Siden jeg leder et av Norges største fagmiljøer innenfor IT-sikkerhet, sitter vi på gode analyser, tall, strategier og handlingsplaner. Det gjør også at jeg ser hvilke områder innen IT-sikkerhetsfaget som vil prege 2021, basert på risikobildet og markedets behov. Det er særlig en tydelig trend jeg ser: Cyberforsikring
Cyberforsikring blir viktigere enn noen gang
I 2021 kommer cyberforsikringer til å ta av. Kort fortalt sørger denne for at om du blir utsatt for IT-kriminalitet, får du raskt bistand fra et sikkerhetsselskap og forsikringsselskapet dekker dine økonomiske tap i etterkant. Den enorme mengden hendelser som treffer norske virksomheter årlig, med de påfølgende kostnadene det tar å stoppe, rydde og tilbakestille løsningene til normalt er svært krevende. Tap av produksjon, renomme, GDPR-bøter og masse mer, påfører norske virksomheter vanvittige summer årlig. Når det samtidig er daglig leder og styret som sitter med ansvaret for at virksomhetens IT-sikkerhet er god, burde i hvert fall denne gruppen sette cyberforsikring på dagsorden.
Cyberforsikringer så dagens lys i Norge tilbake i 2016, men var den gangen så dyre at de kostet mer enn alle de andre forsikringene virksomhetene allerede kjøpte. Grunnen til denne høye prisen var flere. Usikkerheten rundt risikobildet, ekspertene på IT-sikkerhet malte bildet sort og uttalte at alle før eller senere ble hacket, noe som for så vidt er riktig, men prislappen og hyppigheten på hackene ble spådd å være mye høyere enn det som ble realiteten. Kombinasjonen over førte til at det stort sett var større virksomheter som kjøpe cyberforsikringer, etter relativt omfattende analyser av virksomhetenes IT-miljø – og det ble ofte en kostbar affære.
#
I Norge har vi ca. 800 virksomheter med over 250 ansatte, Statistisk sentralbyrå (SSB) sine tall viser at vi har over 600.000 registrerte virksomheter, de aller fleste med en PC tilkoblet internett.
#
Små og mellomstore bedrifter
Heldigvis er det flere forsikringsselskap som de siste to årene har kommet på banen med cyberforsikringer tilpasset små og mellomstore bedrifter. Der har forsikringspolisen blitt så rimelig at alle virksomheter har råd til å investere i dette.
Grunnen til prisfallet er rett og slett erfaringen rundt forsikringsselskapenes risiko, effektiviteten og kompetanse hos deres samarbeidspartnere, og det faktum at det begynner å bli en relativt stor kundegruppe som har kjøpt forsikringer som er med på å øke inntjeningen og spre risikoen.
En hacker diskriminerer ikke på størrelse
Hackere på tokt benytter seg ofte av skannere som banker på internett, eksponerte enheter og prøver diverse metoder for å utnytte kjente sårbarheter. Alle enheter på internett ser mer eller mindre like ut, og små virksomheter er minst like utsatte som store.
Utfordringen som ligger i at det kun er de store hendelsene som får medieoppmerksomhet, er at mange mindre virksomhetsledere fortsatt går rundt og tenker at dette ikke skjer meg. Rapportene fra Ateas hendelseshåndteringsteam sier noe annet. De rykker ut til små og mellomstore virksomheter daglig.
Store økonomiske konsekvenser
Vi ser gang på gang at små og mellomstore virksomheter opplever IT-sikkerhetsrelatert kriminalitet som blir utrolig kostbart for bedriften. Det har til og med vært flere tilfeller med konkurser påført av tap av data eller tyveri av penger de ikke får dekket gjennom sine normale forsikringer.
De aller fleste er ikke klar over hva forsikringene deres dekker, og stiller store spørsmål om hvorfor et tyveri av en fysisk verdi dekkes, mens tyveri eller ødeleggelse av virtuell verdi ikke dekkes.
Det verste er at jeg er enig. Det er vanskelig å se forskjellene og grensene her. Alle virksomheter snakker om digitalisering, og da innenfor alle områder. De forsikringsselskapene som følger med i timen må tilpasse seg digitaliseringens tempo, virtuelle verdier og rett og slett innføre cyberforsikringer som en del av den standardpakken alle virksomheter allerede tegner.
Lær deg hva du har kjøpt
Det vi som jobber for forsikringsselskapene imidlertid ser, er at det er mange som har kjøpt cyberforsikringer ikke bruker denne. Vår anbefaling er at du setter deg inn i hva din forsikring dekker. Som regel har du et krisenummer du kan ringe. I andre enden sitter det sikkerhetseksperter som kan iverksette hendelseshåndterere som rykker ut, stopper, begrenser, analyserer og finner ut av hva som har skjedd.
De samme ekspertene lager en rapport du benytter for å få tilbakebetalt eventuelle økonomiske tap, samt at de bistår med å skrive selvmeldingen alle virksomheter er pålagt å levere til Datatilsynet innen 72 timer i henhold til GDPR.
Ikke la forsikring bli en hvilepute
En forsikring dekker økonomiske tap, men kan ikke nødvendigvis erstatte bedriftens verdifulle informasjon om den skulle gå tapt. En cyberforsikring er en viktig støtte i en utfordrende tid når hendelsene inntreffer, men ikke la det være en hvilepute.
Jeg avslutter med å stille et direkte spørsmål til alle som er daglig ledere eller sitter i et styre: Er du du klar over at virksomhetens IT-sikkerhet er ditt ansvar, og at du kan bli personlig økonomisk ansvarlig?
For min del er det ingen tvil. Jeg ville krevd at virksomheten jeg representerte anskaffet cyberforsikring.