Nylig gikk en spesiell rettssak i Haugaland og Sunnhordland tingrett.

Den 21. april 2021 ble Nordlo utsatt for et cyberangrep.

Hackere fra Østerrike og Taiwan logget seg inn med brukerkontoen til en av Nordlos kunder som ledet til en av selskapet terminalservere.

Det er ikke kjent hvordan trusselaktørene fikk tak i denne kundens påloggingsdetaljer, men trolig via en såkalt phishing e-post.

Krevde 60 millioner kroner

Det var ikke bare et enkelt virus som ble installert i systemene, men en gruppering av hackere som fikk tilgang til denne kundens brukerdetaljer.

Hackerne har jobbet aktivt for å iverksette flere omfattende angrep mot Nordlo sine systemer, ifølge retten.

Hendelsen ble oppdaget kort tid etter angrepet ble satt i gang. Nordlo tok så kontakt med trusselaktørene i form av å oppgi en e-post-adresse i en link.

De fikk da et krav på 116 bitcoin, som utgjør 50–60 millioner kroner. Kravet ble ikke betalt.

– Still gode krav til leverandører

Ifølge Nasjonal Sikkerhetsmyndighet (NSM), kjenner de ikke til lignende saker som har vært i rettsvesenet. De har heller ingen oversikt over hvor mange slike type angrep det har vært mot norske bedrifter.

Nestleder for Nasjonalt cybersikkerhetssenter (NCSC) i NSM, Gullik Gundersen, sier til NRK at det stadig blir mer vanlig for norske bedrifter å bruke leverandører til IT-sikkerhet.

Problemet hos mange bedrifter er at de ikke er flinke nok til å stille krav til disse underleverandørene.

– Det er veldig viktig for disse bedriftene å vite hvilke verdier de har for å kunne beskytte dem. Man kan aldri være helt sikker på at man ikke blir utsatt for dataangrep, men man kan gjøre mye for å bli sikrere. Det handler blant annet om å stille gode krav til leverandører, sier han.

Gundersen sier at de for øyeblikket ser at det er et høyt aktivitetsnivå hos hackere. I midten av oktober kommer en nasjonal rapport, som viser trender, utvikling og tall.

– Det er et ganske skjerpet risikobilde for norske bedrifter nå, sier han.

Gundersen kjenner ikke til den nevnte saken, men uttaler seg på generell basis.

Mener de tapte 4,5 millioner kroner

Som følge av cyberangrepet mistet tre av Nordlo sine kunder tilgang til systemene sine i lengre tid.

Dette gjorde at de, ifølge egne beregninger, tapte rundt 4,5 millioner kroner.

Selskapene krevde derfor erstatning fra IT-selskapet de brukte etter at IT-selskapet selv ble offer for cyberangrep.

Selskapene mener Nordlo har utvist grov uaktsomhet ved å ha brutt avtalen.

De mener at Nordlo skulle ha vært kjent med at et cyberangrep var en risiko, eventuelt ha gitt klar beskjed om at selskapet ikke tilbød sikkerhet rundt et cyberangrep.

Nordlo forklarer at da alarmene gikk ble datasenteret avstengt kort tid etterpå. Via sin forsikring kom IT-selskapet Atea inn for å bistå, og bare 4 av 250 kunder mistet sine data.

De påpeker også at angrepet var utenfor deres kontroll. Samtidig mener selskapet at tapet til kundene er udokumenterte.

Retten er enig med Nordlo. De har ikke handlet grovt uaktsomt.

– Som retten har bemerket tidligere, er det rettens oppfatning at Nordlo hadde tilstrekkelig og god sikkerhet, og at det må tas hensyn til at misligholdet er en følge av et målrettet hackerangrep fra utenlandske profesjonelle aktører, skriver tingretten i sin dom.

Må betale saksomkostninger

Retten mener derfor at sikkerhetsselskapet handlet riktig og har vunnet saken. Men ikke fullt ut.

De tre selskapene er derfor dømt til å betale Nordlo sine saksomkostninger på rett i underkant av 800.000 kroner.

– Vi er fornøyde med utfallet. Dommen er også som vi forventet. Vi ser på dette som at vi har fått fullt medhold, sier Nordlo sin advokat, Tage Brigt Skoghøy i DLA Piper til NRK.

Sikkerhetsselskapet blir dømt til å betale erstatning for tre månedsleier, som er i samsvar med inngått avtale med de tre bedriftene.

– Vi har ikke fått satt oss ned og vurdert dommen grundig enda. Retten har gitt oss medhold i at Nordlo har misligholdt sine forpliktelser overfor disse tre kundene. Nå kommer vi til å bruke litt tid på å vurdere dommen og ta stilling til om vi skal anke eller ikke, sier de tre selskapenes advokat, Toralf Haver til NRK.