Konsernsjefen i den sveitsiske forsikringsgiganten Zurich Insurance Group, Mario Greco, sier det i et intervju med Financial Times i romjulen.
– Cyber er det som kommer til å bli umulig å forsikre seg mot. Hva om noen tar kontrollen over kritiske deler av infrastrukturen vår? Hva blir konsekvensene av noe sånt, konstaterer Greco.
I en tid preget av kostbare skadeoppgjør etter ekstremvær, naturkatastrofer og klimaforandringer, og etterdønninger av en global pandemi, er det likevel farene ved cyberkriminalitet han velger å peke på.
Kan gi enorme tap
Hydro tapte én milliard kroner på hackerangrepet som traff dem i 2019. De endte opp med å få utbetalt rundt 800 millioner kroner i forsikringsdekning, med bakgrunn i dokumenterte tap som følge av hendelsen.
Stortinget, hotellkjeden Nordic Choice, Amedia og Østre Toten kommune er andre eksempler på norske virksomheter som har vært rammet av datainnbrudd de siste årene. Det antas at mørketallene er store.
Globalt har angrep rammet alt fra matforsyning til sykehus, drivstoffleveranser og kraftproduksjon, for å nevne noe.
Farene ved cyberangrep, tyveri og datalekkasjer har fått mye oppmerksomhet de siste årene. Andelen norske selskaper som har tegnet cyberforsikring er likevel overraskende lav, kunne Gjensidige nylig fortelle til Digi.
I Australia diskuterer regjeringen å innføre et forbud mot å betale løsepenger, som et tiltak for å hindre cyberkriminalitet. Det samme er ikke aktuelt i Norge i dag.
Krigshandling og «force majeure»
Forsikringsoppgjør etter et cyberangrep ser imidlertid ut til å være et område som i noen tilfeller har vært preget av usikkerhet og konflikt.
Deler av forsikringsbransjen skal ha tatt høyde for visse unntak fra hva som kvalifiserer til utbetalinger, skriver Financial Times. De nevner at Zurich for tre år siden skal ha nektet å utbetale et krav på 100 millioner dollar til Mondelez, en multinasjonal snacks- og godterigigant, som blant annet eier Freia-merkevaren i Norge.
Mondelez er blant foretakene som ble rammet av den svært destruktive skadevaren NotPetya, som herjet datasystemer over hele verden i 2017.
Forsikringssaken endte i retten, der Zurich Insurance Group argumenterte for at hendelsen representerte en «krigslignende handling» og følgelig ikke medførte dekning. Tvisten mellom partene endte i et hemmelig forlik.
Naturkatastrofer, krig og andre ekstraordinære hendelser utenfor en parts kontroll er blant vanlige unntaksbestemmelser innen forsikring, typisk kalt force majeure.
Britiske Lloyds har i nyere tid tatt til orde for at cyberforsikringer må kunne ha unntaksbestemmelser for statlig støttede cyberangrep.
Det er en grense for hvor mye private forsikringsselskaper kan tåle å observere av alle tapene som kommer fra cyberangrep, sier Mario Greco til Financial Times.