Sponseret indhold
Del på facebook
Del på linkedin
Del på twitter

Forstå forsikringsmarkedets reaktion på den stigende cybertrussel, hvordan du navigerer i det og konsekvensen, hvis du ser passivt til.

Hjemmearbejde viste sig at være ganske effektivt og mere produktivt, end mange havde forventet. Derfor er mange arbejdsgivere positivt indstillede over for at lade mere hjemmearbejde være en naturlig mulighed på fremtidens arbejdsplads, når coronapandemien har fortrukket til historiebøgerne. 

”Vi har indrettet os på den nye virkelighed og tilbyder i dag vores medarbejdere tre forskellige arbejdsformer. Den fleksible, hvor man arbejder 1-2 dage om ugen på arbejdspladsen. Den hybride, hvor man er på kontoret 2-3 dage og den traditionelle til dem, der foretrækker at være på kontoret hver dag eller nødvendigvis må være det som følge af jobbets indhold. Den mere fleksible arbejdsplads giver samlet en bedre work-life balance for de ansatte og al erfaring viser, at mennesker, der er trygge og glade har en højere produktivitet,” siger Søren Husted, der er COO & Director of Retirement and Health Solutions i forsikringsmæglerselskabet Aon.

De nye arbejdsformer har dog også en bagside. Det sociale aspekt er en vigtig del af arbejdslivet, motivationen og fællesskabsfølelsen. 

”Det er vi selvfølgelig opmærksomme på, og derfor håber vi, at vores ansatte selv mærker efter i vores fleksible arbejdsrammer og finder den arbejdsform, der passer dem bedst. Det er en udfordrende transformation for alle parter og på flere måder. Vi skal også vænne os til den nye mødekultur i kombinerede virtuelle og fysiske møder og sikre, at vi får involveret folk, der arbejder på distancen. For vi må jo også erkende, at selv om al teknologien er til stede, så kan der gå vigtige nuancer tabt for de der deltager virtuelt, idet man ikke kan fornemme stemningen på samme måde. Den uformelle snak på gangen, ved kaffemaskinen eller henover skrivebordet kan også give nogle gode idéer, kreative indspark og personlige relationer, som kan gå tabt i de nye arbejdsformer, og det samme gælder videndeling,” siger Søren Husted.

Verden er digital – men kriminaliteten er fulgt med
COVID-19 pandemien kom på et tidspunkt, hvor verdensøkonomien er på et så fremskredent teknologisk og digitalt niveau, at meget arbejde kunne udføres lige så godt på privatadressen. Men den kriminelle underverden er også blevet digital, og cyberangreb har i de senere år udviklet sig til en global pandemi, som tager forskellige former. Og helt uden samvittighed. 

Under COVID-19-pandemiens hærgen i 2020 var der mange cyberangreb mod hospitaler, og angrebene mod WHO var fordoblet i forhold til normalen. Talrige hospitaler og laboratorier, der arbejdede med test og udvikling af vacciner blev udsat for ’ransomware’. Hackerangreb, hvor de kriminelle får adgang til vitale data, som de kun frigiver mod betaling af en stor løsesum. Hackerangreb er kommet for at blive, men hvad skal virksomhederne stille op?

”I forhold til det stigende omfang af hjemmearbejde, så er det vigtigt at instruere medarbejderne i også at overholde en række specifikke sikkerhedsregler, når de arbejder hjemme. De cyberkriminelle har for længst opdaget, at medarbejderne ofte kan være det svage led og på hjemmefronten bliver der taget lettere på sikkerheden,” siger Søren Stryger, Head of Nordic Cyber Solutions i Aon. 

Han understreger, at med udsigt til mere hjemmearbejde øges risikoen for angreb på virksomhederne. Af Aon’s 2021 Cyber Security Risk Report fremgår det, at kun 40 pct. af virksomhederne erkender at have tilstrækkelige sikkerhedsstrategier i forhold til hjemmearbejde.  Men det er kun en del af problemet – angrebene kommer fra alle sider. Man skal eksempelvis også have en særlig fokus på hele forsyningskæden. Man skal løbende evaluere og forholde sig til risici fra både nye og eksisterende leverandører, og af Aon’s sikkerhedsrapport fremgår det også, at kun 21 pct. af virksomhederne har etableret faste procedurer til at overvåge kritiske leverandører. 

Ransomware truer virksomheders overlevelse
En af de største trusler er ransomware. Mange store virksomheder har været ramt af ransomware – angreb, hvor hackere skaffer sig adgang til eller kryptere vitale data eller funktioner og kræver en løsesum for at frigive dem. Det der for 20 år siden kunne have været plottet i en fantasifuld actionfilm er blevet til brutal virkelighed og kan blive katastrofal for ikke blot enkeltvirksomheder men også kritiske funktioner i samfundet. Kun 31 pct. af virksomhederne erkender ifølge Aon-rapporten at have foranstaltninger, der giver en tilstrækkelig modstandsdygtighed i en situation, hvor ransomware trusler skal håndteres. 

”Ransomware er den hurtigst voksende form for cyberkriminalitet. Skadeomkostningerne forventes at løbe op i 17 mia. dollars i år, hvilket er 57 gange så meget som for fem år siden. Og løsesummerne er så høje, at de kan true virksomhedens overlevelse. Hackerne er også gået væk fra at skyde med spredehagl, ’spray and pray’, til i stedet at udse sig specifikke mål, ’target practice’, ofte med særlig fokus på de virkelig store virksomheder. Det er der flere penge i for dem,” siger Søren Carl Stryger. 

En anden tendens er, at angrebene bliver mere sofistikerede. Double Extortion går ud på, at hackerne truer med at lægge data ud offentligt, endda på the Dark Web. Det betyder i praksis, at selv om virksomheden tror, at det er muligt at gendanne hackede data og netværk uden at betale løsesummen, så kan de alligevel ende med at gøre det, fordi de ikke vil risikere, at hackerne offentliggør følsomme data om f.eks. ansatte eller kunder. Cold calling er også et relativt nyt fænomen – en situation, hvor hackerne ringer til virksomheder, der ikke vil betale løsesummen og forsøger at presse dem. I modsætning til coronapandemien er det ikke en pandemi, der forsvinder, og løsesummerne er også blevet højere. 

Hvad skal Ledelser og Risk Managers gøre?
”Udover, at det er meget vigtigt, at man uddanner alle medarbejdere løbende i sikkerhedspolitik, er det også helt afgørende, at bestyrelser og ledelser i både private virksomheder og offentlige institutioner tager problemet mere alvorligt, end tilfældet ofte er i dag. De har pligt til at sikre virksomhedens drift, kompetencer og risikostyring, og det mest væsentlige i den sammenhæng er, at de må acceptere, at for at højne sikkerhedsniveauet kræves der investeringer,” siger Søren Carl Stryger. 

Han understreger også vigtigheden i at forholde sig til alle sikkerhedsdomæner – hjemmearbejde er blot et af dem. Virksomheden skal have en detaljeret sikkerhedspolitik vedrørende data, adgangskontrol, systemer, netværk, fysiske faciliteter og udstyr, applikationer, leverandører – og handlingsplaner, der sikrer at kritiske funktioner kan fortsætte i tilfælde af et angreb. 

Forsikringer mod cyberangreb kan være en hjælp til at imødegå skadevirkningerne. Men i takt med den kraftige stigning i angrebene og særligt de store summer i sagerne med ransomware er forsikringspriserne steget kraftigt. Dele af forsikringsbranchen overvejer også om, at de ønsker at udstede forsikringer, der dækker hackerangreb. Forsikringsvirksomheder overlever på, at de er i stand til nogenlunde at estimere, hvor store beløb, der kommer til udbetaling i forsikring.  Og det er svært at estimere. Traditionelle forsikringer fra biler til erhvervsforsikringer har man mange års historik på. Men det gælder ikke cyberkriminaliteten, der samtidig er i en hastig og ret uforudsigelig udvikling.  

”Cyberforsikring har vist sig som en effektiv forsikring overfor de cyberangreb, der er sket de senere år. Det er en forretningsbeslutning, om man vil tegne en forsikring, men uanset hvor godt man sikrer sig imod hackerangreb, så vil de færreste virksomheder i dag sige med overbevisning, at de ikke har en eksponering. Det siges ofte, at det ikke er et spørgsmål om en virksomhed rammes af cyberangreb, men hvornår. Og vil du som virksomhed samle den risiko op på din bundlinje, eller vil du overføre den til forsikring?” spørger Søren Carl Stryger. 

Et stigende antal virksomheder oplever dog, at de slet ikke kan tegne en forsikring mod cyberangreb, fordi sikkerhedsniveauet ikke er godt nok. 

”Hvis en virksomhed er uden tilstrækkelig indsigt og sikkerhedsregler på alle sikkerhedsdomæner, så vil den komme til kort overfor forsikringsmarkedet. Forsikringsbranchen forventer, at man er oplyst, har forholdt sig til sin eksponering og kontinuerligt forbedrer sig. Forsikringsmarkedet skal således ikke ses som et alternativ til at foretage de nødvendige investeringer i virksomhedens sikkerhed, men som en investering til at optimere det samlede output af din cyber sikkerhedsstrategi,” siger Søren Carl Stryger.

Navnet Aon er gælisk og betyder “enhed”. Og netop enhed er grundfilosofien i Aons globale forretningskultur. Med kontorer i 120 lande opnår kunderne, at Aon med sin globale tilstedeværelse kan levere rådgivning baseret på professionel indsigt med lokale forhold og markeder. Den internationale forankring kommer eksempelvis danske virksomheder med datterselskaber i udlandet til gavn. Via Aon kan en virksomhed få uvildig rådgivning og tilrettelagt et forsikringsprogram på tværs af landegrænser.

Læs mere på www.aon.com

I forhold til det stigende omfang af hjemmearbejde, så er det vigtigt at instruere medarbejderne i også at overholde en række specifikke sikkerhedsregler, når de arbejder hjemme. De cyberkriminelle har for længst opdaget, at medarbejderne ofte kan være det svage led og på hjemmefronten bliver der taget lettere på sikkerheden

MEST LÆSTE

3 gode råd fra Aon

  • Forstå din risiko
  • Invester i imødegåelse af og barrierer
    mod cyberangreb
  • Forbered og forstå kravene til forsikring og implementér og forbered dit samlede ”forsvar” inklusiv forsikring mod cybertruslen - herunder den teknologiske risiko ved fjernarbejde.

Hold øje med alle sikkerhedsdomæner

Vigtige punkter man skal forberede sig på, før en cyberforsikring kan tegnes.

  • Datasikkerhed: Omfatter styring af sikkerhedsforanstaltninger til at beskytte informationers fortrolighed, integritet og tilgængelighed
  • Adgangskontrol: Giver autoriserede brugere adgang til at bruge en service og forhindrer samtidig adgang for ikke-autoriserede
  • Endpoints og system sikkerhed: Levering og administration af infrastruktur services, system overvågning, endpoint beskyttelse, konfigurationsstyring, lagerstyring, infrastruktur operationer. 
  • Netværkssikkerhed: Leverer infrastruktur services, herunder virksomhedens beskyttelse og test af netværk, computere, fysisk tilstedeværelse, cloud, lagerstyring og operationer.
  • Fysisk sikkerhed: Beskytter faciliteter, udstyr, ressourcer og personale fra uautoriseret adgang, skade eller ødelæggelse. 
  • Applikationssikkerhed: Beskytter applikationer fra trusler ved at kræve foranstaltninger eller kontrol i hvert stadie af applikationens udvikling og livscyklus. 
  • Tredjepart: Overvåger forhold med tredjeparter for at sikre, at leverede services overholder definerede sikkerhedspolitikker
  • Forretningsmæssig modstandsdygtighed: Planer for hurtig og effektiv fortsættelse af virksomhedens kritiske services i en situation med en afbrydelse. 
  • Hjemmearbejde: håndtering af risikoen ved fjernadgang til virksomhedens netværker, herunder sikker tilslutning og autorisation, træning af medarbejdere, beskyttelse af enheder og krisehåndtering

Kilde: Aon 2021. 

Oplysningerne heri og udsagnene er af generel karakter og er ikke beregnet til at adressere omstændigheder for en bestemt person eller virksomhed. Man bør ikke handle ud fra oplysningerne i denne artikel uden passende professionel rådgivning og grundig undersøgelse af ens særlige situation. Denne artikel har ikke til hensigt at udgøre rådgivning om enhver form for investering, forsikring eller anden strategi. Enhver person eller virksomhed, der handler ud fra oplysningerne i denne artikel, gør det på denne persons eller virksomhedens egen risiko.