Dei siste seks åra har det vore mogleg, i alle fall her i Noreg, å kjøpe seg fri frå ein del av risikoen ved dårleg IT-sikkerheit. Kyberforsikring er noko fleire og fleire selskap har kjøpt, gjerne i etterkant av ei hending som har medført uføresette kostnadar. Til og med kommunar, som i prinsippet er sjølvassurerande, har inngått avtalar om dette.
Eg kan forstå dei. Sikkerheit er eit komplekst fagområde, og det er vanskeleg å halde oversikten på alle område. Dette gjeld spesielt for selskap som har eksistert ei tid, som har enda opp med ein rekke ulike løysingar for dei ulike utfordringane. Personell har slutta, og dei som har kome til, er kanskje ikkje klar over alt som er gjort og alt som skulle gjerast, men som ikkje har vorte gjort.
CISO-rollen er ofte ein utakknemleg jobb. Det er den eine personen som har ansvaret for å halde oversikten, vere oppdatert på kva risikoar og aktiva organisasjonen har, og ikkje minst kva tiltak som er implementert for å redusere risiko til eit akseptabelt nivå. Jobben inneber masse ansvar, men diverre ofte også altfor lite mandat, og stundom ei manglande kopling til leiinga – som jo er dei som sit med det faktiske ansvaret.
Delegering av risiko
Ikkje all risiko let seg redusere, akseptere eller i verste fall ignorere – og då har du moglegheita til å delegere denne til andre. Og her kjem kyberforsikringa inn.
I starten var det særs enkelt å inngå forsikringa, nokre få banale spørsmål, så som: Har organisasjonen ein oppdatert antivirus (utan krav om kor bra den måtte vere), har de hatt ei sikkerheitshending dei siste 12 månadane (vanskeleg å seie dersom ein ikkje har oversikten frå før), har de ein fast partner de brukar for hjelp rundt sikkerheit, og så vidare.
Prisen var det heller ingenting å seie på. Faktisk var den så låg at det var langt billigare å kjøpe forsikring enn å kjøpe dei rette løysingane.
Dette er nok på veg til å snu, og 2023 er året der mange kjem til å få seg ei dyr overrasking når polisen skal betalast. CEO Mario Greco hjå forsikringsselskapet Zurich kom med nokre sterke påstandar til Financial Times (bak betalingsmur):
Kyberangrep kjem til å verta umoglege å forsikre seg mot.
Mario Greco, CEO i forsikringsselskapet Zurich
Faktum er at trussellandskapet berre held fram med å veksa. I desember 2022 åleine vart det lagt til 257 nye offer på utpressingssider, sider tilhøyrande ransomware-grupper som Conscia overvaker. Dei siste angrepa har forstyrra drifta til sjukehus, stengt oljeleidningar eller gått etter spesifikke delar av myndigheiter, og desse bygger oppunder bekymringa om denne aukande risikoen. Greco påpeiker at dette handlar ikkje berre om data, dette handlar om vår sivilisasjon.
Nødtiltak
Financial Times rapporterte samstundes at tap knytta til kyberangrep dei siste åra har pressa fram nødtiltak frå forsikringssektoren – rett og slett for å redusera deira eksponering. Dette igjen vil medføre fleire justeringar i forsikringsvilkår, som til slutt får kundane til å ta ein større del av kostnadane. Samstundes stig prisen på kyber-forsikring. Også podkasten Cyberwire Daily har i ein nyleg episode (19:23) diskutert korleis forsikringsvilkåra og krav til organisasjonane allereie har byrja å endra seg. Der det tidlegare berre var eit spørjeskjema, er det no full revisjon av selskapet sine styrkar til å motstå eit eventuelt angrep.
Den delen av jobben som du tidlegare forsikra deg vekk frå, ser no ut til å verta føresetnaden for i heile tatt å få forsikring …
Oppsummert ser det ikkje ut til at ein lengre kan stole på forsikring for å dekke tap og kostnad av kyberangrep i nær framtid. Du må heller prioritere selskapets kybersikkerheit, både med tanke på ressursar og midlar. Det beste er å starte med ein modnadsanalyse for å avdekke korleis status er – og prioritere å handtere dei kritiske hola. Slike tenester kan du med fordel sette ut til eksterne for å få inn friske auge.