Forsikre eller ikke?

insurance

Cyber-forsikring er i ferd med å bli et aktuelt produkt på det nordiske markedet, etter å ha vært tilbudt av utenlandske aktører en tid – særlig i USA. Men hvordan vurderer man om forsikring er noe som passer for sin virksomhet?

Både små og store virksomheter er i dag nødt til å forholde seg til cyber-trusler. Dette kan man velge å gjøre på ulike måter:

  • Forhindre: Man kan sette i verk tiltak for å forhindre eller redusere sannsynligheten for at uønskede hendelser skal skje
  • Håndtere: Man kan sette seg i stand til å håndtere uønskede hendelser på en effektiv måte om de skulle oppstå
  • Spare: Man kan sette til side penger for å ha i ekstraordinære situasjoner
  • Forsikre: Man kan kjøpe forsikring
  • Akseptere: Man kan akseptere et gitt risikolnivå

I dagens verden er det i de fleste tilfeller umulig å beskytte seg helt mot cyber-trusler, og man kan derfor ikke basere seg kun på tiltak som vil forhindre hendelser. I stedet trenger man en miks av ulike strategier for å komme på et risikonivå man kan akseptere. Det er imidlertid ikke trivielt å finne en god miks.

Informasjonssikkerhet har ofte blitt sett på som et IT-anliggende, og overlatt til IT-avdelingen. Risikohåndtering er imidlertid et ledelsesanliggende først og fremst. Men for at informasjonssikkerhet skal appellere til ledere er det nødvendig å forstå og formidle hvordan informasjonssikkerhet påvirker virksomhetens mål og resultater. Kun da kan man gjøre gode strategiske beslutninger om hvor mye man skal investere i informasjonssikkerhet, og hvilken strategi man skal ha for å håndtere risikoen man opplever.

Vi opplever at mange virksomheter har kommet kort i å se informasjonssikkerhet på en slik strategisk måte. I en kartlegging av behov knyttet til informasjonssikkerhet i offentlige virksomheter var følgende utfordringer fremtredende:

  • Å etablere en forståelse av hva risikoen knyttet til informasjonssikkerhet er
  • Å integrere informasjonssikkerhet med virksomhetens mål

Gjennomføring av risikovurderinger er et viktig startpunkt for tenke strategisk om informasjonssikkerhet. For den risikoen som er høyere enn man ønsker å akseptere, bør man iverksette tiltak. Det er vanlig at beslutningstakeren står ovenfor en rekke mulige tiltak som er forbundet med ulik effekt og kostnad. Cyber-forsikring vil være ett mulig tiltak.

Cyber-forsikring vil være en god investering i en rekke situasjoner. Eksempler er situasjoner med stor usikkerhet og/eller potensielt store konsekvenser, og når man selv mangler kompetanse og/eller kapasitet til å håndtere større hendelser. Spesielt for små og mellomstore virksomheter med begrensede ressurser innen informasjonssikkerhet, kan det være en stor verdi i å få tilgang til kompetanse og ressurser gjennom en forsikring. Det kan imidlertid være vanskelig å skjønne hva en forsikring dekker. Forsikringsjurist Selena Linde har uttalt: “Cyber policies are still the Wild West of insurance policies”. Hva en forsikring dekker kan variere mye mellom selskaper. Men det er viktig å være klar over at forsikringen vanligvis dekker kostnadselementer som er lette å dokumentere, mens for eksempel omdømmetap ikke dekkes. Hvilke typer hendelser som dekkes kan også variere, for eksempel om både villede handlinger og uhell dekkes. I tillegg er hendelsesforløpet ofte litt uklart og langvarig for mange cyber-hendelser. For eksempel vil sårbarheter i programvare ofte finnes lenge før de oppdages. Så tar det igjen ofte lang tid før det kommer en patch, og enda mer tid før den installeres. Et eller annet sted her kan det så skje en hendelse som utnytter denne sårbarheten, og ofte tar det også tid før denne hendelsen blir oppdaget. I en slik virkelighet er det ikke vanskelig å se for seg at det kan bli uenigheter om hva en forsikring dekker. Og selv om det juridisk kan avklares gjennom forsikringsavtaler, så vil det kunne være komplisert å forstå for en kjøper.

Vi på SINTEF vil fortsette vår forskning på tema som er relevante for cyber-forsikring:

  • Hvordan karakterisere IT-systemer med hensyn til krav til cybersikkerhet, og hvordan vurdere i hvilken grad slike krav er oppfylt?
  • Hvordan kvantifisere og måle sikkerhet og cyberrisiko for å beregne og evaluere kostnad?
  • Hva slags beslutningsstøtte og informasjon trengs for vurdering av cyberforsikring?

For de som vil lese mer om temaet og det nye forsikringsproduktet, viser vi til oppslag i Digi, der også jeg ble intervjuet, og til pressemelding fra If som viser til en presentasjon holdt av Bjørnar Solhaug fra SINTEF om cyber-forsikring og kobling av informasjonssikkerhet med kostnader. Vi har også skrevet om temaet tidligere her på bloggen, se innlegget “Cyberforsikring for alle penga”. For mer informasjon om hvordan man kan gjøre kost-nytte vurderinger knyttet til sikkerhet, se en presentasjon av SINTEF-forsker Aida Omerovic.