Finans

It-kriminalitet i eksplosiv vækst: Forsikringsselskaber flerdobler pris og forringer vilkår

Forsikringsbranchen har enorme underskud på cyberforsikring, og det giver stigende priser og dårligere dækning til virksomhederne. Regeringen er klar med en ny strategi for cybersikkerhed.

Hele verden og dermed også Danmark er hårdt ramt af mere og mere cyberkriminalitet. Foto: Bloomberg/Andrey Rudakov

Prisstigninger på flere hundrede pct. og en dårligere dækning rammer inden længe tusinder af danske virksomheder.

Sådan lyder vurderingen fra flere forsikringsdirektører og forsikringsmæglere, der alle beretter, at cyberkriminaliteten i Danmark har nået et niveau, der giver forsikringsselskaberne store underskud på at sælge forsikringer mod it-kriminalitet.

Det får dem nu til at reagere.

For hver gang vi får 100 kr. i forsikringspræmie, har vi udbetalinger på langt over 200 kr.

Rasmus Jørgensen, adm. direktør i HDI Danmark.

»For hver gang vi får 100 kr. i forsikringspræmie, har vi udbetalinger på langt over 200 kr. Det er et blodrødt marked for forsikringsselskaberne. Både i Danmark og globalt, og vi har de seneste fire år haft så store tab, at det ikke længere er sikkert, at vi kan genforsikre os de kommende år,« siger Rasmus Jørgensen, adm. direktør i HDI Danmark.

Forsikringsselskabet har allerede hævet priserne markant, men der er nye prisstigninger på vej, ligesom kunderne kan forvente forringede forsikringsvilkår.

»Priserne stiger, men der bliver også skåret i forsikringsdækningerne, ligesom selvrisikoen stiger, fordi vi skal have et markant større incitament for virksomhederne til selv at gøre noget. Og nogle virksomheder kan ikke få en cyberforsikring, fordi de ikke har styr på it-sikkerheden,« siger Rasmus Jørgensen.

Det kan dermed blive en udfordring for nogle virksomheder overhovedet at få lov til at forsikre sig mod cyberkriminalitet, som er en kriminalitetsform i kraftig vækst.

Flere virksomheder kan slet ikke få en forsikringsdækning, fordi de ikke har tilstrækkelig it-sikkerhed.

Carsten Scharff, ansvarlig for cyberforsikringer i Söderberg & Partners.

Forsikringsselskaberne er til dels selv skyld i, at de er endt i en situation med store underskud, vurderer en forsikringsmægler.

»De seneste tre-fire år er der solgt mange billige cyberforsikringer, fordi forsikringsselskaberne stod med et nyt produkt og ville ind på markedet,« siger Carsten Scharff, ansvarlig for cyberforsikringer i Söderberg & Partners.

Forsikringsselskaberne har dog lært lektien.

»For få år siden kunne alle få en cyberforsikring, men nu stiller forsikringsselskaberne øgede krav til it-sikkerheden. Det er nok den største game changer. Flere virksomheder kan slet ikke få en forsikringsdækning, fordi de ikke har tilstrækkelig it-sikkerhed. Selskaberne er blevet mere kritiske med, hvilke kunder de vil have, ligesom priserne er steget med 30 til 50 pct. om året de seneste år,« siger Carsten Scharff.

Cybertruslen er blevet et grundvilkår, som vi er nødt til at agere efter, så alle kan færdes mere trygt i en digital hverdag.

Nicolai Wammen, finansminister.

Han peger på, at det især er én bestemt post, der får forsikringsselskabernes udgifter til at dække cyberkriminalitet til at eksplodere.

»Oprindeligt var fokus på, hvad det kostede at rydde op i virksomhederne efter et angreb i form af at genskabe it-infrastrukturen. Siden er der kommet fokus på de driftstab, som angreb medfører, og som er en langt større udgift,« siger Carsten Scharff.

Han peger på, at Mærsk og William Demant er eksempler på danske virksomheder, som har været ramt, og hvor der har været driftstab på mere end 500 mio. kr.

»Vi har i Europa set mange sager, hvor der er driftstab i niveauet 300-750 mio. kr. Generelt er skaderne i Danmark dog sjældent løbet op i mere end 100 mio. kr.,« siger Carsten Scharff.

Vestas er en anden stor dansk virksomhed, som på det seneste har været ramt af et hackerangreb.

Regeringen er opmærksom på, at it-kriminelle hærger Danmark. Onsdag fremlagde den en ny national strategi for cybersikkerhed. Den indeholder 34 initiativer, som skal være med til at højne it-sikkerheden i Danmark, og der er samlet afsat 270 mio. kr. over tre år til at føre den nye strategi ud i livet.

»Cybertruslen er blevet et grundvilkår, som vi er nødt til at agere efter, så alle kan færdes mere trygt i en digital hverdag. Trusselsbilledet forandrer sig konstant, og det kræver en styrket indsats på tværs af samfundet. Med den nye strategi øger vi ambitionsniveauet og stiller flere krav til sikkerhedssystemer og forebyggelse,« sagde finansminister Nicolai Wammen i forbindelse med fremlæggelsen af strategien.

Det virker som om, at mange virksomheder ikke har styr på deres risikoniveau.

Pia Holm Steffensen, underdirektør i Forsikring & Pension.

Forsikringsselskabernes brancheorganisation, Forsikring & Pension, kalder truslen fra cyberkriminalitet »meget høj«. Den peger på, at Danmark lige nu plages af den såkaldte Log4Shell-sårbarhed, der kort fortalt er en sikkerhedsbrist og et hul i et logningssystem, som mange virksomheder og myndigheder verden over bruger.

Forsikring & Pension oplyser, at en tredjedel af de store danske virksomheder oplever brud på it-sikkerheden, og ifølge Forsikring & Pension koster cyberangreb i snit de danske virksomheder 4 mia. kr. årligt.

Ifølge EU-Kommissionen vil it-kriminalitet stige markant de kommende år på europæisk plan og koste virksomhederne et gigantisk milliardbeløb.

Bestyrelserne i danske virksomheder har ifølge selskabsloven en forpligtelse til at afdække virksomhedens risici.

Men de er ifølge forsikringsselskaberne ikke gode nok til at sikre deres virksomheder mod cyberkriminalitet.

»Undersøgelser fra Center for Cybersikkerhed og Erhvervsstyrelsen viser, at cybersikkerheden ikke alle steder – og navnlig ikke i SMV-segmentet – ligger særligt højt. Det virker, som om mange virksomheder ikke har styr på deres risikoniveau og ikke har overvejet, at risikoen for en cyberhændelse kan være høj og nærmest lukke en virksomhed,« siger Pia Holm Steffensen, underdirektør i Forsikring & Pension.

Hvis bestyrelser ikke gør andet end bare at købe en cyberforsikring og så tro, at nu er alt i skønneste orden, risikerer bestyrelsesmedlemmer at blive erstatningsansvarlige.

Lars Krull, seniorrådgiver ved Aalborg Universitet og leder af en bestyrelsesuddannelse.

Seniorrådgiver Lars Krull fra Aalborg Universitet er ansvarlig for en bestyrelsesuddannelse og har de senere år uddannet flere hundrede personer, som sidder rundt om i danske virksomheders bestyrelser. De er alle blevet uddannet i, hvor vigtigt det er at holde styr på alle risikofaktorer i de virksomheder, hvor de sidder i bestyrelsen, herunder også it-delen.

»Det står ganske enkelt i bekendtgørelsen for obligatorisk bestyrelsesuddannelse for finansielle virksomheder, at de også skal uddannes i it og it-sikkerhed. Så det bør alle være meget opmærksomme på,« siger Lars Krull.

Hvis de undlader at bruge tilstrækkelig med tid og kræfter på at sikre den virksomhed, som de repræsenterer, mod it-kriminelle, kan de eventuelt gøres erstatningsansvarlige.

Vi ønsker at presse bestyrelserne til at tage området mere alvorligt, fordi det ikke håndteres godt nok i dag.

Rasmus Jørgensen, adm. direktør i HDI Danmark.

»Hvis den gør alt, hvad der står i dens magt, og hvad der er it-mæssigt forsvarligt, så er bestyrelsen i sikkerhed. Men hvis den ikke gør andet end bare at købe en cyberforsikring og så tro, at nu er alt i skønneste orden, risikerer bestyrelsesmedlemmer at blive erstatningsansvarlige helt eller delvist for den udgift, som forsikringsselskabet har til at dække skaden,« siger Lars Krull.

Forsikringsselskaberne ser gerne, at bestyrelserne bruger mere tid og energi på at bekæmpe truslen.

»Vi ønsker at presse bestyrelserne til at tage området mere alvorligt, fordi det ikke håndteres godt nok i dag,« siger Rasmus Jørgensen fra HDI Danmark.

Alm. Brand opfordrer også virksomhedsledelserne til at oppe sig.

»Et cyberangreb kan have store økonomiske konsekvenser, og for især mindre virksomheder kan det umuliggøre driften og medføre store økonomiske omkostninger. Derfor vil vi klart opfordre til, at virksomhederne forholder sig aktivt til risikoen,« siger Lars Braune, direktør i Alm. Brand Erhverv, der har bemærket en ny tendens.

»Som noget nyt oplever vi i Alm. Brand også en stigende tendens til, at virksomheder stiller krav om cyberforsikring hos deres leverandører,« lyder det.

Læs også
Top job