Et cyberangreb kan koste dyrt. Derfor bør alle virksomheder tegne en cyberforsikring. Men hvordan vælger man den rigtige forsikring?
Angreb på Mærsk kostede 2 mia. kr.
Mange husker sikkert det cyberangreb, som ramte Mærsk i 2017. Det påførte dem et voldsomt tab på op imod 2 mia. DKK. De var ikke dækket af en cyberforsikring og måtte selv betale omkostningerne.
Norsk Hydro blev også ramt
Aluminiumsproducenten Norsk Hydro blev ramt af et lignende cyberangreb i marts 2019. Omkostningerne i forbindelse med angrebet blev opgjort til mellem 230-270 mio. DKK. De var, til forskel fra Mærsk, dækket af en cyberforsikring.
Nu også Demant
Den hæderkronede danske høreapparatsproducent Wiliam Demant (Oticon) blev i september 2019 også ramt af et cyberangreb. Omkostningerne i forbindelse med angrebet blev opgjort til mellem 650-750 mio. DKK, hvoraf man forventer at 100 mio. DKK bliver dækker at forsikringen.
Angreb rammer også mindre virksomheder
Udgifterne i forbindelse med cyberangreb i en mindre virksomhed, er måske ikke så voldsomme, som i tilfældet med Mærsk, Norsk Hydro og Demant. Men beløb på 1/2 million DKK er ikke urealistisk når det endelige tab gøres op. IT-sikkerhedskonsulenter, som skal på overarbejde kan hurtigt blive en dyr affære. En stor del af Mærsks udgifter ved cyber-angrebet, var netop til IT-sikkerhedskonsulenter.
GDPR oveni kan betyde en stor bøde
Med indførelse af databeskyttelsesforordningen (GDPR) den 25. maj 2018, uddeles der nu også bøder hvis man f.eks. bliver hacket og mister persondata. Et cyberangreb eller IT-sikkerhedsbrud kan altså, udover udgifter til genetablering af IT-systemer og tabt om-sætning, også resultere i store bøder fra myndighederne.
Det er næsten umuligt at beskytte sig
Det er næsten umuligt at beskytte sig 100 % imod cyber- og datakriminalitet. Det er mere et spørgsmål om, hvornår man bliver ramt og hvad det vil koste. Derfor er det vigtigt, at man tegner en forsikring imod cyberangreb, såvel som man har en bilforsikring, brand-forsikring og ansvarsforsikring.
Det kræver forarbejde at tegne en cyberforsikring
Til forskel fra virksomhedens basisforsikringer, er det ofte langt sværere at tegne en cyberforsikring. Hvert forsikringsselskab har sin egen cyberforsikring. Der er ingen standard, som man kan følge.
Krav til virksomhedens IT-sikkerhed
Kravene til, at forsikringen dækker ved et cyberangreb eller IT-sikkerhedsbrud, kræver et godt indblik i virksomhedens IT-sikkerhed. Det som står med småt i forsikringspolicen, kan have stor betydning for, om man får erstatning eller ej.
Har man f.eks. ikke har en IT-sikkerhedspolitik, bruger svage passwords (som ikke skiftes med fast interval), ingen ugentlig backup, manglende opdatering af servere osv., risikerer man, at forsikringen ikke dækker. Før man tegner cyberforsikringen, er man altså nødt til at være sikker på, at man opfylder kravene i policen – nu og i fremtiden.
Risikovurdering og cyberforsikring
Forsikringsselskabernes cyberforsikringer har forskellige dækningsområder, og stiller forskellige krav til forsikringstageren. Derfor er det vigtigt at få afdækket hvilken type af cyberforsikring(er) man skal vælge. Det mest effektive værktøj til dette er risikovurdering.
Risikovurderingen skal afdække hvilke IT-systemer (hjemmeside, computere, servere, e-mail, telefonsystem mv.), som er vigtigst for virksomheden, at få reetableret efter et cyberangreb eller IT-sikkerhedsbrud.
Er man i høj grad afhængig af sin hjemmeside – f.eks. hvis man driver e-handel eller ejendomhandel – så vil risikovurderingen afdække dette og sikre at den kommer med i dækningen. Det samme gælder for indbrud i netbanken eller dækning, hvis man mister persondata. På den måde finder risikovurderingen frem til de områder, som cyber-forsikringen skal dække.
Sammensætning af forsikringen
Cyberforsikringerne er ofte sammensat af en række forskellige forsikringer, som kan tegnes hver for sig eller samlet. Forsikringerne kan f.eks. bestå af:
Dækning af udgifter i forbindelse med hacking og IT-sikkerhedsbrud.
Ansvarsforsikring, som dækker tab hos f.eks. kunder eller samarbejdspartnere.
Driftstab, som følge af cyberangreb og/eller IT-sikkerhedsbrud.
Datatab i forbindelse med videregivelse af persondata.
Hjælp ved ID-tyveri.
Netbanksforsikring, som dækker ved hacking af netbank.
Cyber ansvarsforsikring for f.eks. ledelse og direktion.
Om at vælge de rigtige cyberforsikringer
For at man kan vælge de rigtige cyberforsikringer, bør der laves en risikovurdering af virksomhedens IT-systemer og generelle IT-sikkerhed. Her får man et overblik over de vigtigste områder, som skal dækkes af cyberforsikringen. Herefter kan man vælge yderligere dækning - f.eks. driftstab, ansvar osv.
Inden man tegner forsikringerne
Inden man tegner cyberforsikringerne, er det vigtigt at undersøge, om man rent faktisk kan leve op til de krav, som forsikringerne stiller for at yde dækning. Her skal ”det med småt” nærlæses og holdes op mod virksomhedens IT-sikkerhed.
Efter man har tegnet forsikringerne
Efter at man har tegnet cyberforsikringerne, skal det sikres, at man er compliant (i overensstemmelse) med kravene i forsikringerne – nu og i forsikringsperioden. Dette bør gøres med en række kontroller, som gennemføres ad hoc eller med faste intervaller.
Om e-ducators og cyberforsikringer
Vi tilbyder at hjælpe med processen omkring valg af cyberforsikring. Vi laver bl.a. Gap-analyse for at identificere hvad der mangler i virksomhedens IT-sikkerhedssetup i forhold til kravene i en police, hjælper med at indhente tilbud og deltager gerne i møder med forsikringsselskaber.
Eksempler på forsikringer