Sådan kommer du i gang med at forsikre dig mod hacker-angreb

Hackerangreb rettet mod danske virksomheder stiger i antal og kompleksitet. Du kan gardere dig mod rigtig mange skrækscenarier ved at tegne en fuldfed hackerforsikring. Læs her, hvordan du kommer i gang.

Hackerangreb i din virksomhed kan karakteriseres som alt fra træls til katastrofalt.

For der er stor forskel på, om der er tale om drengestreger eller målrettet industrispionage i milliardklassen, hvor de lyssky bagmænd er stukket af sted med virksomhedens femårs-plan.

Hvis du har haft ubudne gæster i dit netværk eller på virksomhedens computere, er det muligt at tegne en hackerforsikring, der er meget lig de almindelige kriminalitetsforsikringer.

For med et stigende antal hackerangreb i Danmark har flere forsikringsselskaber fået cyberforsikringer på menukortet.

Fra netbank til fuld dækning
Udbuddet af disse forsikringer startede i Danmark for godt fem år siden, hvor (typisk) mindre virksomheder kunne forsikre sig mod deres indestående i netbanker.

Det skyldes, at virksomheder modsat privatpersoner selv hæfter for tab i netbanken.

Siden er repertoiret inden for hackerforsikringerne skudt i alle mulige retninger.

I dag dækker hackerforsikringer alt fra tab og genetablering af data over forsikring mod elektronisk pengeafpresning til forsinkelse af projektafleveringer og efterfølgende pr-arbejde som følge af imagetab i kølvandet på et hackerangreb.

Grundet det nye og noget brogede marked kan det det derfor også være en jungle at komme i gang med at tegne en forsikring til sikring af skader forårsaget som følge af hackerangreb.

Kender ikke egne risici
Et af de selskaber, der har specialiseret sig i at hjælpe danske virksomheder med hackerforsikringer, er Dahlberg empowered by Söderberg & Partners.

Hos Dahlberg fortæller salgs- og marketingchef, Stinne Ølshøj, at kunder fra de mellemstore til de helt store virksomheder er på vej videre fra netbank-forsikringen.

Hun fortæller, at i dag efterspørger selskaberne i stigende grad de fuldfede cyberforsikringer.

Det vil sige forsikringer, der kan dække dem ved et eventuelt fatalt hackerangreb, hvor data og kreditkortoplysninger bliver stjålet, og virksomheden efterfølgende må leve med blandt andet læk af fortrolige oplysninger, driftstab i form af mistede projekter og prestigetab.

Herunder skal man eventuelt også se på, hvordan man er dækket for datatab, der sker som følge af et hack mod en hostingudbyder, hvor virksomheden kan have sine kundedata og kreditkortinformationer lagret.

DDoS, phishing og virus
Det er dog langtfra alle, der har helt styr på, hvad de kan få dækket og ikke dækket som følge af et angreb på selskabets servere.

"Kunderne ser og læser om de store skader, som der bliver flere og flere af. Kunderne kender primært til skadeshistorier fra medierne, men er ikke bevidste om deres egne egentlige risici, og de ved derfor heller ikke, hvordan man kan forsikre sig mod dem," fortæller Stinne Ølshøj til Computerworld.

Hun forklarer, at flere virksomheder ikke altid den helt store forståelse for, at it-sikkerhedsprodukter i sig selv sjældent kan stå alene.

For angreb kan komme fra de mest uventede kanter og via metoder, som er svære at gardere sig imod, selv hvis virksomheden jævnligt træner sit it-sikkerhedsberedskab og holder sin software opdateret.

"Typisk ser vi DDoS-angreb på hjemmesider, phising og flere og flere virksomheder får virus ind i deres systemer," fortæller Stinne Ølshøj fra Dahlberg om det 'nye' trusselsbillede.

Tabte millioner på leverandør-hack
Selskabet er desuden lige for tiden i dialog med et selskab, der har tabt adskillige millioner kroner i forbindelse med en pengeoverførsel til en leverandør i Asien.

Tabet skyldes, at leverandørens it-system er blevet hacket, så den danske virksomhed har modtaget en faktura med falsk kontonummer, som de mange millioner kroner er blevet overført til - og dermed tabt.

"Kunden er ikke forsikret for dette med sine nuværende dækninger, men vi arbejder lige for at lave en fremtidig løsning til kunden. Denne type skader er også noget, som vi ser som en tendens, da flere og flere ender med at betale dobbelt for deres varer," lyder det fra Stinne Ølshøj.

Gigant-forskel på lille og stor
Den lille virksomhed kan typisk forsikre sig mod it-kriminalitet via hyldeprodukter fra mainstream-selskaber som eksempelvis Codan, TopDanmark og Tryg.

Den slags selskaber har typisk en relativ simpel forsikring til tab i netbanken eller i enkelte tilfælde ved genetablering af data efter sabotage eller virusangreb.

Derimod kan du som standard ikke forvente at få erstatning for tab af forretningshemmeligheder og følgeskader som eksempelvis forsinkede projektaflevering og tabte kunder.

Derfor ville sådan en 'lille' forsikring have været total utilstrækkelig for en international virksomhed som Sony Pictures, der lige før jul blev hacket på grund af premiereren på filmen 'The Interview'.

Til større virksomheder
Arbejder du i en mellemstor eller stor virksomhed med værdifulde forretningshemmeligheder på netværksserveren, kan forsikringen dække noget nær alting, du er villig til at betale for.

Hvordan og hvorledes priserne på en "stor" cyberforsikring er skruet sammen, afhænger blandt andet af, hvor eksponeret din virksomhed er og ikke mindst, hvad du er villig til at betale i selvrisiko og i årlig præmiesum.

I disse noget mere komplekse tilfælde anbefaler Dahlberg, at du kontakter it-specialiserede forsikringsselskaber som AIG, ACE, Chubb og CNA, hvor stort alt er til forhandling, og hvor du kan få skræddersyede løsninger, der blandt andet inkluderer et globalt it-beredskabssteam til rådighed døgnet rundt.

"Hos os kan præmien ligge alle steder mellem 10.000 og 10 millioner kroner," forklarer Chris la Cour Valentin, som er cyberansvarlig i den nordiske region hos den amerikanske forsikringsgigant AIG.

"En stor global virksomhed med en høj forsikringssum vil ligge i millionenden, mens præmien for små lokale virksomheder med en lille risiko vil være betragteligt lavere," fortsætter han.

Intern kamp hos kunderne
Chris la Cour Valentin fortæller, at cyber-forsikringerne har eksisteret i USA i godt 10 år, mens AIG begyndte sit europæiske indtog på cyberområdet for snart tre år siden.

Og efterspørgslen er efter sigende i vækst på begge markeder. 

"På europæisk plan kan vi, særligt indenfor de sidste seks måneder, se, at der er en stor stigning i efterspurgte cyberforsikringer. Det giver ikke så meget mening at sætte et præcist tal på solgte forsikringer, da udgangspunktet er lavt; men en stigning på måske 1-000 procent er ikke urealistisk," forklarer han.

AIG modtager på verdensplan i gennemsnit to anmeldelser som dagen, som ofte resulterer i store millionudbetalinger til kunderne i følge den cyber-ansvarlige forsikringsmand. 

Chris la Cour Valentin fortæller, at selve forsikringen kan udarbejdes fra dag til dag, men der er typisk flere interne konflikter hos kunderne, der udskyder processen. 
Det kan eksempelvis dreje sig om, hvor stor risikoen egentlig er for et hackerangreb. 

"Da virksomhedernes risk managers, CFO's og andre interessenter bevæger sig ind på it-afdelingens domæne udfordrer de således it-folkenes selvforståelse af risiko og sikkerhed og deres evner til at dæmme op for et angreb," siger Chris la Cour Valentin. 

"Ofte bruges der meget krudt internt i virksomhederne på netop den del i forbindelse med tegning af forsikringen. Vi anser denne skepsis som et naturligt led i introduktion af sådan nyt forretningsområde," fortsætter den cyberansvarlige dansker hos AIG.

Spørg lige om prisen
Ligesom alle andre typer forsikringer er hackerforsikringer en risikovurdering fra både din og forsikringsselskabets side.
Derfor har forsikringsselskaberne og/eller den forsikrede virksomhed ofte hyret it-sikkerhedsselskaber til at gennemgå selskabets it-setup før, der bliver skrevet under på en aftale.

For det er indtil videre ikke nødvendigt at blande myndigheder som politiet ind i hackersager, som det ellers kendes fra helt almindelige indbrud hjemme i privaten.

"Forsikringsselskaberne har uden tvivl set, at erstatningerne kan gå hen og blive rigtig store, og derfor bliver vi fra sikkerhedsbranchen hevet ind til uvildige 'light' undersøgelser af en it-virksomheds it-setup. Forsikringsselskaberne vil jo i sagens natur gerne have afdækket, hvor risikoen ligger," siger teknisk direktør Jan Kaastrup fra sikkerhedsselskabet CSIS Security Group.

Sådan en undersøgelse kan med sikkerhedsekspertens ord tage alt fra én dag til et halvt år.

"Jeg har været med som sikkerhedsspecialist i flere sager på både kunde- og forsikringsselskabets side, og der har været rimelige klare krav i policen. Min vurdering er også, at især kunderne har været rigtig glade for at have en forsikring, og der har da heller ikke været problemer med udbetalingen," siger teknisk direktør Jan Kaastrup fra sikkerhedsselskabet CSIS Security Group.

Samtidig bedyrer han, at han endnu har til gode at se ordet 'selvforskyldt' optræde i en forsikringsbetingelse.

"Som kunde kan man dog godt stille spørgsmålstegn ved, om den maksimale udbetaling på eksempelvis 10 millioner kroner reelt er nok til at dække ens egen risici og alle de følgevirkninger, et hackerangreb har," lyder rådet fra Jan Kaastrup.

Sikkerhed i kompleks virksomhed
Også sikkerhedskollega Jens Christian Høy Monrad fra it-sikkerhedsselskabet FireEye foreslår, at man som virksomhedsansvarlig bør holde et skarpt øje med både præmie og udbetalingsmuligheder, når der skal indgås en kontrakt.
"Hvordan medarbejdere i dag tilgår virksomhedens data fra hjemmefronten eller på deres mobiler, gør det hele mere komplekst. Samtidig er trusselniveauet også mere komplekst end tidligere, hvilket kan være med til at hæve præmien," lyder det fra Jens Christian Høy Monrad.

Hans firma har i de seneste 100 dage i gennemsnit set 23 APT-angreb om dagen på virksomheder i Norden.

APT-angreb står for Advanced Persistant Threat-angreb, og offensiven rettes mod udvalgte (ledelses) personer i virksomhederne, som i gennemsnit er et halvt års tid om at opdage, at de har fået uønsket besøg i netværket.

I første omgang kan sådan et APT-angreb være i form af phishing eller spear phishing, der siden kan give adgang til brugerkonti og derved til rettigheder i netværket. Når der er skabt adgang til netværket installeres værktøjer og malware, der kan udnytte data.

Angrebene er forbundet med lav offentlig synlighed, men høj risiko for den angrebne virksomhed.

"Antallet af APT-angreb er en smule mere, end vi så for blot få år siden, og tallet er uden tvivl i stigning, hvilket er en udfordring for virksomheder, der har patenter og forhandlingsaftaler liggende på netværksservere," siger Jens Christian Høy Monrad.

Meldepligt på vej
Intet tyder på, at truslerne forsvinder af sig selv - tværtimod.

Og med et stigende antal enheder forbundet til det store verdensomspændende internet, bliver forsikringssager også mere og mere komplekse med tiden, forudsiger han.

"Dertil kommer, at der på politisk niveau er meldepligt ved hackerangreb på vej. Så vil man som virksomhed jo nok gerne have en eller anden erstatning, hvis man som virksomhed har været udsat for angreb, hvilket jo ellers er meget tabubelagt," lyder det fra Jens Christian Høy Monrad.

Den meldepligt, som han hentyder til, er dønninger fra EU, der formentlig til sommer er på banen med et data-beskyttelsesdirektiv.

Her forlyder det, at virksomheder skal være forpligtede til at melde om, hvis de mister vigtige kundedata som kreditkortdata og sundhedsoplysninger.

Indtil videre tyder det på, at EU med direktivet vil indføre en regel om, at europæiske virksomheder selv skal informere alle ramte personer inden for 72 timer, efter at det er blevet opdaget, at deres data er blevet kompromitteret.

Senest har USA's præsident Barack Obama været ude med lignende meldinger - her lyder informationsrammen på 30 dage, inden berørte personer skal have besked om, at deres data er blevet hugget hos en virksomhed som det hackede Target.

Læs også: 
Her er de 46 største (og værste) sikkerhedshistorier i 2014




Premium
Skal du tage en Pro eller ej? Sådan vælger du imellem iPhone 12 og 12 Pro
Apples to iPhone-nyheder minder overraskende meget om hinanden. Der er dog væsentlige forskelle, som du skal være opmærksom på, når du vælger.
Computerworld
Det nye MitID er et tigerspring for bedre cybersikkerhed
Klumme: Det nye MitID er en enestående mulighed for et markant løft af it-sikkerheden i danske kommuner. Med baggrund i udfasningen af det nuværende NemID kan de samtidig forbedre og styrke deres it-systemers værn overfor cyberangreb.
CIO
Podcast: Hos Viking Life-Saving Equipment er it gået fra at være backend til at være noget, som kunderne spørger aktivt efter
Podcast, The Digital Edge: Viking leverer en stadig større del af deres produkt som en tjeneste. Som en del af tjenesten tager Viking ansvar for sikkerheden ved at levere, dokumentere og vedligeholde det nødvendige sikkerhedsudstyr. Hør hvordan Henrik Balslev senior digital director hos Viking har løftet den opgave.
Job & Karriere
Regner din ferie væk? Brug tiden på at søge en af disse otte stillinger, der er ledige netop nu
Det sjasker ned over hele Danmark. Du kan bruge de våde sommerdage på at søge et af disse otte job, der er ledige lige nu.
White paper
Sådan: Beskyt virksomheden effektivt mod mailbårne angreb
Mailserveren er rykket i skyen, typisk i form af Office 365, men det er truslerne også. For trods højt sikkerhedsniveau hos Microsoft er virksomhederne mindst lige så udsat for mailbårne cyberangreb som førhen. Enten i form af social engineering – hvor angriberne prøver at lokke adgangsgivende informationer ud af medarbejderne, i form af phishing eller gennem deciderede malwareangreb. Dertil kommer forsøg på svindel i form af eksempelvis CEO-fraud, falske fakturaer og meget andet. Denne hvidbog giver et opdateret overblik over angrebsformerne og konkrete bud på, hvordan du bedst forebygger, at din virksomhed rammes.