De senaste åren har det gått att köpa sig fri från en del av risken med bristande IT-säkerhet. Allt fler företag har också köpt en cyberförsäkring. Det här har ofta skett i efterdyningarna av en incident, som gett oförutsedda kostnader.
Jag kan förstå dem. Säkerhet är ett komplext ämne, där det är svårt att överblicka alla områden. Det gäller särskilt företag som funnits ett tag och kan sitta med en rad olika lösningar. Personal kanske har slutat under gång och nyanställda känner inte till allt som har gjorts – och allt som borde ha gjorts men inte har gjorts.
Ett otacksamt jobb
CISO-rollen är ofta ett otacksamt jobb. Du ska ha överblick, vara uppdaterad om risker och tillgångar och inte minst känns till aktuella åtgärder som minskar risken till acceptabel nivå. Jobbet innebär mycket ansvar, men också ofta för lite mandat och ibland bristande koppling till ledningen – som trots allt sitter med det egentliga ansvaret.
Delegering av risk
Risker som du inte kan minska, acceptera eller i värsta fall ignorera kan du delegera till andra. Och det är här cyberförsäkringen kommer in. I början var den väldigt enkel att teckna; det räckte med att svara på några banala frågor såsom: Har organisationen ett uppdaterat antivirus (utan vidare krav på nivå)? Har det inträffat en säkerhetsincident de senaste 12 månaderna (svårt att säga om man saknar tidigare överblick)? Finns det en fast partner som hjälper till med säkerhet?
Det gick inte att klaga på priset heller. Faktum är att det var så lågt att det var mycket billigare att köpa försäkring än att köpa rätt lösningar. Det här är förmodligen på väg att vända – 2023 är året då många får en dyr överraskning när försäkringen ska betalas. Så här sa försäkringsbolaget Zürichs VD Mario Greco till Financial Times (bakom en betalvägg):
”Cyberattacker kommer att bli omöjliga att försäkra sig mot.” Mario Greco, vd för försäkringsbolaget Zürich
Faktum är att hotbilden bara fortsätter att växa. Bara under december 2022 tillkom 257 nya offer på utpressningssajter som tillhör ransomware-grupper som Conscia övervakar. De senaste attackerna har stört driften av sjukhus, stängt oljeledningar eller riktat in sig på specifika delar av myndigheterna. Oron över riskerna ökar. Greco påpekar att det här inte bara handlar om data – det handlar i slutändan om vår civilisation.
Akutåtgärder: så förändras cyberförsäkring
Financial Times rapporterar samtidigt att förluster kopplade till senaste årens cyberattacker har drivit fram nödåtgärder från försäkringssektorn för att minska deras exponering. Det kommer leda till förändringar i försäkringsvillkoren, vilket i slutändan betyder att kunderna får stå för en större del av kostnaden. Därmed kommer priset på cybersökrsäkringar att öka.
Också Cyberwire Daily-podden diskuterade nyligen (avsnitt (19:23) hur försäkringsvillkoren och kraven för organisationer håller på att förändras. När det tidigar bara krävdes ett frågeformulär görs idag en fullständig granskning av företagets förmåga att stå emot en eventuell attack.
Den del av jobbet som du tidigare försäkrat dig ifrån verkar nu vara en förutsättning för att överhuvudtaget skaffa försäkring…
Framtiden för cyberförsäkring
Sammanfattningsvis verkar det som att man inom en snar framtid inte längre kan lita på försäkringar för att täcka förluster och kostnader för cyberattacker. Istället måste du prioritera företagets cybersäkerhet, både vad gäller resurser och medel. En klok början är en säkerhetsbedömning enligt ett erkänt säkerhetsramverk såsom CIS Controls eller annat. Den innehåller en aktuell status och en prioriteringslista på åtgärder för att hantera kritiska luckor. Här kan en extern partner, såsom Conscia, ge nya perspektiv.
Är du intresserad av en säkerhetsbedömning och ett proaktivt cyberskydd- en SOC?
Artikeln publicerades första gången på digi.no
