23-10-2016

Trenger din virksomhet cyberforsikring?

De siste tre årene har det dukket opp et produkt på markedet som skal være med på å begrense kostnadene i forbindelse med datakriminalitet; en innbruddsforsikring på dine data.

Thomas Tømmernes Leder for IT-sikkerhet, Atea Norge.

Det er mange meninger rundt emnet, blant annet skrev Sintef innlegget: Cyberforsikring – hva vet vi fra forskningen?

Å kjøpe cyberforsikring er et tiltak for å håndtere risiko i en virksomhet. Det kan imidlertid være krevende å vurdere cyberforsikring opp mot andre tiltak: Når bør man velge å forsikre, og når bør man heller gå for andre strategier? 

Det vi alle kan være enige om er at man kjøper ikke bilskadeforsikring som et ledd i å unngå å krasje, men et hjelpemiddel for å begrense kostnader, og få best mulig hjelp og bistand fra profesjonelle om uhellet er ute.

Slik er det også med cyberforsikring. Det har overhodet ingen preventiv effekt å tegne denne. Eller - vent, det er ikke helt sant. Det vi ser er at bedrifter som har tegnet denne type forsikring er kjappere ute med å melde fra om mistanke, og få eksperthjelp til å se om de har rett i mistanken. Dette er jo et så absolutt pluss.

Erfaringsmessig registrerer Ateas eget IRT Incident Response Team at de dessverre blir informert for sent, og at skadene har blitt større enn om de ble involvert tidligere. Ofte gjelder dette tap av data, der mye informasjon er stjålet. NorSIS er tydelige: Datainnbrudd oppdages sent.

Men det er så mye mer vi kan tape enn litt data på avveie. Senioradvokat Nicolai Halbo skrev artikkelen: Informasjonssikkerhet – en strategisk virksomhetsbeslutning.

Informasjonssikkerhet vil i fremtiden bli en enda viktigere differensiator for hvilke selskaper som lykkes og hvilke som ikke lykkes. Konsekvensene av ikke å ha en strategisk tilnærming til informasjonssikkerhet kan bli store økonomisk sett.

Behovet for grundige vurderinger av informasjonssikkerhet har blitt mer fremtredende med den teknologiske utviklingen i samfunnet. Stadig større avhengighet av og behov for effektiv informasjonshåndtering i virksomhetene stiller større krav til konfidensialitet, integritet og tilgjengelighet rundt systemene som håndterer informasjonen. Informasjonssikkerhet bør derfor være gjenstand for en grundig vurdering fra selskapsledelsens side, og ikke være ansett utelukkende som en oppgave IT-avdelingen settes til å håndtere alene. Informasjonssikkerhet vil komme til å bli en viktig differensiator i fremtiden for hvilke selskaper som lykkes og hvilke som ikke lykkes.

At bildet er komplekst og kan skremme den tøffeste av oss er det ingen tvil om; store bøter og offentlig gapestokk er det ingen som ønsker å komme opp i.

Hvordan kan du få tips til hva du bør vite om IT-sikkerhet?

I forbindelse med den nasjonale sikkerhetsmåneden oktober tilbyr Atea alle våre kunder (og interne) et gratis e-læringskurs for ledelse om IT-sikkerhet Målet med kurset er ikke å gjøre noen til IT-sikkerhetseksperter, men å gi en oversikt over hva som skjer i markedet og hva man bør ta høyde for.

Tilbake til bilskadeforsikring med kasko som tar høyde for alt uforutsett: vi tegner forsikringer fordi vi er smarte, og skjønner at vi ikke klarer å beskytte oss eller forutsi alle hendelser.

Hvilke konsekvenser kan komme av datakriminalitet?

Jeg kontakter Henrik i AIG som er en av Norges fremste eksperter på cyberforsikring/ Dataangrepsforsikring (ohj – supert = enda et godt fornorsket ord J).

Ettersom jeg vet at det forekommer at de som har tegnet denne typen forsikringer benytter seg av den, spør jeg:
Henrik, kan du gi meg et eksempel på hendelse (selvfølgelig anonymisert) og gjerne kostnadene forbudet med denne? Og gjerne hva eksemplets polise på cyberforsikring var årlig?

Henrik sitt svar:
Vi har i løpet av 2016 i Norden hatt en skadesak på et selskap i storkunde segmentet. Selskapet er i IT bransjen og de har både en Cyber og kriminalitetsforsikring i AIG.

De outsourcer en del tjenester og de mottar en del fakturaer i løpet av året fra disse leverandørene. En av deres største leverandører kontaktet selskapet og sa at de ville stoppe tjenestene ettersom flere fakturaer hadde forfalt og ikke var betalt. Det var først da selskapet oppdaget at noe var galt.  De fant ut at de tre siste fakturaene var betalt, men ikke til leverandøren. Vår kunde hadde mistanke om at de var «hacket» av kriminelle og aktiverte cyber forsikringen og krisekonsulentapparatet (IRT, juridisk, PR) man får tilgang til umiddelbart for å finne ut av situasjonen.

Krisehåndteringsteamet (IRT) begynte umiddelbart å spore hvor betalingene hadde gått og kontaktet banken(e) involvert for å prøve å stoppe transaksjonene. Aktiveringen av cyber forsikringen og den jobben IRT og juridisk umiddelbart gjorde sørget for at de klarte å stoppe den siste betalingen som var gått (EUR 1,5 mill.). Dessverre var de to andre (EUR 300 000 og EUR 500 000) allerede gått og umulig å spore opp og få tilbake. Parallelt med dette jobbet IRT med å finne ut hva som hadde skjedd og startet opprydningsprosessen

IRT fant ut at selskapet var rammet av en phishing e-post og «hackeren» hadde klart å komme seg mellom korrespondansen mellom selskapet og leverandøren. «Hackeren» kunne kommunisere til begge og utga seg for å være den andre parten. Resultatet var at «hackeren» klarte å endre fakturaene.

Konklusjon: Cyber forsikringen dekket krisehåndteringskostnadene på EUR 148 000, i tillegg ville de antakeligvis ikke klart å få tilbake den siste betalingen på EUR 1,5 mill. om det ikke hadde vært for den umiddelbare hjelpen man får gjennom denne forsikringen.

 
Wow –Det er ikke småpenger. I norske kroner snakker vi om hele 1,4 millioner i konsulentoppdrag for å dekke Incident Response Teamet som kartla hendelsen, og hele 13.882.661 til å dekke tapet i direkte forbindelse med angrepet.

Oppfordrer alle til å gå en runde på sine styrerom og vurdere en dataangrepsforsikring.

Jeg skrev en gang om faren med ulv-ulv, og kjenner jeg står i dilemmaet om å kaste stein i glasshus eller å gjøre min plikt som sikkerhetsmann og opplyse norske virksomheter om muligheten til å begrense sine egnene kostnader ved et uhell, og samtidig få direkte tilgang til eksperter som kan hjelpe deg når «the shit hits the fan» som de tøffeste gutta gjerne sier.

En annen klar fordel er at man kan begynne å budsjettere med uforutsette dataangrep og få kontroll på situasjoner som ved flere anledninger faktisk har ført til konkurser.
«Det er et forferdelig sjokk - og trolig kroken på døra». Selskapet solgte dataløsninger for flere millioner kroner, men kundenes passord lå åpent på Internett. Og det er ikke bare innenfor privatnæringsliv at de har fått øynene opp for denne type forsikringer.

Inntil tastaturet roper igjen…
Ikke glem oppfordringen - gå en runde på sine styrerom og vurdere sterk en dataangrepsforsikring.

//TTmmernes