Alle virksomheder uanset branche bør forsikre sig mod cyberkriminalitet, mener forsikringsmægleren RTM. Det er kun et spørgsmål om, hvilken forsikringssum og dækning, man har behov for.
Interessen blandt virksomheder for at tegne forsikringer mod skader som følge af cyberangreb er støt stigende, og den får regelmæssigt ny næring, når medierne rapporterer om hackerangreb mod danske virksomheder. Og hvis ikke en virksomhed selv er nok opmærksom på risikoen for cyberkriminalitet, skal forsikringsmægleren RTM nok bringe emnet op.
”Vi laver en behovsanalyse og forsikringspolitik for alle vores kunder, og cybersikkerhed er blevet et emne på lige fod med alle andre former for forsikringer. Nogle virksomheder synes måske, at de har fint styr på sikkerheden med den hosting-løsning, de har valgt, men en virksomhed er ikke mere sikker end den enkelte medarbejder, som ved et uheld får klikket på et fishing-link eller en inficeret vedhæftet fil. Samtidig har den større brug af hjemmearbejde under corona eksponereret virksomheder endnu mere mod risikoen for cyberkriminalitet. I min terminologi bør alle virksomheder have en cyberforsikring, uanset om det er en mindre håndværksvirksomhed eller en større webshop. Det er kun et spørgsmål om forsikringssummens størrelse og dækningens bredde,” siger Henning Toftager, stifter og direktør for forsikring i RTM.
Karenstid som selvrisiko
Hvis man kan nøjes med en forsikringssum på en million kroner, så koster en cyberforsikring ikke voldsomt meget mere end for eksempel to bilforsikringer, vurderer han.
”Men har man behov for en forsikringssum på 100 millioner kroner, så ved vi erfaringsmæssigt, at der er relativt få forsikringsselskaber, som vil gå ind i risikoen, og det vil formentlig kun være udenlandske forsikringsselskaber. Og kun, hvis de kan se, at virksomheden har styr på sikkerheden og er villig til at påtage sig en vis selvrisiko. En selvrisiko kan for eksempel være, at man har syv dagens karenstid på driftstab, så driftstabet først bliver dækket fra dag otte,” forklarer Henning Toftager.
Behovsanalyse er vigtig
De udenlandske forsikringsselskabers dominans på markedet for cyberforsikringer lige nu skyldes både, at cyberkriminalitet er et ungt forsikringsområde med et begrænset erfaringsgrundlag, og at de skadeseksempler, der hidtil har været, har været dyre.
”Mens danske forsikringsselskaber har håndteret storm-, brand- og bilskader i årtier, har de endnu ikke megen erfaring med, hvad cyberskader koster. Men ud fra de skader, vi har været igennem, kan vi se, at man ofte er overrasket over, hvor meget det koster. Det er ganske kostbart at hyre et konsulentfirma til at arbejde i døgndrift for at få systemer op at køre igen. Man kan hurtigt få opbrugt sin forsikringssum, hvis den er sat for lavt, fordi den måske både skal dække omkostninger til reetablering af IT-systemet, driftstab, GDPR-bøder, eventuel betaling af løsesum og andre mulige omkostninger. Når du har brugt din forsikringssum, smækker forsikringsselskabet kassen i, og så skal du selv betale resten. Derfor er behovsanalysefasen utrolig vigtig.” En eventuel løsesum kan synes svær at estimere, men ifølge Henning Toftager har det i de hidtidige sager vist sig at koste omkring en million euro at få sine kompromitterede filer åbent igen ved at betale løsesum.
Hvad er risikoprofilen?
Når RTM skal finde ud, hvad en virksomheds risikoprofil er, handler det især om karakteren af virksomhedens netværk, og hvilke interne og eksterne risici, virksomheden står over for i form af uforsætlige brugerfejl og direkte angreb udefra.
”Vi vil også se på, hvor centraliseret virksomhedens netværk er, og hvor stor en del af det, der kan tilgås udefra. En virksomheds cyberrisk er nemlig ofte afgjort af, hvor mange ansatte virksomheden har, og hvor mange filer de hver især kan tilgå. Vi vil selvfølgelig også se på, hvad der kan gøres, hvis uheldet virkelig skulle være ude. Der kan altid ske uheld, og derfor vil vi løbende være i dialog om, hvad der så skal ske bagefter.”
Højere priser og skærpede vilkår
RTM samarbejder både med danske og udenlandske forsikringsselskaber.
”Nogle danske forsikringsselskaber som Topdanmark og Alm. Brand tilbyder nogle udmærkede cyberprodukter til virksomheder, der ikke har behov for en høj forsikringssum og meget bred dækning, men generelt er de danske forsikringsselskabers appetit på at indgå cyberaftaler ikke overvældende,” siger Henning Toftager.
Da forsikringsselskaberne hidtil har dækket store skader, ses generelt markante prisstigninger på cyberforsikringer lige nu, nogle steder på op til 100 procent.
”For eksempel har det store tyske forsikringsselskab HDI meldt ud, at de betaler 200 kroner i cyber-erstatning, hver gang de får 100 kroner ind. Det er naturligvis ikke en trend, som forsikringsselskaberne ønsker at fortsætte med. Enten skal man skærpe vilkårene eller hæve forsikringsprisen.”
Eksperthjælp 24/7
Ifølge Henning Toftager er det allerede i dag nogle omfangsrige spørgeskemaer, en virksomhed skal udfylde for at få en cyberforsikring. Er virksomheden et nemt hackingoffer, eller har den styr på sikkerheden? Forsikringsselskabet skal derfor have overblik over, hvad virksomheden har af firewalls, antivirus-programmer og backup mv., og nogle forsikringsvirksomheder ønsker at lave en penetrationstest, der kan afsløre åbne porte i IT-systemet, før de indgår en forsikringsaftale. Men det giver tryghed, når først forarbejdet er gjort, og man har fået sin cyberforsikring.
”En af fordelene ved at være kunde hos et stort forsikringsselskab med en bred dækning er, at forsikringsselskabet ofte kan tilbyde hjælp 24/7 i kraft af et forensic team af specialister som IT-konsulenter, revisorer, advokater og marketingfolk, der er klar til at rykke ud. Det giver en anden sikkerhed, at man ved, at der er nogen, der hjælper en, når det virkelig brænder på. Så dur det ikke, at man kun kan komme i kontakt med sit forsikringsselskab via en skadesafdeling med normal åbningstid mandag-fredag. Jo højere præmie, du vil betale, jo bredere dækning og service, kan du få, og så er det vores opgave som forsikringsmægler at se på, hvad dit behov er, og hvordan du bliver dækket bedst muligt,” siger Henning Toftager.
