Det framkommer av en dom i Varbergs tingsrätt som kom i förra veckan. Det saken handlar om är Xelents avtal med Pivab, ett bolag som jobbar med konstruktion och design av lackeringsboxar, anläggningar och ventilation.

I januari 2015 tecknade partnerna ett avtal om it-driftstöd som gällde under perioden 1 februari 2015 till 1 februari 2016. Den 7 maj 2015 smittades Pivabs system av ett krypteringsvirus i samband med att en medarbetare gjorde en Java-uppdatering. Bolaget försökte efter det betala 300 dollar i bitcoin för en krypteringsnyckel, men det hjälpte inte för att rädda situationen.

Allt som bolaget hade lagrat på den aktuella lagringsenheten, en nas från Qnap, försvann sedan när saken skulle åtgärdas. Det stora problemet i sammanhanget var alltså att backup saknades. Och det är också det som är tvistefrågan i rätten, om backup på den aktuella lagringsenheten var Xelents ansvar eller inte.

Läs också: Nytt år, nya hot. Här är de största utmaningarna för it-säkerheten.

Från Xelents håll anser man sig inte ha agerat försumligt vad gäller vare sig utförande eller rådgivande av it-tjänster, utan konstaterar att de tjänster man har levererat har utförts enligt avtalet. Bolaget avfärdar också att det skulle vara fråga om grov oaktsamhet, och konstaterar att Pivab varit medvållande till den skada som uppkommit, inte minst efter att man konstaterat att en medarbetare besökt och laddat ner material från torrentsidor.

Den bilden delas dock inte av tingsrätten, som i sin dom börjar med att konstatera det obestridliga faktumet att Pivabs information är borta och att den inte kan återskapas eftersom ingen backup har tagits.

Därefter resonerar man kring om det var Xelents ansvar eller inte att se till att det fanns backup enligt flöjande:

Xelent hade genom sitt konsultuppdrag ansvar för Pivabs it-miljö. Pivab har inte haft någon intern it-kompetens, utan när det gällde frågor kring produkter och support pratade man med Xelent. Och det var även Xelent som föreslog den aktuella Qnap-nasen när lagringsutrymmet skulle utökas. Den installerades i mars 2014 och ingick senare i den it-miljö som Xelent fick i uppdrag att sköta enligt avtalet som tecknades 2015.

Nästa fråga rätten tar ställning till är om det handlat om vårdslöshet eller grov vårdslöshet. Här konstateras först att det har varit vårdslöst att inte se till att det finns backup, och att säkerhetskopiering är en del av driftsäkerheten i svensk standard.

Läs också: Windows 10 har fått inbyggt skydd mot ransomware – så använder du det

Att det rör sig om grov vårdslöshet motiveras i domen bland annat med att Xelent har tagit en stor risk som kunnat förebyggas med liten kostnad. Backup är en relativt billig åtgärd, och det är väldigt ovanligt att avstå från det. Enligt tingsrätten präglas Xelents agerande av ”en uppenbar nonchalans som medfört en avsevärd risk för skada” och konkluderar med att bolaget därmed har gjort sig skyldigt till grov vårdslöshet.

Totalt är det runt 5 miljoner kronor som Xelent döms att betala. Det handlar om drygt 3,5 miljoner kronor i skadestånd och 1,3 miljoner kronor i rättegångskostnader. Xelent kommer dock inte att behöva ersätta Pivab med de 300 dollar som Pivab betalade för en krypteringsnyckel. Detta eftersom den betalningen gjordes innan Pivab fick besked om att backup saknades.

Från Xelents håll är man givetvis inte nöjda med utfallet i Varbergs tingsrätt och kommer därför att överklaga beslutet.

– Ja, vi kommer att överklaga eftersom jag tycker att den är helt fel. De har bedömt en sedvanlig oaktsamhet som grov oaktsamhet och jag räknar med att vi har framgång i hovrätten eftersom det är så uppenbart fel, säger Xelents advokat Tommy Ström.

Vad är det som ni anser är fel?
– Det inte i närheten av grov oaktsamhet. För att det ska vara grov oaktsamhet krävs det att man har uppsåt, eller att man utsätter någon för medvetna risker.