Sådan kommer du i gang med at forsikre dig mod hacker-angreb

Hackerangreb rettet mod danske virksomheder stiger i antal og kompleksitet. Du kan gardere dig mod rigtig mange skrækscenarier ved at tegne en fuldfed hackerforsikring. Læs her, hvordan du kommer i gang.

Hackerangreb i din virksomhed kan karakteriseres som alt fra træls til katastrofalt.

For der er stor forskel på, om der er tale om drengestreger eller målrettet industrispionage i milliardklassen, hvor de lyssky bagmænd er stukket af sted med virksomhedens femårs-plan.

Hvis du har haft ubudne gæster i dit netværk eller på virksomhedens computere, er det muligt at tegne en hackerforsikring, der er meget lig de almindelige kriminalitetsforsikringer.

For med et stigende antal hackerangreb i Danmark har flere forsikringsselskaber fået cyberforsikringer på menukortet.

Fra netbank til fuld dækning
Udbuddet af disse forsikringer startede i Danmark for godt fem år siden, hvor (typisk) mindre virksomheder kunne forsikre sig mod deres indestående i netbanker.

Det skyldes, at virksomheder modsat privatpersoner selv hæfter for tab i netbanken.

Siden er repertoiret inden for hackerforsikringerne skudt i alle mulige retninger.

I dag dækker hackerforsikringer alt fra tab og genetablering af data over forsikring mod elektronisk pengeafpresning til forsinkelse af projektafleveringer og efterfølgende pr-arbejde som følge af imagetab i kølvandet på et hackerangreb.

Grundet det nye og noget brogede marked kan det det derfor også være en jungle at komme i gang med at tegne en forsikring til sikring af skader forårsaget som følge af hackerangreb.

Kender ikke egne risici
Et af de selskaber, der har specialiseret sig i at hjælpe danske virksomheder med hackerforsikringer, er Dahlberg empowered by Söderberg & Partners.

Hos Dahlberg fortæller salgs- og marketingchef, Stinne Ølshøj, at kunder fra de mellemstore til de helt store virksomheder er på vej videre fra netbank-forsikringen.

Hun fortæller, at i dag efterspørger selskaberne i stigende grad de fuldfede cyberforsikringer.

Det vil sige forsikringer, der kan dække dem ved et eventuelt fatalt hackerangreb, hvor data og kreditkortoplysninger bliver stjålet, og virksomheden efterfølgende må leve med blandt andet læk af fortrolige oplysninger, driftstab i form af mistede projekter og prestigetab.

Herunder skal man eventuelt også se på, hvordan man er dækket for datatab, der sker som følge af et hack mod en hostingudbyder, hvor virksomheden kan have sine kundedata og kreditkortinformationer lagret.

DDoS, phishing og virus
Det er dog langtfra alle, der har helt styr på, hvad de kan få dækket og ikke dækket som følge af et angreb på selskabets servere.

"Kunderne ser og læser om de store skader, som der bliver flere og flere af. Kunderne kender primært til skadeshistorier fra medierne, men er ikke bevidste om deres egne egentlige risici, og de ved derfor heller ikke, hvordan man kan forsikre sig mod dem," fortæller Stinne Ølshøj til Computerworld.

Hun forklarer, at flere virksomheder ikke altid den helt store forståelse for, at it-sikkerhedsprodukter i sig selv sjældent kan stå alene.

For angreb kan komme fra de mest uventede kanter og via metoder, som er svære at gardere sig imod, selv hvis virksomheden jævnligt træner sit it-sikkerhedsberedskab og holder sin software opdateret.

"Typisk ser vi DDoS-angreb på hjemmesider, phising og flere og flere virksomheder får virus ind i deres systemer," fortæller Stinne Ølshøj fra Dahlberg om det 'nye' trusselsbillede.

Tabte millioner på leverandør-hack
Selskabet er desuden lige for tiden i dialog med et selskab, der har tabt adskillige millioner kroner i forbindelse med en pengeoverførsel til en leverandør i Asien.

Tabet skyldes, at leverandørens it-system er blevet hacket, så den danske virksomhed har modtaget en faktura med falsk kontonummer, som de mange millioner kroner er blevet overført til - og dermed tabt.

"Kunden er ikke forsikret for dette med sine nuværende dækninger, men vi arbejder lige for at lave en fremtidig løsning til kunden. Denne type skader er også noget, som vi ser som en tendens, da flere og flere ender med at betale dobbelt for deres varer," lyder det fra Stinne Ølshøj.

Gigant-forskel på lille og stor
Den lille virksomhed kan typisk forsikre sig mod it-kriminalitet via hyldeprodukter fra mainstream-selskaber som eksempelvis Codan, TopDanmark og Tryg.

Den slags selskaber har typisk en relativ simpel forsikring til tab i netbanken eller i enkelte tilfælde ved genetablering af data efter sabotage eller virusangreb.

Derimod kan du som standard ikke forvente at få erstatning for tab af forretningshemmeligheder og følgeskader som eksempelvis forsinkede projektaflevering og tabte kunder.

Derfor ville sådan en 'lille' forsikring have været total utilstrækkelig for en international virksomhed som Sony Pictures, der lige før jul blev hacket på grund af premiereren på filmen 'The Interview'.

Til større virksomheder
Arbejder du i en mellemstor eller stor virksomhed med værdifulde forretningshemmeligheder på netværksserveren, kan forsikringen dække noget nær alting, du er villig til at betale for.

Hvordan og hvorledes priserne på en "stor" cyberforsikring er skruet sammen, afhænger blandt andet af, hvor eksponeret din virksomhed er og ikke mindst, hvad du er villig til at betale i selvrisiko og i årlig præmiesum.

I disse noget mere komplekse tilfælde anbefaler Dahlberg, at du kontakter it-specialiserede forsikringsselskaber som AIG, ACE, Chubb og CNA, hvor stort alt er til forhandling, og hvor du kan få skræddersyede løsninger, der blandt andet inkluderer et globalt it-beredskabssteam til rådighed døgnet rundt.

"Hos os kan præmien ligge alle steder mellem 10.000 og 10 millioner kroner," forklarer Chris la Cour Valentin, som er cyberansvarlig i den nordiske region hos den amerikanske forsikringsgigant AIG.

"En stor global virksomhed med en høj forsikringssum vil ligge i millionenden, mens præmien for små lokale virksomheder med en lille risiko vil være betragteligt lavere," fortsætter han.

Intern kamp hos kunderne
Chris la Cour Valentin fortæller, at cyber-forsikringerne har eksisteret i USA i godt 10 år, mens AIG begyndte sit europæiske indtog på cyberområdet for snart tre år siden.

Og efterspørgslen er efter sigende i vækst på begge markeder. 

"På europæisk plan kan vi, særligt indenfor de sidste seks måneder, se, at der er en stor stigning i efterspurgte cyberforsikringer. Det giver ikke så meget mening at sætte et præcist tal på solgte forsikringer, da udgangspunktet er lavt; men en stigning på måske 1-000 procent er ikke urealistisk," forklarer han.

AIG modtager på verdensplan i gennemsnit to anmeldelser som dagen, som ofte resulterer i store millionudbetalinger til kunderne i følge den cyber-ansvarlige forsikringsmand. 

Chris la Cour Valentin fortæller, at selve forsikringen kan udarbejdes fra dag til dag, men der er typisk flere interne konflikter hos kunderne, der udskyder processen. 
Det kan eksempelvis dreje sig om, hvor stor risikoen egentlig er for et hackerangreb. 

"Da virksomhedernes risk managers, CFO's og andre interessenter bevæger sig ind på it-afdelingens domæne udfordrer de således it-folkenes selvforståelse af risiko og sikkerhed og deres evner til at dæmme op for et angreb," siger Chris la Cour Valentin. 

"Ofte bruges der meget krudt internt i virksomhederne på netop den del i forbindelse med tegning af forsikringen. Vi anser denne skepsis som et naturligt led i introduktion af sådan nyt forretningsområde," fortsætter den cyberansvarlige dansker hos AIG.

Spørg lige om prisen
Ligesom alle andre typer forsikringer er hackerforsikringer en risikovurdering fra både din og forsikringsselskabets side.
Derfor har forsikringsselskaberne og/eller den forsikrede virksomhed ofte hyret it-sikkerhedsselskaber til at gennemgå selskabets it-setup før, der bliver skrevet under på en aftale.

For det er indtil videre ikke nødvendigt at blande myndigheder som politiet ind i hackersager, som det ellers kendes fra helt almindelige indbrud hjemme i privaten.

"Forsikringsselskaberne har uden tvivl set, at erstatningerne kan gå hen og blive rigtig store, og derfor bliver vi fra sikkerhedsbranchen hevet ind til uvildige 'light' undersøgelser af en it-virksomheds it-setup. Forsikringsselskaberne vil jo i sagens natur gerne have afdækket, hvor risikoen ligger," siger teknisk direktør Jan Kaastrup fra sikkerhedsselskabet CSIS Security Group.

Sådan en undersøgelse kan med sikkerhedsekspertens ord tage alt fra én dag til et halvt år.

"Jeg har været med som sikkerhedsspecialist i flere sager på både kunde- og forsikringsselskabets side, og der har været rimelige klare krav i policen. Min vurdering er også, at især kunderne har været rigtig glade for at have en forsikring, og der har da heller ikke været problemer med udbetalingen," siger teknisk direktør Jan Kaastrup fra sikkerhedsselskabet CSIS Security Group.

Samtidig bedyrer han, at han endnu har til gode at se ordet 'selvforskyldt' optræde i en forsikringsbetingelse.

"Som kunde kan man dog godt stille spørgsmålstegn ved, om den maksimale udbetaling på eksempelvis 10 millioner kroner reelt er nok til at dække ens egen risici og alle de følgevirkninger, et hackerangreb har," lyder rådet fra Jan Kaastrup.

Sikkerhed i kompleks virksomhed
Også sikkerhedskollega Jens Christian Høy Monrad fra it-sikkerhedsselskabet FireEye foreslår, at man som virksomhedsansvarlig bør holde et skarpt øje med både præmie og udbetalingsmuligheder, når der skal indgås en kontrakt.
"Hvordan medarbejdere i dag tilgår virksomhedens data fra hjemmefronten eller på deres mobiler, gør det hele mere komplekst. Samtidig er trusselniveauet også mere komplekst end tidligere, hvilket kan være med til at hæve præmien," lyder det fra Jens Christian Høy Monrad.

Hans firma har i de seneste 100 dage i gennemsnit set 23 APT-angreb om dagen på virksomheder i Norden.

APT-angreb står for Advanced Persistant Threat-angreb, og offensiven rettes mod udvalgte (ledelses) personer i virksomhederne, som i gennemsnit er et halvt års tid om at opdage, at de har fået uønsket besøg i netværket.

I første omgang kan sådan et APT-angreb være i form af phishing eller spear phishing, der siden kan give adgang til brugerkonti og derved til rettigheder i netværket. Når der er skabt adgang til netværket installeres værktøjer og malware, der kan udnytte data.

Angrebene er forbundet med lav offentlig synlighed, men høj risiko for den angrebne virksomhed.

"Antallet af APT-angreb er en smule mere, end vi så for blot få år siden, og tallet er uden tvivl i stigning, hvilket er en udfordring for virksomheder, der har patenter og forhandlingsaftaler liggende på netværksservere," siger Jens Christian Høy Monrad.

Meldepligt på vej
Intet tyder på, at truslerne forsvinder af sig selv - tværtimod.

Og med et stigende antal enheder forbundet til det store verdensomspændende internet, bliver forsikringssager også mere og mere komplekse med tiden, forudsiger han.

"Dertil kommer, at der på politisk niveau er meldepligt ved hackerangreb på vej. Så vil man som virksomhed jo nok gerne have en eller anden erstatning, hvis man som virksomhed har været udsat for angreb, hvilket jo ellers er meget tabubelagt," lyder det fra Jens Christian Høy Monrad.

Den meldepligt, som han hentyder til, er dønninger fra EU, der formentlig til sommer er på banen med et data-beskyttelsesdirektiv.

Her forlyder det, at virksomheder skal være forpligtede til at melde om, hvis de mister vigtige kundedata som kreditkortdata og sundhedsoplysninger.

Indtil videre tyder det på, at EU med direktivet vil indføre en regel om, at europæiske virksomheder selv skal informere alle ramte personer inden for 72 timer, efter at det er blevet opdaget, at deres data er blevet kompromitteret.

Senest har USA's præsident Barack Obama været ude med lignende meldinger - her lyder informationsrammen på 30 dage, inden berørte personer skal have besked om, at deres data er blevet hugget hos en virksomhed som det hackede Target.

Læs også: 
Her er de 46 største (og værste) sikkerhedshistorier i 2014




Computerworld
Trump bønfalder Helle Thorning: Giv mig min Facebook-konto tilbage
Facebooks tilsynsråd, der har Helle Thorning-Schmidt i spidsen, har modtaget en erklæring fra Donald Trump, som ønsker at få genoprettet adgangen til sin Facebook og Instagram-konto.
CIO
Der findes ikke noget vigtigere for din virksomhedskultur end psychological safety
Klumme: Forskningen er entydig: Vidensarbejde er mere effektiv, når du tør stille spørgsmål, rejse kritik og indrømme fejl helt uden frygt for at blive straffet eller gjort til grin. Hvis du ikke har fokus på denne del af din virksomhedskultur, så lever din virksomhed og dine medarbejdere ikke op til deres fulde potentiale.
Job & Karriere
IBM Danmark trækker tilbud om frivillige fratrædelser tilbage for stort antal ansatte: "IBM har taget røven på sine ansatte"
Som led i IBM Danmarks store fyringsrunde fik 130 ansatte grønt lys til at forlade selskabet på en frivillig fratrædelsesordning. Men nu har IBM Danmark trukket det oprindelige tilbud tilbage for størstedelen af de ansatte.
White paper
Sådan outsourcer du effektivt – og undgår fælderne
Nogle outsourcer for at minimere omkostningsniveauet, andre for at skaffe ressourcer og spidskompetencer, der er svære at skaffe lokalt – eller af en helt tredje årsag. Der er dog talrige forhold, der er gode at afdække, før man overhovedet begynder at lede en outsourcingudbyder. Man skal klarlægge egne projektbehov samt de spørgsmål og krav, man vil stille samt indsamle viden og erfaringer om, hvordan samarbejdet indledes, drives og styres optimalt. Dertil skal man kende til de hyppigste faldgruber, der kan få et ellers lovende outsourcingsamarbejde til at køre i grøften.