Cyberforsikring for alle penga

fireInformasjonssikkerhet er ikke bare et rent teknisk område, men må sees i sammenheng med økonomiske insentiver; hvor mye og hvilken type sikkerhet lønner seg? I dag velger mange bedrifter bevisst bort anerkjente sikkerhetsmekanismer fordi det rett og slett er billigere å ta støyten av et angrep, men grunnlaget for å ta slike valg er i de fleste tilfeller tynt. I andre tilfeller brukes enorme summer på sikkerhet som strengt tatt ikke er nødvendig (markedet for sikkerhetsprodukter og tjenester bare i Europa ligger på €4,6 milliarder årlig [1]). For å adressere økonomisk risiko ved dataangrep mot IT-systemer har både små og store bedrifter begynt å ty til spesielle forsikringer mot dette [2].

Ser man over dammen er cyberforsikring faktisk den raskest voksende nisjeforsikringen [3]. Omtrent 31% av alle bedrifter i USA har dette allerede og ytterligere 39% planlegger å kjøpe i nær fremtid [4]. Enkelte kunder har sågar krav om at leverandører må ha slik forsikring [2] for at de i det hele tatt skal bruke dem. Her i Norge er fremdeles ikke cyberforsikring veldig utbredt, men tidligere i år gikk Øystein Skagestad ut i DN [5] og fortalte at If jobbet med å lage en datakriminalitetsforsikring etter at kundene nå har begynt å etterspørre det. Gjensidige har allerede en generell kriminalitetsforsikring [6] som kan utvides til å dekke datakriminalitet, og meglerselskap som Norwegian Broker [7] og AIG [8] formidler slike forsikringer fra utlandet. Det finnes helt sikkert andre forsikringsselskaper som har eller kommer med tilsvarende produkter også, for å gjenbruke et sitat fra New York Times [9]: “Insurers can’t afford not to be in this thing”.

Noe av utfordringen med cyberforsikring er at det er vanskelig å måle hva en skade betyr rent økonomisk, ettersom det først og fremst er omdømmet til bedriften det går ut over når det har vært et innbrudd eller sabotasje i IT-systemene. Kostnaden for å reparere et omdømme vil ha stor varians, og det finnes ingen god empiri man kan basere seg på.

Sett fra forsikringsselskapene ståsted er det vanskelig å tilby gode produkter til bedrifter på grunn av manglende innsikt i hva som gjør et IT-system sikkert [3], og det er derfor vanskelig å stille krav og gi anbefalinger til kundene. På samme måte som en boligforsikring baseres på parametere som anslått verdi, størrelse, type vinduer, antall brannalarmer, dørlås, osv., vil det være behov for å kunne karakterisere IT-systemet med tanke på implementert sikkerhet. Det er nettopp her vi ser et stort behov for forskning som gjør at vi kan:

  • Bli bedre på å samle inn data om hvilke tiltak som fungerer for å hindre sikkerhetshendelser [10]. Dette forutsetter også bedre oversikt over potensielle hendelser og hva som forårsaker dem.
  • Bli bedre på å vurdere kostnader for sikkerhetstiltak, spesielt i de tidlige utviklingsfasene av IT-systemer, hvor investeringene er minst. På den måten blir det lettere å vurdere om man skal hå en røykvarsler eller sprinkleranlegg i systemet sitt.
  • Lage sikkerhetsprofiler for IT-systemer som dokumenterer sikkerhetstiltak under utvikling og i bruk. Slike profiler kan fungere som et bindeledd mellom bedrifter og forsikringsbransjen, slik at det blir lettere å fastslå en riktig forsikringspremie.

For tiden mener jeg den beste artikkelen innenfor dette området er skrevet at to forskere fra George Washington University, Costis Toregas og Nicolas Zahn. Den heter “Insurance for Cyber Attacks: The Issue of Setting Premiums in Context” [11] og anbefalt lesning for enhver som er interessert i dette området. Ta også gjerne kontakt med oss her på SINTEF for samarbeid rundt kost/nytte i programvaresikkerhet.

Kilder:

  1. ENISA (2008): Security Economics and the Internal Market. 
  2. The Risk Report  (2013): Cyber Endorsement for traditional Insurance Policies
  3. Future Tense (2014): The $10 Million Deductible: Why the cyberinsurance industry is a mess. 
  4. The Wall Street Journal (2013): Cyberinsurance: A Buyer’s Guide
  5. Dagens Næringsliv (2014): Vil forsikre Norge mot hacking 
  6. Gjensidige (2014): Kriminalitetsforsikring 
  7. Norwegian Broker (2014): Cyberforsikring
  8. AIG (2014): CyberEdge forsikring 
  9. New York Times (2014): Cyberattack Insurance a Challenge for Business 
  10. Bruce Schneier (2014): The State of Cyberinsurance
  11. The Cyber Security Policy and Research Institute (2014): Insurance for Cyber Attacks: The Issue of Setting Premiums in Context