Danske virksomheder er dårligt dækkede mod angreb fra it-kriminelle

Danske virksomheder er ikke dækket godt nok, hvis hackere sætter et succesfuldt cyberangreb ind, for de danske forsikringer halter langt efter de udenlandske.

Det viser en sammenligning af 10 forsikringsselskabers forsikringer mod cybercrime, som forsikringsmæglerselskabet Söderberg & Partners står bag.

»De amerikanske forsikringsselskaber som Chubb og CNA har generelt en bedre dækning end de danske selskaber som Tryg, Topdanmark eller Codan. Priserne er nok også lidt højere, men hvis du bliver ramt af cyberangreb, er du så også bedre stillet,« siger Carsten Scharff, special risk executive i Söderberg & Partners.

Han peger på, at de amerikanske forsikringsselskaber har mere erfaring med at håndtere cyberskader.

»De har en bredere viden om cyberangreb og ved en masse om, hvad der er brug for, når virksomheder udsættes for cyberangreb. Som på så mange andre områder er de et par år foran os,« siger Carsten Scharff.

Den danske virksomhed Terma, der bl.a. producerer højteknologi til forsvarsindustrien, bekræfter, at de danske forsikringsselskaber halter bagefter på det vigtige felt med at gardere sig mod hackere.

»Vi oplever, at de produkter, der bliver tilbudt i Danmark, ikke modsvarer den risiko, vi som virksomhed bliver udsat for i forhold til cybercrime. Det nytter ikke, at man får tilbudt konsulenttimer for at rydde op efter et angreb, hvor konsekvensen kan være, at man mister data til ens produkt eller får et kæmpe sagsanlæg på nakken af en kunde, fordi man har mistet hemmeligheder,« siger Per Thiesen, koncerndirektør i Terma.

Der findes ikke samlede tal for, hvordan dansk erhvervsliv er dækket mod it-kriminalitet, men der er ingen tvivl om, at det er et problem, som optager toplederne.

En undersøgelse fra PwC fra maj i år fastslår, at 57 pct. af de danske erhvervsledere er bekymrede for it-sikkerhed, som dermed klemmer sig ind øverst på listen over forhold, der giver dansk erhvervsliv anledning til hovedpine.

Nr. 2 på listen er manglen på kvalificeret arbejdskraft, som 56 pct. af toplederne bekymrer sig om. Tallene summer op til mere end 100 pct., fordi virksomhedsledelser kan bekymre sig om mere end en ting.

»It-sikkerhed er gået fra at være en nørdet niche til at være øverst på dagsordenen blandt danske erhvervsledere. Sikkerhed kan lyde tørt og kedeligt, men i virkeligheden er det forudsætningen for at drive forretning. Det er den banale sandhed, der er gået op for virksomheder og deres ledere,« siger Janus Sandsgaard, fagchef for it og digitalisering i Dansk Erhverv.

Den sandhed er topledelsen i Terma sig i den grad bevidst om.

»Worst case scenario er, at man som virksomhed bliver lagt ned. Og den risiko bliver kun værre dag for dag. Hvis en fabrik brænder, har vi en driftstabsforsikring, der dækker tabene i en periode. Noget tilsvarende ser man ikke med cybercrime-forsikringer i dag,« siger Per Thiesen, som fastslår, at de danske forsikringer mod cybercrime ikke er tidssvarende.

»Men det er vigtigt at understrege, at det er noget, vi arbejder intenst på at finde en løsning på. I USA formår man at forsikre sig i større grad end i Danmark, så produkterne eksisterer. Det handler om at gøre dem tilgængelige i Danmark og harmonere dem til et dansk set up. Vi vil gerne betale noget mere, hvis vi får et produkt, som modsvarer vores risiko-eksponering,« siger Per Thiesen.

Forsikringsmægleren Söderberg & Partners peger på, at de amerikanske forsikringsselskaber har et kæmpe set up, som bare fungerer og bliver sat i værk, når kunder rammes af cyberangreb.

»Kunderne kan nøjes med at ringe til ét telefonnummer og anmelde angrebet, og så tager forsikringsselskaber som Chubbs og CNA ellers over herfra og håndterer, hvad der måtte være af juridiske spidsfindigheder, mediesager eller følgeskader,« siger Carsten Scharff.

Sidste år oplevede 67 pct. af de danske virksomheder at blive udsat for afpresning som følge af it-angreb mod 22 pct. året før. Det viser en undersøgelse fra PwC fra 2016, Cybercrime Survey.

»At være udsat for afpresning betyder ikke nødvendigvis, at virksomheden har betalt penge, eller at den er blevet lagt ned. Men det betyder, at nogen har været inde i virksomheden, eller at hjemmearbejdspladsen er blevet hacket,« siger Janus Sandsgaard fra Dansk Erhverv.

Dansk Erhverv har selv oplevet at blive angrebet og blive mødt med et krav om at betale 5,5 mio. kr. i »løsepenge« til hackere. Det skete i 2015, efter at en medarbejder havde trykket på et link, som førte til, at 2.751 af organisationens filer blev krypteret. Der blev ikke betalt, og det var ikke nødvendigt at involvere et forsikringsselskab.

»Vi var i stand til at spole tilbage til en ældre sikkerhedskopi fra før angrebet, og på den måde kunne vi gendanne filerne,« siger Janus Sandsgaard.

Hvis virksomheder får brug for deres forsikringsselskab på grund af cyberafpresning, er der ifølge Söderberg & Partners ingen dækning, hvis man er kunde hos Codan, If eller Topdanmark. Det er der til gengæld, hvis man er kunde hos Tryg eller de amerikanske selskaber.

Det er sådanne forskelle i forsikringsdækningen, som forsikringsmægleren opfordrer de danske virksomheder til at være opmærksomme på.

»Virksomhederne skal gøre op med sig selv, hvad de er bange for, og hvad de kan leve med af risiko. Har man bare brug for et simpelt og overskueligt produkt, så tilbyder flere selskaber – herunder de danske – en slags tillægsforsikring til ens løsøreforsikring. Men er man eksempelvis bange for efterfølgende driftstab og potentielle ansvarssager ved overtrædelse af EU’s persondataforordning ved et cyberangreb, eller at det også kan gå ud over ens egne kunder, så er der i mange tilfælde brug for en bedre dækning end den, som de danske selskaber klassisk sælger,« siger Carsten Scharff.

De danske forsikringsselskaber erkender, at de ikke sælger verdens bedste forsikringer mod cyberkriminalitet.

»Analysen er korrekt i den forstand, at der er elementer af cybercrime, som i dag ikke er omfattet af Topdanmarks cybercrimeforsikring. Det skyldes især, at vi har sammensat vores produkt i forhold til de dækninger, som vores kunder efterspørger. I forhold til ransomware er en type dækker vi ikke udgiften hvis en virksomhed vælger at betale løsepenge, hvilket er i fuld overensstemmelse med politiets anbefalinger,« siger Søren Viltoft Baatrup, der er afdelingsleder i Topdanmarks Erhvervsforretning.

Ransomware er skadelige programkoder, der bruges til at afpresse ejeren af den inficerede enhed til at betale løsepenge for at få adgang til sine egne data igen. 

Codan erkender også, at selskabets dækning af cyberkriminalitet har haltet.

»Vi har et nyt produkt på trapperne. Vi regner med at begynde at sælge det i slutningen af juni, og der bliver tale om en væsentlig opgradering af produktet,« siger Mads Houe, pressechef i Codan.

Men hvorfor har I solgt et produkt, som ikke dækker tilstrækkeligt indtil nu?

»Cyberkriminaliteten udvikler sig hastigt, og det er i den erkendelse, at vi snart lancerer et produkt, som dækker væsentligt bredere end det, som vi har haft på hylden efterhånden i et par år. Den vil eksempelvis dække genetablering af data og cyberkriminalitet, som går ud over tredjepart,« siger Mads Houe.

Forsikringsselskabet If kan ikke genkende billedet af, at dets cyberforsikringer dækker dårligere end udenlandske selskabers.

»Undersøgelsen vil få os til at tjekke op på, om vi er tydelige nok i vores kommunikation af alle dækningerne i cyberforsikringen, for vi har svært ved at se, hvad det er for dækninger, der gør, at vores forsikring ikke ligger bedre i den samlede konklusion,« lyder det fra Birgitte Ringbæk, presseansvarlig i If.