21. april 2021: I nattens mulm og mørke brøt personer i Østerrike og Taiwan seg inn på nettverket til den lille IT-leverandøren Nordlo Haugesund.
Utstyrt med brukernavn og passord fra en av Nordlos kunder, var innbruddet en relativt enkelt sak. Hackerne logget seg ubemerket inn, og så ut igjen.
Først da de igjen logget seg på 16 timer senere og angrep med et løsepengevirus, gikk alarmen hos Nordlo. Angrepet ble stoppet.
PÅGREPET: Tidligere denne sommeren ble et medlem av en hackergruppen Ryuk pågrepet i Ukraina og utlevert til USA. Gruppen har skapt massive ødeleggelser i Frankrike, Norge, Tyskland, Nederland, Canada og USA.
Foto: Ukrainsk politiDa virksomheten senere gjorde opp status, hadde fire av kundene mistet all data. Alle filer og dokumenter var borte.
– Det var en veldig krevende situasjon. Vi jobbet dag og natt i en måned etter hendelsen, sier daglig leder Tore Solberg i Nordlo.
Blant kundene var industribedriften Btec, som mener de tapte opptil 62 millioner kroner på angrepet.
Hvem tar regningen?
2. juni 2025: Drøyt fire år etter angrepet møttes Nordlo og Btec i retten. Tidligere hadde et malerfirma, et eiendomsselskap og en importør av helseprodukter saksøkt Nordlo – og tapt.
Hvem skulle ta ansvar for tapene?
Btec mente at Nordlo hadde ansvaret, ettersom IT-sikkerheten var altfor svak. Bømlo-bedriften mente at Nordlo ikke hadde levert sikkerhetskopier og backup som forventet.
En ekspertvurdering fra konsulentselskapet Defendable ga Btec støtte, og pekte på at Nordlo hadde:
- Svært svak tilgangskontroll
- Svært svak kontroll over nettverkstrafikk
- Mangelfull logging og overvåking av kritiske systemer
- Dårlige rutiner for sikkerhetskopiering
HACKERE: Hackergruppen som stod bak angrepet mot Nordlo heter Ryuk. Retten la betydelig vekt på profesjonaliteten av angrepet, der både antivirusprogram og varslinger ble slått av.
Foto: Adobe StockBtec mente derfor at Nordlo skulle betale en erstatning på 60 millioner kroner.
Nordlo på sin side mente at de hadde levert i tråd med forventningene, og at cyberangrepet var utenfor deres ansvar og kontroll.
IT-leverandøren argumenterte tvert imot med at Btec selv hadde skylden for at angrepet fikk så store konsekvenser for deres virksomhet.
– En kan alltid påpeke svakheter etter et angrep. I denne saken handler det om at man må se på hva som er kjøpt. Hvis man vil ha en annen løsning med høyere sikkerhet, er det høyere priser som gjelder, sier Nordlo-sjef Solberg til NRK.
Tapte – og må ut med 2,1 millioner
Det viste seg at Btec og Nordlo aldri signerte en egen skriftlig avtale, noe som gjorde at Btec ble bundet av IT-leverandørens standardkontrakt.
Hackerne klarte å komme seg inn i systemene til Nordlo, men klarte ikke å ta over backupløsningen.
Industribedriften kunne selv ha tatt grep som kunne hindret at all dataen gikk tapt, ifølge retten. Og derfor måtte de selv ta støyten.
Btec fikk ikke medhold i erstatningskravet på 60 millioner kroner.
Retten påpekte at Btec betalte i underkant av 3000 kroner per måned for Nordlos tjeneste. Den lave månedsleien stod ikke i samsvar med ansvaret og forretningsrisikoen på over 60 millioner kroner.
Ettersom Nordlos tjenester lå nede en stund etter angrepet, ble IT-leverandøren dømt til å betale 8280 kroner for å ha misligholdt sin del av kontrakten.
Btec ble på sin side dømt til å dekke kostnadene til Nordlo knyttet til rettssaken.
Saksomkostningene kom på over 2,1 millioner kroner, og var knyttet til advokathjelp fra DLA Piper.
Det er ikke kjent om Btec vil anke saken. NRK har uten hell forsøkt å komme i kontakt med daglig leder Øystein Onarheim Rolfsnes i Btec.
Mener små bedrifter må lære av hendelsen
Gøran Tømte er selvstendig sikkerhetsrådgiver, og har blant annet vært medlem i det regjeringsnedsatte Forum for nasjonal IKT-sikkerhet. Tømte har fulgt Nordlo-saken siden angrepet i 2021.
– Det er klart det er veldig brutalt å kun ende opp med drøyt 8000 kroner i erstatning og en smell på 2,1 millioner kroner. IT-sikkerhet trenger mer oppmerksomhet, og ikke minst ledere som bryr seg, sier Tømte.
GJENNOMGÅ KONTRAKTER: I lys av Nordlo-saken, anbefaler sikkerhetsrådgiver Gøran Tømte alle små- og mellomstore bedrifter om å gjennomgå egne kontrakter: – Hva er det som står der, og hvordan vil det påvirke bedriften din?
Foto: Dag Kessel / NRKSom rådgiver for IT-avdelinger og direktører i norsk næringsliv, ser han ofte ledere som tror at IT-sikkerhet handler om noe annet enn det forretningsmessige. Det er helt feil, sier Tomte.
– Når det smeller, er det ikke IT-avdelingen som står i sentrum. Det er direktørene som må stå i mediene og rydde opp. Ansvaret er ufravikelig. Flere må våkne før det er for sent, sier Tømte.
Norgessjef Thomas Aanstad Evensen i Fortinet, som leverer løsninger for cybersikkerhet globalt, har et klart råd til ledere for små bedrifter:
Thomas Aanstad Evensen i Fortinit
Foto: Fortinet– Ikke vent med å snakke om sikkerhet til etter at det har gått galt. Still krav til leverandørene deres, men vær også villig til å investere tid og ressurser i samarbeidet.
Evensen sier det er enkelt å si at man må ta sikkerhet på alvor. Men Nordlo-saken viser at det kan være veldig dyrt å la være.
– Prisen for å ikke ha dette øverst på blokka, kan være dyr. Hacker-business er big business, sier Evensen.
Publisert 07.07.2025, kl. 21.54
English (US)