Den tiltalte er idømt fengselsstraff for flere forhold, som Kristiansand tingrett skriver kan være svært ødeleggende for næringslivet.

Selve dommen mot mannen omtaler avisen i relativt liten grad. Det synes viktigere å formidle at tingrettsdommer Marit Thorvaldsen anmerker at Agder Energi «fremstår med åpenbart dårlig sikrede løsninger». Tingretten mener at praksisen med at den enkelte ansatte har et ansvar for informasjonssikkerheten, er betenkelig.

Vurdering av datasikkerheten

Når tingrettsdommeren i dette tilfellet har begitt seg ut på vurderinger av datasikkerheten i Agder Energi, finner vi grunn til å kommentere dette noe mer utdypende.

I juli 2012 ba mannen om tilgang til informasjon vedrørende Embriq. Det var naturlig at en i hans rolle som IT-arkitekt fikk denne tilgangen. Han sa imidlertid opp samme måned, men i etterkant kom det frem at han allerede i juni ble gratulert med ny jobb i Siemens eMeter. Samme dag som han sier opp laster han like i forkant ned 800 dokumenter relatert til AMS/Embriq fra et arbeidsrom i SharePoint han og noen andre relevante medarbeidere hadde tilgang til. Embriq og Siemens eMeter er begge i leverandørmarkedet i tilknytning til AMS i det norske markedet. Den domfelte utnyttet sin stilling, fordi det var gjennom sin stilling han hadde tilgang til disse dokumentene, en forutsetning for å kunne utføre den jobben han var satt til.

Omfattende sikkerhetssystemer

Agder Energi er et selskap med omfattende sikkerhetssystemer basert bl.a. på beredskapsforskriften. Vi tilrettelegger og opererer i tråd med det som defineres som «sikkerhet i dybden». I praksis betyr det at sikring av områder, adgang til bygg, tilgang til informasjon er regulert gjennom et helhetlig rammeverk for sikkerhet. Ansatte blir bevisstgjort og signerer på brukeravtaler for IKT og etiske retningslinjer for virksomheten.

Rettens kritikk mot sikkerheten i Agder Energi går på at en ansatt kan laste ned informasjon til en privat pc. Dette kalles «hjemmekontorløsning» og benyttes i de fleste virksomheter i Norge, bl.a. for å ha fleksibilitet. Agder Energi har sikret sin løsning med det som kalles to-faktor autentisering tilsvarende sikkerheten i norske nettbanker.

Utro medarbeider

I dette tilfellet var den domfelte ustraffet og hadde tilsynelatende god og relevant utdannelse. Det skulle vise se at han ikke hadde den utdannelsen han fremla dokumenter for, og heller ikke opptrådte i tråd med hva vi forventer av våre ansatte, og til syvende og sist begikk lovbrudd.

Dermed står vi igjen med en utro medarbeider som bryter tilliten det innebærer å være Agder Energi-medarbeider. Svært få virksomheter har vanntette systemer som kan forhindre ethvert forsøk på bedrageri eller illojale handlinger fra egne medarbeidere. I bunn av et arbeidsforhold ligger tillit. Tillit til at arbeidsgiver og arbeidstaker opptrer i tråd med avtaler og følger de forpliktelser en har. Når denne tilliten brytes, kreves det gode rutiner for å fanger slikt opp. Det har Agder Energi, og uten disse rutinene ville ikke mannen det her er snakk om, blitt tiltalt.