Er din virksomhed reelt forsikret mod cyberangreb?
At afgøre, om en virksomhed er forsikret mod konsekvenserne af et cyberangreb, er ikke så enkelt, som det ser ud til. Her er fire afgørende spørgsmål, dit forsikringsselskab vil kræve svar på.
Dette er et debatindlæg: Finans bringer løbende indlæg fra specialister og meningsdannere. De er alle udtryk for den pågældende skribents egen holdning.
Stigningen i cyberangreb har fået forsikringsselskaberne til at reducere dækningen, hvilket rejser tvivl om virksomhedernes beskyttelsesniveau – og om de overhovedet kan få dækning.
Forståelse af kompleksiteten af cyberforsikring kræver et hurtigt tilbageblik. Indtil midten af 2010’erne var specifik forsikring mod cyberangreb usædvanlig. Når en virksomhed blev hacket, ville den typisk kræve erstatning fra forsikringsselskabet under ejendomsforsikringen. Situationen blev kendt som ”silent cyber”, da cyberangreb hverken blev nævnt i forsikringspolicer eller eksplicit udelukket.
Denne tvetydighed blev uholdbar med stigningen i ransomware samt Wannacry- og Notpetya-angrebene i 2017. Lægemiddelgiganten Merck, som blev hårdt ramt af Notpetya, indgav krav på 1,4 mia. dollar under sin ”all-risk” ejendomsforsikring, hvilket i første omgang blev afvist. Sagen fik forsikringsmyndighederne til at rejse bekymring om, at forsikringsselskaberne kunne blive udsat for massive krav. Det var først i 2023, at Merck vandt sagen i retten.
Som modsvar begyndte forsikringsselskaberne eksplicit at udelukke cyberangreb fra deres ejendomsforsikringskontrakter. Nogle indførte i stedet specifikke cyberrisikopolitikker, mens andre ophørte med at dække.
Stigende præmier og begrænset adgang til dækning
Stigningen i cyberangreb sendte også præmierne i vejret: Ifølge Marshs markedsindeks fordobledes de hvert år mellem 2019 og 2021.
For at reducere risikoen er forsikringsselskaberne ofte afhængige af en drastisk udvælgelsesproces. Virksomhederne skal nu typisk besvare flere hundrede spørgsmål, der beskriver deres cybersikkerhedspolitikker og forretningskontinuitetsplaner samt de data de gemmer. Forsikringsselskaberne overvejer også tidligere sikkerhedsbrud og industririsici og bruger vurderinger fra firmaer som BitSight eller GuideWire til at vurdere en virksomheds cyberhygiejne. Sådanne processer har medført, at snesevis af virksomheder er blevet udelukket fra markedet.
Selvom hver anden danske leder frygter et cyberangreb, er det som følge heraf kun få virksomheder, der tegner cyberforsikring. Ifølge en undersøgelse foretaget af Norstat i 2023 mener 35 pct. af de danske virksomheder ikke, at det er økonomisk forsvarligt at investere i cyberforsikring.
Industrivirksomheder er særligt udsat
Ifølge TrendMicro blev 89 pct. af virksomhederne i elektricitets-, olie- og gas- samt fremstillingssektoren påvirket af et cyberangreb i 2022. Denne situation viser, at selvom forsikringsselskaberne kan være overdrevent forsigtige, er virksomhederne selv nødt til at løfte deres cybersikkerhedspraksis for at reducere eksponeringen. I det seneste år er cyberangreb rettet mod deres Internet of Things (IoT)-enheder for eksempel steget med 400 pct. ifølge cybersikkerhedsfirmaet Zscaler.
Det medfører en stærk bekymring, da malwarens mobilitet kan fremme spredning på tværs af forskellige netværk, hvilket potentielt bringer kritisk OT-infrastruktur i fare.
Et særligt risikoområde er industrielt udstyr såsom industrielle kontrolsystemer eller SCADA-systemer, da disse ofte mangler rudimentære sikkerhedsforanstaltninger såsom adgangskodekryptering eller multifaktor-autentificering. Da moderne industrifaciliteter desuden kører i døgndrift, får virksomhederne større vanskeligheder med at lappe sårbarheder.
For at opnå dækning og presse priserne ned kan en virksomhed implementere flere tiltag. I forhold til forsikringsselskaberne skal de først og fremmest kunne svare fyldestgørende på disse fire spørgsmål:
1. Har du et omfattende overblik over din hardware- og softwarebeholdning?
Som ordsproget om cybersikkerhed fastslår, kan du ikke beskytte det, du ikke kan se. For industrivirksomheder er det særligt vigtigt, at fokus ikke kun er rettet mod IT-enheder, men også alle OT-endepunkter. Disse er ofte sværere at opdage, mindre sikre og kan resultere i betydelig skade, hvis de kompromitteres.
Det præcise overblik er nødvendigt for at identificere eksisterende sårbarheder, afhængigheder og forbindelser. Målet er at forstå, hvor der er øget sandsynlighed for et angreb, hvordan det kan forplante sig, og hvordan du prioriterer risici. Et solidt overblik hjælper også med at sikre en tilstrækkelig dækning og letter en effektiv indgriben, der kan reducere forsikringspræmier.
2. Har du etableret en effektiv netværkssegmentering?
Netværkssegmentering sikrer, at dit netværk er opdelt i klart afgrænsede zoner med hver deres autoriserede brugere, applikationer og enheder. Tidligere undersøgelser fra it-konsulentfirmaet Dragos viste, at dårlig netværkssegmentering var involveret i mere end 75 pct. af deres serviceinterventioner.
Problemerne er mangfoldige.
- For det første gør dårlig netværkssegmentering det muligt for angribere at roame netværket på jagt efter mål af høj værdi.
- For det andet kan andre trusler, såsom insider-brud, udgøre større skade. Brug af en trindelt tilgang, såsom Purdue Enterprise Reference Architecture (med tilstrækkelige sikkerhedsforanstaltninger til at beskytte niveauer 0 til 3,5, der styrer de industrielle systemer), sender et stærkt signal til forsikringsselskaberne om, at skader opstået fra cyberangreb vil blive inddæmmet.
3. Er sikkerhedsprocesserne automatiserede?
Stol ikke på held og e-mail for varsling om nye sårbarheder. At være hurtigt informeret om og i stand til at reagere på offentligt kendte sårbarheder er en central del af en effektiv cybersikkerhedsstrategi. Hvis en virksomhed er afhængig af manuel indgriben for at finde ud af, om den er berørt, hvad der skal lappes og om målrettet indgriben er nødvendig, kan den spilde kritisk tid.
Automatisering er nøgleordet i denne sammenhæng – især med henblik på at krydstjekke virksomhedens inventar med en database over sårbarheder, såsom NIST’s National Vulnerability Database, og for at bestemme øjeblikkelig eksponering for kritiske sårbarheder.
4. Er du forberedt på dagen for et cyberangreb?
Jo længere tid en virksomhed er om at reagere på et cyberangreb, jo mere skade kan det gøre. Af denne grund fastsætter visse forsikringer (og det europæiske NIS2-direktiv, der skal træde i kraft i 2024) en maksimal rapporteringstid efter en hændelse.
Dette fører til flere implikationer. For det første bør medarbejderne være opmærksomme på cybersikkerheds-hygiejne, tegn på, at en hændelse har fundet sted, og hvem de skal rapportere det til. For det andet bør virksomhederne forberede sig på forhånd på worst case-scenarier med hændelsesrespons og forretningskontinuitetsplaner, fuldstændige sikkerhedskopier gemt i en database og offsite-lokationer samt velkendte baseline-konfigurationer til gendannelse.
Fra et forsikringsmæssigt perspektiv er det en fordel på forhånd at overveje, hvad dine forpligtelser er, og hvilke ekstra udgifter, der ville blive dækket.
