Det omfattende dataangrepet mot Hydro i mars har skapt økt bevisshet hos norske bedrifter og rundt deres sårbarhet overfor cybertrusler.
Store økonomiske tap og uvanlig stor cyberinteresse
Natt til tirsdag 19. mars oppdaget Hydro at de var rammet av et omfattende dataangrep. Angrepet begynte i én Hydro-virksomhet i USA og spredte seg derfra til andre deler av organisasjonen i USA og Europa. Den foreløpige evalueringen viser et økonomisk tap på mellom 300 og 350 millioner kroner.
I kjølvannet av Hydroangrepet opplevde If en 950 % økning i antall sidetreff på cyberforsikring og relaterte emner. Informasjonssjef Sigmund Clementz kaller økningen enorm. Også Gjensidige opplevde økt interesse etter hendelsen, blant annet fra forsikringsmeglere. Som kommunikasjonssjef Bjarne Rysstad sa i et intervju med e24: «Dette er en oppvekker for mange bedrifter».
Det er utfordrende å finne gode tall på hvor stort markedet for cyberforsikringer er, men at det forventes å vokse kraftig, er de fleste enige om. OECD forventer at det globale markedet vil ha et volum på 9 milliarder amerikanske dollar i premier i 2020, noe som vil være en økning på 300 prosent på 4 år.
Hva menes med cyberrisiko?
Det finnes ingen entydig definisjon på hva cyberrisiko er. Oftest menes at det handler om enhver risiko for økonomiske tap, avbrudd eller stans i bedriften, eller skade på bedriftens omdømme, som følge av svikt i informasjonsteknologiske systemer. I økende grad kommer truslene fra et bevisst angrep utenfor bedriften eller fra utro tjenere internt (se appendiks).
Hva kan konsekvensene av et cyperangrep være?
Nedenfor følger noen av de direkte økonomiske konsekvensene som kan følge av et vellykket dataangrep:
– Tap av viktige eller konfidensielle data
– Tap av kunder på grunn av datainnbrudd og/eller som følge av negativ medieoppmerksomhet
– Tap av aksjeverdi som følge av redusert omdømme og tap av kunder
– Stopp eller delvis avbrudd i driften og kontraktsbrudd som følge av driftsstans
– Tyveri og skade på eiendom eller eiendeler
– Regulatoriske bøter
– Utpressing/pengeutpressing
– Tilbakekalling av produkter eller tjenester
– Økonomisk ansvar som følge av konsekvenser for tredjepart
De største økonomiske aspektene i Hydrosaken kom som følge av driftsstans. Saken viser også sårbarheten ved den pågående digitaliseringen av samfunnet.
– Det er verdt å merke seg at dataangrep vanligvis har en enkelhet i seg, med relativ liten risiko for angriperen. Man ser en økt etterspørsel etter cyberforsikringer, men disse er ingen erstatter for god risikohåndtering og krav om informasjonssikkerhet.
Hva kan bedrifter gjøre for å beskytte seg?
Man må beskytte seg mot cyberangrep på samme måte som man forholder seg til andre risikoer. En enkel oversikt fra svenske Länsforäkringar viser for eksempel parallellen til det å beskytte seg mot brann og tyveri.
På mange måter er forsikring alltid et sekundærprodukt i den forstand at bedriften selv må ta ansvar, ha kompetent personale og bygge den nødvendige IT-sikkerheten.
Hva omfatter omfatter en cyberforsikring?
Cyberforsikring skal hjelpe bedrifter med å håndtere etterspillet av et cyberangrep. I praksis betyr dette at den skal bidra til å dekke kostnadene for angrepet, eventuelt dekke tredjepartsansvar, samt bistå med sikkerhetseksperter for å minimere skadeomfanget.
- Til dekning av direkte kostnader og tap
Produksjon og inntektsbortfall, kostnader til gjenoppretting av systemer, programvare og data, kompensasjon for skade på eiendom, kostnad forbundet med varsel til kunder og annen nødvendig ekstern kommunikasjon, kostnader knyttet til utpressing. - Skade som påvirker tredjepart
Krav på krav fra kunder som har lidd skade, som for eksempel for tapte leveranser eller informasjon, andre typer kostnader på grunn av ansvarsforhold og økonomiske tap. - Andre typer tjenester
Direkte tilgang til ekspertassistanse for skademinimering og
systemgjenoppretting, juridisk rådgivning, hjelp med tekniske undersøkelser, støtte til krisekommunikasjon og PR.
Appendix – interne og eksterne trusler bedriftene bør ta høyde for:
- Intern og ondsinnet. Dette er vanligvis en bevisst sabotasjehandling eller et tyveri utført av noen på innsiden av bedriften. Det kan være en misfornøyd medarbeider som sletter eller stjeler data fra det sentrale systemet (IT-systemene), eller som med hensikt installerer virus på selskapets maskiner.
- Internt og utilsiktet. Dette stammer fra en ansatt som gjør en feil. Selv den mest kunnskapsrike medarbeider med de beste intensjoner kan ved et uhell deaktivere en brannmur eller et internt backupsystem.
- Ekstern og ondsinnet. Et bevisst angrep fra noen utenfor organisasjonen. Dette kan være infiltrering av databasene fra organiserte kriminelle eller et Denial of Service-angrep (DoS) fra hackere for å overbelaste eller slå ut kritisk utstyr.
- Eksternt og utilsiktet. En utilsiktet innvirkning på systemene, som programvarefeil eller naturkatastrofer, som påvirker selskapets systemtilgjengelighet.
Kilder: digi.no, e24.no, OECD, IMF, Länsforsäkringar, earlyWarning
