InfoDesk – Din totale IT-leverandør

+47 33 22 12 77
[email protected]
Logg inn
Logg inn

Regresskrav truer små IT-leverandører – Fremtind og Crawford med urimelig ansvarspåstand mot Infodesk AS

Av: Admin | Dato: 17. juni 2025

Infodesk AS, en liten teknologibedrift med base i Sandefjord, har havnet midt i et regressdrama etter et hackerangrep på nettsiden til IDT Solutions AS. Nå krever forsikringsselskapet Fremtind, via skadeoppgjørsselskapet Crawford & Company, over 430 000 kroner i regress – for et sikkerhetsbrudd som ifølge dokumenterte fakta verken Infodesk eller deres oppdragsgiver essDesign hadde ansvar for.

Regresskravet hviler på et juridisk grunnlag som etter InfoDesks syn er både svakt og prinsipielt farlig for små utviklermiljøer som ikke har driftsansvar.

Signert tilbud uten serviceavtale

EssDesign – som var hovedleverandør av nettløsningen – hadde presentert et pristilbud til IDT Solutions AS i mars 2021. Dette inkluderte et tilbud om månedlig drift og sikkerhetsoppdatering for kr 750,- eks. mva. Men denne delen av tilbudet ble ifølge InfoDesk avslått muntlig, og det finnes ingen dokumentasjon eller fakturering for en slik tjeneste.

Til tross for dette hevder IDT Solutions i ettertid at de hadde en gyldig serviceavtale. Et slikt etterhåndskrav uten verken betalingshistorikk eller skriftlig kontrakt er ifølge Infodesk juridisk uholdbart.

Bevisene: Ingen driftsavtale, ingen kontakt

Når nettsiden ble utsatt for angrep 3. april 2023, kontaktet IDT ikke sin tidligere leverandør essDesign for hjelp. I stedet gikk de direkte til sitt forsikringsselskap – noe InfoDesk mener viser at IDT selv visste at de ikke hadde noen serviceavtale. Hadde de hatt det, ville de naturlig ha varslet leverandør for rask opprydding.

– Vi kunne ha ryddet opp i løpet av et par timer. Dette var en kjent WordPress-sårbarhet, sier Håkon Berntsen, daglig leder i InfoDesk. – At Fremtind nå krever flere hundre tusen for det som reelt sett er enkel feilretting, er ekstremt uproporsjonalt.

Teknisk analyse: Sårbarhet, men ikke uaktsomhet

Angrepet utnyttet en sårbarhet i Elementor Pro-pluginen for WordPress, som først ble offentlig kjent 28. mars 2023. Angrepet skjedde kun seks dager senere. IDT hadde verken kontaktet leverandør, oppdatert selv, eller hatt aktiv sikkerhetsplugin – ettersom WordFence var deaktivert før angrepet, noe InfoDesk har dokumentert.

I tillegg hadde IDT allerede startet migrering til en ny leverandør (Kloner AS) og planla overgang til Magento-plattformen. Dette, kombinert med logger som viser installasjon av infisert plugin fra IP-adresser på Filippinene – hvor Kloner benytter utviklere – svekker ytterligere hele kausaliteten.

Regning uten bakkekontakt

De 430 000 kronene det kreves regress for, er ikke dokumentert som utgifter til skadebegrensning. I stedet handler det i stor grad om nyutvikling, plattformbytte og konsulenthonorarer. Truesec, Kloner, ECI og Lindbak IT står på fakturaene. Summene inkluderer “set up of Spectra”, “incident response” og plattformmigrering – kostnader InfoDesk hevder aldri ville oppstått dersom kunden hadde brukt leverandøren de allerede kjente.

– Vi kunne gjort jobben for 5 000–7 000 kroner. Det tar én til to timer å gjenopprette en kompromittert WordPress-side når man vet hva man gjør, sier Berntsen.

Livsfarlig presedens for små aktører

For Infodesk AS – som primært leverer helsetjenester, hosting og utvikling for offentlig sektor – er dette ikke bare et spørsmål om rett eller galt. Det handler om eksistensgrunnlag.

– Et sånt krav fra en forsikringsgigant som Fremtind, støttet av et internasjonalt skadeoppgjørsselskap, sender sjokkbølger gjennom små leverandørmiljøer. Hvis dette aksepteres som praksis, kan hvem som helst trekkes til ansvar for software man ikke vedlikeholder, og aldri har lovet å vedlikeholde.

Infodesk vurderer nå å fremme motkrav for tapt arbeidstid og omdømmeskade, og har sendt et omfattende juridisk svar hvor hele regresskravet avvises. De viser til både rettspraksis og avtaleloven, og anser saken som prinsipiell.

Dokumenterte fakta viser:

  • Ingen serviceavtale var inngått eller betalt
  • Kunden kontaktet aldri leverandør etter angrepet
  • Angrepet benyttet nylig offentliggjort sårbarhet
  • WordFence ble deaktivert før angrepet fra ukjent IP
  • Migrering til ny løsning var allerede påbegynt

Redaksjonell vurdering:
Saken reiser viktige prinsipielle spørsmål om hvordan ansvar skal fordeles i komplekse leverandørkjeder – og hvordan regress brukes i praksis. At en liten underleverandør som ikke har hatt kontroll, vedlikeholdsansvar eller fullmakt plutselig kan bli trukket inn i millionbeløp via regress, må få bransjen og forsikringsaktørene til å tenke nytt.

Regresskrav mot Infodesk ASDownload

Relevante lenker

WooCommerce infisert med malware – Fikk videreutviklet Magento portal av cyberforsikringen
Case study: IDT Solutions utsatt for Malwareangrep

https://nettsak.no/en/idt-solutions-insurance-fraud-infodesk-cyber-attack

Leave a Comment

Name*
Email*
Message *

Cart

No products in the cart.