Av Tobias Tobiassen, Nettsak | Publisert 22.06.2025
Oppdatering etter publisering
Etter at Nettsak publiserte denne saken, har både Fremtind og Crawford trukket sitt regresskrav. Vi vil i tiden fremover fjerne informasjon fra artikkelen som ikke lenger er relevant.
Crawford opprettholder likevel sin fremstilling av hendelsesforløpet, til tross for at dette ikke samsvarer med tilgjengelige logger og dokumentasjon.
InfoDesk har varslet at de vil analysere saken på nytt, og det er ventet at politianmeldelsene kan bli trukket, ettersom regresskravet nå er frafalt og det dermed ikke foreligger økonomisk tap – utover påkrevde arbeidstimer for å frembringe korrekte beslutningsgrunnlag hos forsikringsselskapene.
Saken reiser samtidig spørsmål om rettsfølelsen i situasjoner der alvorlige økonomiske krav ikke blir vurdert grundig før de når offentligheten, og hvor det til slutt kreves presseomtale for å få en rettferdig behandling.
SANDEFJORD(Nettsak) – Små, spesialiserte IT‑miljøer stoler på at forsikring og rettssystem beskytter dem mot urimelige krav. Etter to og et halvt år i søkelyset opplever det sandefjordsbaserte selskapet InfoDesk AS det stikk motsatte: Et regresskrav på kr 430 514 fra Fremtind Forsikring, bygget på det daglige leder Håkon Berntsen kaller «en fiktiv historikk».
Angrepet ingen kan bli enige om
Natt til 3. april 2023 blir WooCommerce nettbutikken idtsports.com infisert. En piratkopiert backup‑utvidelse installeres, WordFence deaktiveres, og besøkende sendes til spam‑domener. Loggene viser innlogging fra IP‑adresser i Cebu City, Filippinene – under kontoen rune@kloner.no, opprettet dagen før av Morten Iversbakken (Sales & Marketing Manager i IDT Solutions AS).
Ti dager senere overleverer InfoDesk en rapport til den anonyme webdesigneren bak siden. Rapporten peker på Kloner AS som kilde. IDT Solutions hopper over leverandørene sine, aktiverer cyberforsikringen og hyrer Truesec til full forensics.
Informasjonen over kommer fra oversendte dokumenter fra InfoDesk AS.
«Vi hostet aldri idtsports.com, vi utviklet kun funksjoner til idt.no på en helt annen server. Men regresskravet peker kun på oss,» sier Berntsen i intervju med Nettsak.
En regning – og en ny nettbutikk
Truesec‑fakturaen alene lyder på kr 305 484. Resten er timer og moduler til Magento – en helt ny plattform Kloner AS allerede hadde startet uker før angrepet. Alt innlemmes i regresskravet.
Berntsen: «Fordi puslespillet viser forsett: først en tvist om ubetalte fakturaer til webdesigneren, deretter et angrep som legitimerer ny plattform, så et regresskrav som flytter regningen til oss. Mellom slagene har IDT Solutions AS brukt BAHR‑advokater for i et forsøk på å kneble våre tekniske casestudier, og sendt en phishing‑PDF til webdesigneren for å stjele innloggingen hennes.»
Tobiassen: Hva sier dere til påstanden om manglende oppdatering av Elementor Pro?
Berntsen: «Truesec rapporten nevner det, men våre logger viser ingen eksploittrafikk mot Elementor‑endepunkter. Derimot viser de admin‑upload av piratkopiert backup‑plugin fra Filippinene samme minutt som WordFence slås av. Det er kjent modus for nulled‑malware.»
Tobiassen: Saken startet som regress mot webdesigneren – nå peker alt på dere?
Berntsen: «Vi hjalp henne med dokumentasjon; det er vår kultur. Siden den gangen har alle piler flyttet seg til oss, mens kjernefakta består: Vi hadde ingen driftsavtale, ingen servertilgang før vi bisto TrueSec og ingen roller i Magento‑prosjektet.»
Varslet alle – eposten som dokumenterer krav
I dag sendte InfoDesk kopi av sitt siste svarbrev til Crawford, Truesec, Kloner og IDT Solutions. E‑posten krever:
Full rapport fra Truesec med alle vedlegg.
Forklaring på hvorfor admin‑kontoen rune@kloner.no opprettes før Kloner formelt kommer inn.
Kommentar til at Magento‑timer faktureres som «opprydding».
Prinsipiell vurdering fra Crawford/Fremtind om å legge samfunnsrisiko på underleverandører.
Phishing forsøket – dråpen som fikk begeret til å renne over
Få døgn før regressbrevet kom i juni 2025, mottok webdesigneren en e‑post fra IDT‑domenet: «Du har et nytt tildelt dokument». PDF‑en skjulte en falsk Outlook‑side og ble flagget som malware av både InfoDesk og amerikanske Intruig Inc.
«Å bruke egen bedriftsepost til phishing tyder enten på desperasjon eller forsøk på å kompromittere bevis», sier Berntsen.
Små leverandører, store konsern
InfoDesk opplyser å ha brukt 40+ timer og anslår totale ekstrakostnader til over kr 500 000. Selskapet leverer løsninger for offentlig sektor og bransjer med streng sikkerhet – uten historikk av brudd.
«Når regressverktøy brukes slik, skaper det presedens som skremmer små selskaper fra å ta på seg krevende prosjekter», sier Berntsen.
Crawford svarer til Nettsak at fordelingen av skyld «fortsatt vurderes» og at Truesec‑rapporten er styrende. Fremtind har frist 1. juli 2025 til å fatte vedtak.
Tallene som ikke rimer
Parameter
Normal WordPress‑sanering
Regresstallene
Tidsbruk
4–8 t
112,5 t (Truesec)
Kostnad
6 000–10 000 kr
430 514 kr
Rapport fra TrueSec hemmeligholdes
I en mail fra TrueSec som svar på krav om innsyn, nekter TrueSec å dele rapporten med henvising til at de ikke deler rapporten med andre enn sine klienter.
– Dette setter tvil ved om det i hele tatt eksisterer en rapport som peker på InfoDesk som ansvarlig part, forteller Håkon Berntsen. Dette er et sentralt bevis som hele regresskravet bygger på og når dette tilbakeholdes, så forteller det mye om rapporten.
Regresskravet
InfoDesk AS har delt regresskravet og sitt tilsvar i sin helhet og samtykker til at vi deler dette.
Håkon Berntsen uttaler:
Regresskravet fremstår som grunnløst og mangelfullt dokumentert, med flere faktiske feil og påstander uten rot i virkeligheten. For det første baserer kravet seg på uriktige datoer; blant annet hevdes det at IDT Solutions oppdaget angrepet 05.03.2023, en måned før det faktiske angrepet fant sted. Videre påstås det at avvik ble meldt til Datatilsynet 13.04.2023, mens Datatilsynets egne logger viser at innmeldingen ble mottatt 22.05.2023.
InfoDesk sine undersøkelser er blitt tilsidesatt uten reell vurdering. Det påstås at InfoDesk forsøkte å gjenvinne IDT som kunde fra Kloner AS, til tross for at noe slikt kundeforhold aldri har eksistert. Dette vitner om manglende saksinnsikt og manglende tilgang til reell dokumentasjon fra den som har utarbeidet kravet. Gjennomgangen av regresskravet avslører en rekke lignende unøyaktigheter og spekulasjoner som ikke lar seg underbygge med dokumenterte fakta.
Det er også avgjørende å presisere at den relevante sårbarheten i Elementor Pro først ble kjent gjennom et blogginnlegg 28.03.2023, mens infeksjonen fant sted 03.04.2023. Innenfor etablerte bransjestandarder for drift og vedlikehold, opereres det normalt med faste oppdateringsintervaller på mellom 7 og 14 dager. Fremtind legger i sitt krav til grunn et betydelig kortere intervall enn det som eventuelt var avtalt mellom IDT og hovedleverandøren, og fremmer samtidig krav mot InfoDesk som kun var underleverandør for hosting og utvikling av idt.no – ikke idtsports.com. Det er her tale om en sammenblanding av roller og ansvar som ikke kan aksepteres.
Oppsummert er regresskravet preget av alvorlige faktiske feil, mangelfull dokumentasjon og urimelige ansvarsplasseringer. Det er derfor ikke holdbart slik det nå foreligger.
Nettsak publiserer i henhold til Grunnloven § 100 og EMK art. 10. Alle anmeldte er varslet om publisering og har fått tilbud om samtidig imøtegåelse (VVP 4.14). Webdesigneren omtales anonymt etter eget ønske. Opplysningene er hentet fra innsendte politianmeldelser og tilhørende saksdokumenter. Publiseringen er gjort etter redaksjonell vurdering og følger presseetiske regler (VVP) og personopplysningslovens unntak for journalistisk virksomhet. Opplysningene anses å ha betydelig offentlig interesse.
Norsk bokmål 
English