfirmaet har et cybersamarbejde med, eller hvor mange aftaler de indgår i, men det er ifølge Thomas Arleth ”flere forskellige”.