Cyberforsikring 101: hva er det og trenger selskapet mitt det?

Forretningssikkerhet

Selv om det ikke er et "frikort for å komme deg ut av fengselet" for virksomheten din, kan cyberforsikring bidra til å isolere den fra den økonomiske konsekvensen av en cyber-hendelse

Phil Muncaster

13 juni 2023  •  , 4 min. lese

Cyberrisiko øker ettersom den kombinerte effekten av økende trusselnivåer, ekspanderende angrepsflater og mangel på sikkerhetskompetanse setter organisasjoner dårligere. Overfor en økt sannsynlighet for at de kan lide av et skadelig sikkerhetsbrudd, kan mange være ute etter å overføre ansvaret til en tredjeparts operatør. Men de som tror de bare kan bruke cyberforsikring som erstatning for investeringer i beste praksis cybersikkerhet kan ta feil. Faktisk er sistnevnte i økende grad nå en forutsetning for dekning.

Så hvis cyberforsikring ikke er et "fri ut av fengsel"-kort for bedrifter, hva er det bra for?

Hva er nettforsikring?

På et helt grunnleggende nivå bidrar cyberforsikring til å isolere selskaper i alle størrelser fra den økonomiske konsekvensen av alvorlige hendelser som datainnbrudd og lekkasjer. Avhengig av retningslinjene, kan den gi:

• Tilgang til vurderinger før brudd, kontrollerte leverandører og informasjon for å bidra til å øke motstandskraften før en hendelse
• Bistand med varsling etter brudd, rettsmedisinsk etterforskning, juridiske tjenester og krisehåndteringsekspertise
• Økonomisk støtte for saksomkostninger og skadekrav mot din bedrift
• Dekning for kostnader som påløper for å holde virksomheten operativ og gjenopprette data, samt tap av inntekter

Retningslinjer kan variere mye, men det er to hovedtyper av dekning:

• Førstepartsdekning: Relatert til den direkte innvirkningen på virksomheten din av en cyberhendelse. Dette inkluderer kostnadene for tapt eller skadet programvare, juridiske regninger, etterforskning, kundevarsling, pengetyveri, etc.
• Tredjepartsdekning: Dette gjelder krav rettet av andre mot firmaet ditt for tap de har opplevd på grunn av en cyberhendelse. Dette inkluderer ting som juridiske oppgjør med kunder, advokat- og regnskapsførerhonorarer osv.

Det er viktig å merke seg at nettangrep på bedriften din som vurderes å være "krigshandlinger" kanskje ikke dekkes av forsikringen din. Lloyd's fra London tok det kontroversielle skrittet å tvinge sine forsikringsselskaper til å sette inn en eksklusjonsklausul for nettkrig, for å redusere transportøransvar for statsstøttede angrep. Det kan imidlertid være ekstremt utfordrende å bevise at en trusselaktør utførte en krigshandling.

Hvorfor trenger jeg cyberforsikring?

De fleste selskaper vil ikke være i tvil om hvorfor cyberforsikring er spådd å være en industri på USD 64 milliarder innen 2029. En kombinasjon av økende cybertrusler og tilhørende kostnader, pluss økende kontroll fra regulatorer, tvinger selskaper til å finne utprøvde måter å redusere risikoeksponeringen på.

Overgangen til hybridarbeid, kombinert med sky- og digitale investeringer under pandemien, har bidratt til å drive produktivitet og mer smidige forretningsprosesser, men også økt overflaten for cyberangrep. Upatchede hjemmearbeidende endepunkter, feilkonfigurerte skysystemer og mobilbårne trusler er bare toppen av isfjellet. En 2022-rapport påstår at (79 %) av organisasjonene føler at nylige endringer i arbeidspraksis har påvirket deres organisasjons cybersikkerhet negativt. I en annen, 43 % av globale organisasjoner er enige om at angrepsoverflaten deres «spiralerer ut av kontroll». Angrepsoverflaten strekker seg også til komplekse forsyningskjeder og potensielt uaktsomme ansatte. Anslagsvis 98 % av globale selskaper led et brudd via sine leverandører i 2021, for eksempel.

Som et resultat:

• USA led en nesten rekordnummer av offentlig rapporterte datainnbrudd i 2022
• To femtedeler av Storbritannia organisasjoner som ble undersøkt i 2022 rapportert å ha lidd et sikkerhetsbrudd de siste 12 månedene
• Over en fjerdedel (27 %) av britiske teknologi- og bedriftsledere forvente business email compromise (BEC) og "hack and lekk"-angrep vil øke i 2023, og 24 % sier det samme om løsepengevare

Ikke bare er alvorlige sikkerhetshendelser mer sannsynlig i dag. De koster også ofrene mer. I 2021, kostnadene for cyberkriminalitetshendelser rapportert til FBI nådde 6.9 ​​milliarder dollar. Et år senere nådde totalen 10.3 milliarder dollar – en økning på 49 %. Det gjør totalen for de fem årene frem til 2022 til svimlende 27.6 milliarder dollar.

Hvordan kvalifiserer jeg for dekning?

Cyberforsikringsmarkedet har gjennomgått dramatiske endringer de siste årene. En økning i brudd på løsepengevare og påfølgende krav under pandemien førte noen til skylde på sektoren for indirekte å oppmuntre trusselaktører til å sette i gang angrep. Tapene påført av mange transportører førte til korrigerende tiltak - a markant økning i premiesatser og redusert dekning. Heldigvis priser stabiliserer seg nå så politikken blir overkommelig igjen.

En del av dette skyldes mer detaljerte retningslinjer som krever mer av potensielle kunder. På denne måten kan vi se rollen til cyberforsikring utvikle seg – fra utlåner til siste utvei til en sikkerhetspartner som oppmuntrer til god oppførsel. Kort sagt, ved å kreve at selskaper innfører sikkerhetskontroller og cyberhygienetiltak for beste praksis, kan forsikringsselskaper faktisk drive grunnleggende forbedringer i cyberrisikostyring.

Avhengig av policyen kan disse tiltakene omfatte:

Hva skjer videre?

SMB og store bedrifter rangerer fortsatt cyberhendelser som deres trussel nummer én. Etter hvert som kostnadene øker, vil de gå i stadig større antall til cyberforsikring. Det burde igjen gi økt sikkerhet, lavere risiko og rimeligere dekning. Men det er fortsatt et stykke igjen: rundt halvparten (48 %) av SMB-er har fortsatt ikke dekning, mot 16 % av store organisasjoner, ifølge World Economic Forum (WEF). For å optimere bruken av forsikring i fremtiden, vil det være viktigere enn noen gang å lese polisens liten skrift.

For å finne ut mer om cyberforsikring for bedrifter, denne ESET-håndboken har du dekket.