Forsikringer dækker store hackerangreb: Sådan kommer du i gang

Udvikling af it-sager hos politiet

 
Kilde: Rigspolitiet

Note: Det skal understreges, at dette ikke er det fulde billede, da en række økonomiske sager reelt er it-kriminalitet, og derfor ikke figurerer i ovenstående skema. Politiet er i gang med en fintælling af it-sager, så der i løbet af 2015 kommer et mere retvisende billede af it-kriminaliteten i Danmark.

Hackerangreb i din virksomhed kan karakteriseres som alt fra træls til katastrofalt.

For der er stor forskel på, om der er tale om drengestreger eller målrettet industrispionage i milliardklassen, hvor de lyssky bagmænd er stukket af sted med virksomhedens femårs-plan.

Hvis du har haft ubudne gæster i dit netværk eller på virksomhedens computere, er det muligt at tegne en hackerforsikring, der er meget lig de almindelige kriminalitetsforsikringer.

For med et stigende antal hackerangreb i Danmark har flere forsikringsselskaber fået cyberforsikringer på menukortet.

Fra netbank til fuld dækning
Udbuddet af disse forsikringer startede i Danmark for godt fem år siden, hvor (typisk) mindre virksomheder kunne forsikre sig mod deres indestående i netbanker.

Det skyldes, at virksomheder modsat privatpersoner selv hæfter for tab i netbanken.

Siden er repertoiret inden for hackerforsikringerne skudt i alle mulige retninger.

I dag dækker hackerforsikringer alt fra tab og genetablering af data over forsikring mod elektronisk pengeafpresning til forsinkelse af projektafleveringer og efterfølgende pr-arbejde som følge af imagetab i kølvandet på et hackerangreb.

Grundet det nye og noget brogede marked kan det det derfor også være en jungle at komme i gang med at tegne en forsikring til sikring af skader forårsaget som følge af hackerangreb.

Kender ikke egne risici
Et af de selskaber, der har specialiseret sig i at hjælpe danske virksomheder med hackerforsikringer, er Dahlberg empowered by Söderberg & Partners.



Salgs- og marketingmanager Stinne Ølshøj fra Dahlberg empowered by Söderberg & Partners: 

Hun fortæller, at i dag efterspørger selskaberne i stigende grad de fuldfede cyberforsikringer.

Det vil sige forsikringer, der kan dække dem ved et eventuelt fatalt hackerangreb, hvor data og kreditkortoplysninger bliver stjålet, og virksomheden efterfølgende må leve med blandt andet læk af fortrolige oplysninger, driftstab i form af mistede projekter og prestigetab.

Herunder skal man eventuelt også se på, hvordan man er dækket for datatab, der sker som følge af et hack mod en hostingudbyder, hvor virksomheden kan have sine kundedata og kreditkortinformationer lagret.

DDoS, phishing og virus
Det er dog langtfra alle, der har helt styr på, hvad de kan få dækket og ikke dækket som følge af et angreb på selskabets servere.

“Kunderne ser og læser om de store skader, som der bliver flere og flere af. Kunderne kender primært til skadeshistorier fra medierne, men er ikke bevidste om deres egne egentlige risici, og de ved derfor heller ikke, hvordan man kan forsikre sig mod dem,” fortæller Stinne Ølshøj til Computerworld.

Hun forklarer, at flere virksomheder ikke altid den helt store forståelse for, at it-sikkerhedsprodukter i sig selv sjældent kan stå alene.

For angreb kan komme fra de mest uventede kanter og via metoder, som er svære at gardere sig imod, selv hvis virksomheden jævnligt træner sit it-sikkerhedsberedskab og holder sin software opdateret.

“Typisk ser vi DDoS-angreb på hjemmesider, phising og flere og flere virksomheder får virus ind i deres systemer,” fortæller Stinne Ølshøj fra Dahlberg om det ‘nye’ trusselsbillede.

Tabte millioner på leverandør-hack
Selskabet er desuden lige for tiden i dialog med et selskab, der har tabt adskillige millioner kroner i forbindelse med en pengeoverførsel til en leverandør i Asien.

Tabet skyldes, at leverandørens it-system er blevet hacket, så den danske virksomhed har modtaget en faktura med falsk kontonummer, som de mange millioner kroner er blevet overført til – og dermed tabt.

“Kunden er ikke forsikret for dette med sine nuværende dækninger, men vi arbejder lige for at lave en fremtidig løsning til kunden. Denne type skader er også noget, som vi ser som en tendens, da flere og flere ender med at betale dobbelt for deres varer,” lyder det fra Stinne Ølshøj.

Gigant-forskel på lille og stor
Den lille virksomhed kan typisk forsikre sig mod it-kriminalitet via hyldeprodukter fra mainstream-selskaber som eksempelvis Codan, TopDanmark og Tryg.

Eksempel på ultra-simpel hackerforsikring

Forsikringsselskaberne har forskelligartede løsninger til alt lige fra netbanksindbrud til tab af forretningshemmeligheder.

Her er et simpelt eksempel fra Codan på, hvad man blandt andet kan forsikre sig imod, og hvad det koster om året.

Eksemplerne angiver vejledende priser baseret på en fiktiv virksomhed, som Computerworld har sendt til vurdering hos Codan. 

CW Autoværksted 
CW autoværksted i Odense har 30 ansatte og en omsætning på 30 mio. kr.

Autoværkstedet har kundekartotek, leverandørpriser og andre interne dokumenter i sit netværk,
som bliver tilgået af kørende mekanikere og andre interessenter. Websitet fungerer desuden til bestilling af reservedele,
så det er vigtigt, at det altid er oppe at køre. 

Den slags selskaber har typisk en relativ simpel forsikring til tab i netbanken eller i enkelte tilfælde ved genetablering af data efter sabotage eller virusangreb.

Derimod kan du som standard ikke forvente at få erstatning for tab af forretningshemmeligheder og følgeskader som eksempelvis forsinkede projektaflevering og tabte kunder.

Derfor ville sådan en ‘lille’ forsikring have været total utilstrækkelig for en international virksomhed som Sony Pictures, der lige før jul blev hacket på grund af premiereren på filmen ‘The Interview’.

Til større virksomheder
Arbejder du i en mellemstor eller stor virksomhed med værdifulde forretningshemmeligheder på netværksserveren, kan forsikringen dække noget nær alting, du er villig til at betale for.

Hvordan og hvorledes priserne på en “stor” cyberforsikring er skruet sammen, afhænger blandt andet af, hvor eksponeret din virksomhed er og ikke mindst, hvad du er villig til at betale i selvrisiko og i årlig præmiesum.

I disse noget mere komplekse tilfælde anbefaler Dahlberg, at du kontakter it-specialiserede forsikringsselskaber som AIG, ACE, Chubb og CNA, hvor stort alt er til forhandling, og hvor du kan få skræddersyede løsninger, der blandt andet inkluderer et globalt it-beredskabssteam til rådighed døgnet rundt.

“Hos os kan præmien ligge alle steder mellem 10.000 og 10 millioner kroner,” forklarer Chris la Cour Valentin, som er cyberansvarlig i den nordiske region hos den amerikanske forsikringsgigant AIG.

“En stor global virksomhed med en høj forsikringssum vil ligge i millionenden, mens præmien for små lokale virksomheder med en lille risiko vil være betragteligt lavere,” fortsætter han.

Intern kamp hos kunderne
Chris la Cour Valentin fortæller, at cyber-forsikringerne har eksisteret i USA i godt 10 år, mens AIG begyndte sit europæiske indtog på cyberområdet for snart tre år siden.

Det kan du blandt andet forsikre dig i mod

Medieansvar
- Uberettiget ‘deep-linking’ og ‘framing’ (det vil sige gengivelse af ophavsretsbeskyttet materiale som eksempelvis cw.dk på eget website)
- Krænkelse af immaterielle rettigheder
- Krænkelse af ære, frihed eller privatlivets fred herunder uretsmæssig offentliggørelse af personfølsomme oplysninger på nettet
- Brud på sikredes databeskyttelsespolitik eller persondataloven
- Videregivelse af fortrolig information og forretningshemmeligheder

Uautoriseret netværksbrug 
- Brugeres manglende adgang til den forsikredes netværk
- Sammenbrud af andres netværk
- Tab af andres data lagret på forsikredes netværk
- Videregivelse af betalingskortoplysninger
- Underretningsomkostninger, omkostninger til at underrette personer eller myndigheder i forbindelse med databrud

Netværks- og datatab 
- Genopretning af netværket og genetablering af data som følge af hacking, virus, denial of service angreb eller betjeningsfejl
- Driftstab og meromkostninger som følge af hacking, virus eller denial-of-service-angreb (DDoS) eller betjeningsfejl, ISP-fejl
- Elektronisk tyveri, tab af forsikredes penge eller varer som følge af elektronisk tyveri.
- Elektronisk afpresning som eksempelvis løsepenge og afværgelsesomkostninger i forbindelse med elektronisk afpresning

Udbedring af image-tab
- PR- og undersøgelsesomkostninger
- Omkostninger til PR-konsulent til begrænsning af dårlig medieomtale
- Omkostninger til undersøgelse af databrud

Annonce:


Og efterspørgslen er efter sigende i vækst på begge markeder.

“På europæisk plan kan vi, særligt indenfor de sidste seks måneder, se, at der er en stor stigning i efterspurgte cyberforsikringer. Det giver ikke så meget mening at sætte et præcist tal på solgte forsikringer, da udgangspunktet er lavt; men en stigning på måske 1-000 procent er ikke urealistisk,” forklarer han.

AIG modtager på verdensplan i gennemsnit to anmeldelser som dagen, som ofte resulterer i store millionudbetalinger til kunderne i følge den cyber-ansvarlige forsikringsmand. 

Chris la Cour Valentin fortæller, at selve forsikringen kan udarbejdes fra dag til dag, men der er typisk flere interne konflikter hos kunderne, der udskyder processen. 
Det kan eksempelvis dreje sig om, hvor stor risikoen egentlig er for et hackerangreb. 

“Da virksomhedernes risk managers, CFO’s og andre interessenter bevæger sig ind på it-afdelingens domæne udfordrer de således it-folkenes selvforståelse af risiko og sikkerhed og deres evner til at dæmme op for et angreb,” siger Chris la Cour Valentin. 

“Ofte bruges der meget krudt internt i virksomhederne på netop den del i forbindelse med tegning af forsikringen. Vi anser denne skepsis som et naturligt led i introduktion af sådan nyt forretningsområde,” fortsætter den cyberansvarlige dansker hos AIG.

Spørg lige om prisen
Ligesom alle andre typer forsikringer er hackerforsikringer en risikovurdering fra både din og forsikringsselskabets side.

Derfor har forsikringsselskaberne og/eller den forsikrede virksomhed ofte hyret it-sikkerhedsselskaber til at gennemgå selskabets it-setup før, der bliver skrevet under på en aftale.

For det er indtil videre ikke nødvendigt at blande myndigheder som politiet ind i hackersager, som det ellers kendes fra helt almindelige indbrud hjemme i privaten.

“Forsikringsselskaberne har uden tvivl set, at erstatningerne kan gå hen og blive rigtig store, og derfor bliver vi fra sikkerhedsbranchen hevet ind til uvildige ‘light’ undersøgelser af en it-virksomheds it-setup. Forsikringsselskaberne vil jo i sagens natur gerne have afdækket, hvor risikoen ligger,” siger teknisk direktør Jan Kaastrup fra sikkerhedsselskabet CSIS Security Group.

Sådan en undersøgelse kan med sikkerhedsekspertens ord tage alt fra én dag til et halvt år.

“Jeg har været med som sikkerhedsspecialist i flere sager på både kunde- og forsikringsselskabets side, og der har været rimelige klare krav i policen. Min vurdering er også, at især kunderne har været rigtig glade for at have en forsikring, og der har da heller ikke været problemer med udbetalingen,” siger teknisk direktør Jan Kaastrup fra sikkerhedsselskabet CSIS Security Group.

Samtidig bedyrer han, at han endnu har til gode at se ordet ‘selvforskyldt’ optræde i en forsikringsbetingelse.

Dette skal du have styr på:

1. Brug et antivirusprogram med automatisk opdatering, en firewall og et antispywareprogram. Sammen beskytter programmerne din pc mod mange angreb og skadelige programmer. 

2. Anvend opdaterede versioner af dit styresystem, din webbrowser og dit e-mailprogram. Slå automatisk opdatering til, hvor det er muligt, så glemmer du det ikke. 

3. Vær ekstra opmærksom, når du åbner vedhæftede filer. De kan indeholde virus. Pas især på filer med underlige eller lokkende navne. Også hvis de kommer fra nogen, du kender. 

4. Hvis du benytter trådløst internet, så slå kryptering til. Ellers kan andre kigge med eller misbruge din internetforbindelse. Vælg stærk kryptering. 

5. Brug din sunde fornuft, eller bed andre om hjælp, hvis du er i tvivl. Selv om du har både antivirusprogram, firewall og et antispywareprogram, skal du forholde dig kritisk til de netsteder, du besøger.

Annonce:


“Som kunde kan man dog godt stille spørgsmålstegn ved, om den maksimale udbetaling på eksempelvis 10 millioner kroner reelt er nok til at dække ens egen risici og alle de følgevirkninger, et hackerangreb har,” lyder rådet fra Jan Kaastrup.

Sikkerhed i kompleks virksomhed
Også sikkerhedskollega Jens Christian Høy Monrad fra it-sikkerhedsselskabet FireEye foreslår, at man som virksomhedsansvarlig bør holde et skarpt øje med både præmie og udbetalingsmuligheder, når der skal indgås en kontrakt.

“Hvordan medarbejdere i dag tilgår virksomhedens data fra hjemmefronten eller på deres mobiler, gør det hele mere komplekst. Samtidig er trusselniveauet også mere komplekst end tidligere, hvilket kan være med til at hæve præmien,” lyder det fra Jens Christian Høy Monrad.

Hans firma har i de seneste 100 dage i gennemsnit set 23 APT-angreb om dagen på virksomheder i Norden.

APT-angreb står for Advanced Persistant Threat-angreb, og offensiven rettes mod udvalgte (ledelses) personer i virksomhederne, som i gennemsnit er et halvt års tid om at opdage, at de har fået uønsket besøg i netværket.

I første omgang kan sådan et APT-angreb være i form af phishing eller spear phishing, der siden kan give adgang til brugerkonti og derved til rettigheder i netværket. Når der er skabt adgang til netværket installeres værktøjer og malware, der kan udnytte data.

Angrebene er forbundet med lav offentlig synlighed, men høj risiko for den angrebne virksomhed.

“Antallet af APT-angreb er en smule mere, end vi så for blot få år siden, og tallet er uden tvivl i stigning, hvilket er en udfordring for virksomheder, der har patenter og forhandlingsaftaler liggende på netværksservere,” siger Jens Christian Høy Monrad.

Meldepligt på vej
Intet tyder på, at truslerne forsvinder af sig selv – tværtimod.

Og med et stigende antal enheder forbundet til det store verdensomspændende internet, bliver forsikringssager også mere og mere komplekse med tiden, forudsiger han.

“Dertil kommer, at der på politisk niveau er meldepligt ved hackerangreb på vej. Så vil man som virksomhed jo nok gerne have en eller anden erstatning, hvis man som virksomhed har været udsat for angreb, hvilket jo ellers er meget tabubelagt,” lyder det fra Jens Christian Høy Monrad.

Den meldepligt, som han hentyder til, er dønninger fra EU, der formentlig til sommer er på banen med et data-beskyttelsesdirektiv.

Her forlyder det, at virksomheder skal være forpligtede til at melde om, hvis de mister vigtige kundedata som kreditkortdata og sundhedsoplysninger.

Indtil videre tyder det på, at EU med direktivet vil indføre en regel om, at europæiske virksomheder selv skal informere alle ramte personer inden for 72 timer, efter at det er blevet opdaget, at deres data er blevet kompromitteret.

Senest har USA’s præsident Barack Obama været ude med lignende meldinger – her lyder informationsrammen på 30 dage, inden berørte personer skal have besked om, at deres data er blevet hugget hos en virksomhed som det hackede Target.

Læs også: 
Her er de 46 største (og værste) sikkerhedshistorier i 2014

Posted in computer.

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>