Ransomware

Gjelder pliktene etter kontrakter ved cyberangrep?

Hva vil cyberangrep, som et datainnbrudd, et digitalt angrep (som DDoS-angrep) eller ondsinnet programvare som ødelegger data eller systemer medføre for gjennomføringen av en kontrakt? Må leverandøren levere og kunden betale selv om det blir betraktelig vanskeligere eller kanskje umulig å gjennomføre kontrakten? Kan det kreves erstatning? Eller gjelder ikke pliktene i slike «unntakssituasjoner»? Hvordan man skal forholde seg til kontrakter ved et cyberangrep blir dessverre en mer og mer praktisk problemstilling for kunder og leverandører. Gjelder reglene om at partene i en kontrakt ikke forpliktet til å yte etter prinsippene om fritakelsesgrunner (force majeure) etter norsk kontraktsrett?

Angrep og sabotasje mot selskaper og samfunnets infrastruktur øker i omfang, og etterhvert som vi blir mer avhengig av digitale løsninger i hverdagen, vil systemer og løsningers tilgjengelige for enkeltpersoner og selskaper være av stor betydning. Enkelte tror det vil skje et digitalt 9/11 innen kort tid, og digital krigføring har vi allerede sett ved USAs angrep på Iranske atomkraftverk og Russlands angrep på Ukraina. At angrep kan ramme norske virksomheter er ikke utenkelig, enten det er som ledd i utpressing, rettet sabotasje, «guttestreker» eller organisert handling fra andre selskap, organisasjoner eller myndigheter.

Rammes en leverandør av it-tjenester og digitale ytelser av cyberangrep, kan det medføre leverandøren ikke kan yte det denne er forpliktet til etter kontraktene med sine kunder. Kan kundene da kreve å likevel motta ytelsene eller kan kundene kreve erstatning for at leverandøren ikke kan levere? Er det en kunde som rammes av cyberangrep, vil dette kunne medføre at kunden ikke kan motta leveranser fra leverandører, som at et it-system som skal installeres. Vil leverandøren kunne kreve å få betalt for systemet selv om det ikke leveres eller erstatning selv om kunden er utsatt for cyberangrep?

Force majeure, eller «fritakelsesgrunner» som det kan kalles på norsk, er at pliktene etter en kontrakt kan ikke oppfylles eller blir vanskeligere å oppfylle på grunn av utenfrakommende og ekstraordinære forhold som partene i kontrakten ikke kan ha regnet med da kontrakten ble inngått. Konsekvensene av en force majeure-hendelse er at partene ikke plikter å yte; leverandøren plikter ikke å levere sine ytelser, og kunden plikter ikke betale. Kontrakten settes altså «på vent». Force majeure er et generelt prinsipp i norsk kontraktsrett, så det gjelder enten det er tatt inn i kontrakten eller ikke.

Force majeure er fransk for «massiv kraft» som sier noe om hendelsen som må inntreffe, og på engelsk kalles det «Act of God» (hvilket en digital jihadist vil mene han utfører) som viser at det må være en handling som ligger utenfor partenes kontroll og rekkevidde. Det som karakteriserer force-majeure hendelser er at de er sjeldnevanskelig å forutse og har så stor betydning for kontraktens gjennomføring at det blir umulig eller betraktelig vanskeligere å oppfylle kontrakten. De «klassiske» tilfellene av force majeure er krig, terror, streik, ekstreme naturfenomener som oversvømmelse osv. Terror er trolig det tilfelle som har mest til felles med at en virksomhet utsettes for cyberangrep, og akkurat som terrorangrep så er dette noe som ikke er utenkelig, men som allikevel kan være vanskelig å forutse.

Om digital sabotasje eller terrorhandling er å regne som en force majeure-hendelse og fritar dermed partene i en it-kontrakt for pliktene etter kontrakten, er et spørsmål som ikke er helt klart juridisk. Utgangspunktet etter norsk rett er at avtaler skal holdes, og det er kun i spesielle unntakstilfelle (som ved force majeure) at partene ikke plikter å holde det de har avtalt. Derfor er terskelen for hva som skal være å regne som en force majeure-hendelse høy, og det må vurderes i det enkelte tilfelle om hendelsen, som cyberangrepet, er å så graverende at det kan regnes som en force majuere hendelse og frita partene for pliktene.

Som enkelte andre force majure-hendelser, kan man i større eller mindre grad verne seg mot cyberangrep. Graver man ikke grøfter, er man mer disponert for å få skader som følge av flom, og har man ikke en tilstrekkelig god brannmur, så er man mer utsatt for cyberangrep. Egne og egnede tiltak spiller altså inn om det man kan sies å rammes av et cyberangrep, og reglene om force majeure må ikke være en sovepute for kunder og leverandører. Cyberangrep skjer hele tiden og stadig oftere, og enkelte virksomheter er mer utsatte (eksempelvis så avverger Telenors sikkerhetssenter flere tusen cyberangrep hvert år). Hvilke tiltak som iverksettes avhenger av virksomheten, ved at en leverandør må forventes å ha bedre tiltak enn en kunde. Tiltakene må også tilpasses den forventede risikoen virksomheten utsettes for, også i fremtiden, og det vil kun være cyberangrep som ligger et godt stykke unna det som kan forventes som kan regnes som force majeure-hendelse. Et massivt DDoS-angrep vil enkelte bedrifter måtte regne med, og å derfor ha DDoS-sikring vil være noe som normalt må være på plass, ihvertfall for it-leverandører. Et DDoS-angrep som er utenfor det normale og som en vanskelig kan verne seg mot, vil derimot være en force majeure-hendelse.

Videre kan ikke interne forhold regnes som et cyberangrep, siden det må være noe som kommer utenfra virksomheten. Har en ansatt uforvarende fått installert skadelig programvare, kan dette være et forhold som ikke anses som force majeure. Men her er det uklare grenser, og er skadevaren kommet inn gjennom eksterne lagringsmedier (som minnepinne eller telefon) og normale forholdsregler er tatt for å forhindre skade, som oppdatert virusprogramvare, så kan det allikevel regnes som en force majeure hendelse.

Er man bedre stilt om man tar med at «cyberangrep» skal regnes som en force majeure-hendelse i kontrakten? Ja, det vil man stort sett være, men det vil ikke innebære at ethvert cyberangrep er å regne som force majeure. Man må allikevel ha de sikringstiltakene som er nødvendig for at vilkårene om at hendelsen er ekstraordinær og noe man ikke kan ha regnet med. Det kan være gode grunner å regulere at et cyberangrep er en force majeure-begivenhet, men man bør da også regulere klarere hva som regnes som et cyberangrep, og spesielt hvilke konsekvenser cyberangrepet skal ha for at det skal regnes som force majeure (som at leverandørens systemer er fullstendig utilgjengelige).

For mer om hvilke cyberangrep som kan være sannsynlige, så gir Nasjonal sikkerhetmyndighets rapport «Helhetlig IKT-risikobilde» mye god informasjon.