Prisen på forsikring er eksploderet - nu hænger mange virksomheder selv på risikoen for cyberangreb

Mængden af cyberangreb har fået prisen for forsikring mod it-kriminalitet til at eksplodere. Forsikringsbranchen overvejer, om den overhovedet skal dække hackerangreb, herunder især betaling af løsesummer til cyber-kriminelle.

Cybersikkerhed og forsikring mod it-kriminalitet er blevet et hedt tema, og det samme er hackerangreb over hele verden. Det har givet en eksplosion i forsikringspriserne. Foto: Jacob Ehrbahn

Der går sjældent en uge, hvor der ikke er historier om nye alvorlige cyberangreb. Det har haft en direkte konsekvens for prisen på cybercrime-forsikring, som er eksploderet.

I USA er der ifølge forsikringsmæglerkoncernen Marsh prisstigninger på 56 pct. i gennemsnit i 2. kvartal i år. I Storbritannien er cyberforsikringer steget med 35 pct. i samme periode.

»Priserne stiger, og det samme gør kravene til, hvad virksomheden selv skal gøre for at sikre sig,« siger Mads Nørgaard Madsen, partner og cyberekspert i rådgivningskoncernen PwC.

»Det er stadig muligt at tegne cyber-forsikringer, men prisen stiger og stiger, og så skal virksomhederne gøre op, om der er balance mellem prisen og den risiko, de ellers selv tager,« siger Mads Nørgaard Madsen.

Udviklingen bliver oplevet som en kovending for erhvervslivet og en kovending, der ikke er uproblematisk.

»Det er noget, forsikringsselskaberne har været aktive med at sælge og tilbyde, men nu er det begyndt at vende rundt, og de har skærpet betydeligt i både pris, kapacitet, selvrisiko og vilkår. Det er ofte en brat opbremsning og uden varsling eller overgangsperiode, som stiller virksomhederne i en vanskelig situation,« siger Henrik Larsen, adm. direktør i den danske afdeling af forsikringsmæglerkoncernen Marsh.

Typer af cyberangreb
  • Onlinesvindel og falske emails, f.eks. phishing
  • Virus, malware mm
  • Online afpresning af virksomhed
  • Overbelastningsangreb på hjemmeside
  • Insidere - bevidste og ubevidste cybertrusler
  • Cyberspionage
  • Faktura-bedrageri og CEO-fraud
Kilde: DI

Han siger, at priserne har nået et niveau, hvor nogle virksomheder vælger selv at påtage sig risikoen og dermed de potentielle tab ved et cyberangreb.

»Lige nu kæmper vi for nogle rimelige løsninger, men der er tilfælde, hvor vilkårene, pris mm. er så skrappe, at man som virksomhed kan overveje selv at tage risikoen,« siger Henrik Larsen.

Vilkårene handler dels om, at virksomheden skal etablere en it-infrastruktur, der så vidt muligt forhindrer cyberangreb, dels om hvor meget forsikringen maksimalt dækker, og hvor stor en selvrisiko virksomheden skal tage.

Men det har en reel årsag, at forsikringspriserne er steget så kraftigt, forklarer forsikringsselskaberne. Der har været en markant stigning i hackerangreb af forskellig slags. For få dage siden kom f.eks. historien om et angreb på et decentralt finansielt netværk, hvor det var lykkedes kriminelle at forsvinde med digital valuta for 600 mio. dollars.

Blandt de i Danmark mere kendte hackerangreb var det, der i sommeren 2017 ramte bl.a. Mærsk og ifølge det efterfølgende halvårsregnskab kostede shippinggiganten 1,3-1,9 mia. kr.

I september 2019 blev høreapparatproducenten William Demant ramt af et angreb, der i et efterfølgende regnskab blev sat til at koste 550-650 mio. kr. i driftstab.

Så sent som i juli i år blev hele Coops svenske detailkæde kortvarigt lukket ned pga. et cyberangreb på den amerikanske it-leverandør Kaseya.

Med det stigende antal hackerangreb har forsikringsselskaberne haft øgede omkostninger.

»Forsikringsindustrien diskuterer, i hvilken omfang man ønsker at gå ind i markedet for cybersikkerhed, som jo vokser, fordi vi stadig oftere hører om cyberangreb,« siger Rasmus Toft Jørgensen, adm. direktør i den danske afdeling af forsikringskoncernen HDI Global Security.

Han peger også på, at det kan påvirke cyberkriminalitetens omfang, at flere og flere virksomheder er forsikrede og dermed har flere penge i ryggen.

»Grundlæggende er det vel sådan, at jo mere forsikringsbranchen dækker cyberangreb, jo mere interessant bliver det måske for hackerne, fordi der ofte dermed er flere penge i et angreb. Men det er også en diskussion om, hvorvidt forsikringsbranchen skal udsætte sig for at skulle betale løsesum til hackere i lande, vi normalt overhovedet ikke ønsker at handle med,« siger Rasmus Toft Jørgensen.

Problematikken var for nylig emne for en analyse fra den britiske tænketank Royal United Services Institute, der specialiserer sig i forsvarspolitik og sikkerhed.

»Der er udbredt bekymring for, hvorvidt forsikringsselskaber fremmer løsesumsangreb ved at betale løsesumskravet. (...) Det er ofte billigere at betale afpresserne end at skulle genopbygge en it-infrastruktur eller dække tabene ved driftsforstyrrelsen,« skriver forfatterne bag en rapport om cyberforsikringer fra Royal United Services Institute.

Men virksomhederne ønsker stadig at kunne sikre sig mod f.eks. driftstab, hvis cyberkriminelle lægger en virksomhed ned.

»Vi ser gerne, at man som virksomhed kan forsikre sig mod cyberkriminalitet, ligesom man kan forsikre sig mod f.eks. indbrud eller stormskader. Men det kræver, at man selv gør en indsats for at dække sig så meget af som muligt og så vidt muligt forhindre cyberkriminelle i at komme ind i virksomheden,« siger Morten Rosted Vang, fagleder inden for digital ansvarlighed og cybersikkerhed i erhvervsorganisationen DI.

Under alle omstændigheder kunne virksomhederne i hvert fald godt tænke sig en mindre dramatisk vending, lyder ønsket fra forsikringsmægleren.

»Vi kunne godt have ønsket os en lidt blødere landing i markedet, og vi har oplevet nærmest uanstændig korte varslinger til virksomheder. Det er gået meget hurtigt, fra at de pushede forsikringerne, til at priserne stiger voldsomt, og kravene skærpes betydeligt,« siger Henrik Larsen fra Marsh.

Rasmus Toft Jørgensen fra forsikringsselskabet HDI siger, at branchen lige nu forsøger at få et overblik.

»Det er et marked, der lige nu forandrer sig meget hurtigt og rejser nogle moralske dilemmaer. Derfor skal forsikringsbranchen finde ud af, om den f.eks. skal holde sig til at dække driftstab i forbindelse med cyberangreb – og om man skal holde sig fra at dække løsesummer,« siger Rasmus Toft Jørgensen.

Læs også