Cyberforsikring: Del risikoen, hvis du er klar – men husk dét med småt

Er forsikring måden at slippe for risikoen?

Håndtering af IT-risici er en disciplin flere og flere virksomheder og organisationer både nu og særligt i fremtiden skal forholde sig til, blandt andet som følge af øget lovgivning.    

Men hvordan ”slipper man af med en risiko”? En nærliggende tanke er at flytte risikoen til et forsikringsselskab, for derigennem at slippe nemt ud af udfordringen. Men mange overser ”det med småt”, hvilket kan give uoverskuelige konsekvenser for virksomheder og i værste fald konkurs, hvis forsikringen ikke dækker.  

I denne artikel vil Martin Kofoed, Partner & Chief Cyber Security Officer, Cyber Security Division hos itm8, kigge nærmere på, hvordan du kan forbedre dine muligheder for, at forsikringen kan hjælpe din virksomhed i tilfælde af en kritisk hændelse.

Håndtering af IT-risici – sandsynlighed, konsekvens og appetit 

IT-risikostyring er en omfattende disciplin for mange virksomheder. Kompleksiteten eksisterer i en sådan grad, at der er udarbejdet flere rammeværker som eks. ISO 27005, der beskriver hvordan man klassificerer eksterne trusler og behandler de afledte risici for organisationen. Hvordan man løbende moniterer risici, og hvordan man rapporterer på dem. 

Grundlæggende set handler det om at identificere sandsynligheden for og konsekvensen af, hvis en given risiko indtræffer. Når man har dette overblik, skal man som virksomhed vurdere, om resultatet ligger inden for virksomhedens besluttede risikoappetit – altså ”tør” vi løbe an på, at vi som virksomhed kan ”overleve” resultatet af en given risiko, hvis den realiseres?  

IT-risikostyring er en kontinuerlig proces, da truslerne løbende udvikler sig. Både i en positiv og en negativ retning. Virksomhedens topledelse skal løbende holdes orienteret om denne udvikling, så rette prioriterende indsatser kan igangsættes, så der passes på virksomhedens aktiver, data og medarbejdere.  

Men hvordan håndteres en IT-risiko? 

4 måder at håndtere en risiko på  

En risiko kan basalt set håndteres på fire måder, også kendt som de 4 t’er: Tolerate, Terminate, Treat og Transfer. På dansk oversat til:

Forsikringen kan være vores bedste ven og værste fjende 

Når man anskuer mulighederne for at håndtere en given risiko, kan det virke tillokkende at overføre hele eller dele af risikoen til andre. Fordi man tænker, at livet og forretningen går videre i bedste ro og orden. Eller gør den? 

Desværre overser mange de forudsætninger en cyberforsikring indeholder. Eller toplederen der indgår forsikringen, modtager utilstrækkelige informationer fra IT-afdelingen om, hvordan rigets tilstand – risikovurderingen – reelt er. Og det kan få alvorlige konsekvenser!  

Indbrud eller simpelt tyveri 

Det kan måske være nemmere at forstå og identificere udfordringen, hvis vi drager en parallel til vores private indboforsikring. 

En indboforsikring dækker i tilfælde af indbrud. Men der er nogle forudsætninger, der skal være til stede. F.eks. skal døre og vinduer være aflåst, når vi har forladt boligen. Ellers er det ikke indbrud men simpelt tyveri. Det betyder, at forudsætningerne for at vores indboforsikring dækker reduceres eller i værste fald bortfalder. 

Har vi ydermere - lidt letsindigt - fået afkrydset feltet med ”alarm”, men undladt at slå den til, kan det ligeledes have konsekvenser for forsikringens håndtering af sagen. Det samme gør sig i høj grad gældende for en cyberforsikring.  

Selvevaluering tages meget alvorligt 

Når aftalen bliver indgået, vil virksomheden ofte gennemføre en selvevaluering. Et afkrydsningsskema hvor man f.eks. dokumenterer følgende: 

• Ja, vi har en IT-sikkerhedspolitik og træner vores medarbejdere i forståelse af denne.
• Ja, vi gennemfører sikkerhedsopdatering af kritiske sårbarheder inden for en uge.
• Ja, vi overvåger løbende logs og alarmer fra vores systemer.
• Ja, vi anvender multifaktorgodkendelse ved login til fjernarbejde (f.eks. hjemmearbejde) og til administrative systemer. 
  

Umiddelbart overkommelige aktiviteter. Men hvad hvis det reelt ikke forholder sig sådan? 

Forsikringsselskaber udfører risikovurderinger på deres kunder. Det er væsentligt for forsikringsselskabets kerneforretning, at der ikke indgås aftaler med virksomheder, som medfører en væsentlig risiko for forsikringen.  

Hvis risikoen i forhold til forsikringsselskabet er for stor, vil det jo afspejle sig i den police, virksomheden skal betale. Derfor er selvevalueringen noget som forsikringsselskabet tager meget alvorligt. I særdeleshed hvis der opstår en hændelse, der skal vurderes i forhold til dækning eller ej.  

Hvor, hvordan og hvad? Tre spørgsmål forsikringen vil stille 

Alt for ofte har jeg bistået virksomheder, der er blevet ramt af f.eks. ransomware – som er en af de største IT-relaterede trusler i dag, fordi den har en markant risiko for virksomhedens overlevelse i tilfælde af længerevarende driftsnedbrug. Det er en oplagt risiko at dele med en cyberforsikring. 

Når vi assisterer virksomheder, der er ramt af cyberangreb, er det en væsentlig del at identificere følgende:  

• Hvor kom de cyberkriminelle ind (patient zero)?
• Hvordan/hvorfor kunne det ske (root cause)?
• Hvad gør vi for at sikre, at det ikke sker igen (mitigerende handlinger)?

Samme spørgsmål vil en cyberforsikring naturligvis også stille, da forsikringen har en interesse i at reducere gentagelse af hændelser. Og her opstår udfordringen ofte.

Den kedelige erkendelse

Det er afgørende, om virksomheden har svaret korrekt, da de oplyste til forsikringsselskabet, at de f.eks. har etableret multifaktorgodkendelse på internetvente systemer? Hvis svaret var ”ja”, men undersøgelsen viser ”nej”, så står virksomheden potentielt med en stor udfordring. Og risiko for at hænge på regningen selv. 

Jeg har personligt selv bistået en virksomhed ramt af ransomware, hvor det netop var manglende etablering af multifaktorgodkendelse (MFA), der endte som en tvist mellem virksomheden og forsikringsselskabet. For det var et krav i policen, som virksomheden ikke levede op til.

Det er derfor afgørende at virksomheden har styr på ”det med småt” og svarer oprigtigt, når selvevalueringen gennemføres. Og hvis der er tvivl, så få bistand fra en uvildig tredjepart til at vurdere den faktiske modenhed og efterlevelse af forsikringens mindstekrav.   

Risikohåndtering skal tages alvorligt

IT-risikostyring og -håndtering er en vigtig disciplin for virksomheder og organisationer. Men det stiller store krav til, at man udfører en effektiv intern ”due diligence”. Tillid er godt, men kontrol er ofte bedre og i mange tilfælde nødvendigt. 

Hvis virksomheden er afhængig af interne processer og kontroller, for at kunne få dækket et økonomisk driftstab (der kan løbe op i mange millioner kroner), så bør man som organisation sikre, at man lever op til forudsætningerne fremsat i forsikringspolicen. Det kan i sidste ende betyde virksomhedens overlevelse.  

Det kan være en yderst relevant behandling af en IT-risiko, at dele konsekvensen med et forsikringsselskab. Men det vigtigt at huske, at intet kommer gratis. Og at man altid skal have styr på det med småt.