Norske forsikringer mot dataangrep er et nytt fenomen, der forskere ser flere utfordringer med å måle konsekvensene sammenlignet med tradisjonell forsikring.

DATAKRIMINALITET

Nå kan du forsikre deg mot dataangrep

Eksperter advarer mot å bruke det som en sovepute.

Sammen med IBM har forsikringsselskapet If kjørt i gang det som skal være landets første forsikringsordning som rydder opp hvis bedriften blir utsatt for et dataangrep eller annen form for datakriminalitet.

Sintef har en ny forskningsgruppe på feltet og som ser mange uløste utfordringer.

Les også: Norske nettselskaper øver ikke på IT-angrep

Skade og tap

Forsikringen dekker skader og tap som følge av blant annet skadevare, virus, tjenestenektangrep og rene hacker-angrep.

Da er strategien at IBM vurderer hvert tilfelle og hva som må settes inn av ressurser.

– Vi dekker skadene som følge av en svakhet, men vi tar ikke kostnadene for å rette opp den opprinnelige svakheten, sier Line Gjengedal Ruud. Hun er nordisk produktansvarlig hos If.

Når skaden først er skjedd, skal IBM finne ut hva som er skjedd, gjenopprette eventuelle tapte data og få ting på rett kjøl igjen. Hvis en sak krever mer gransking, får kunden dekket kostnader for at IBM overvåker for eksempel kundedata over tid.

Hvis et angrep fører til svikt i omsetningen, kan det gi utbetaling.

Dårlige rutiner

Til gjengjeld krever selskapet at forsikringstakeren sørger for å ha grunnleggende løsninger som sikkerhetsprogrammer, tilgangskontroll, sikkerhetskopier og brannmur.

­– Hvis en bedrift har dårlige kontrollrutiner, kan det gi avkorting i erstatningen, sier Gjengedal Ruud.

Behovet har kommet til syne de siste par årene. Utenlandske aktører har vært i gang i flere år, men den siste tiden har det kommet forespørsler om norske alternativer. Ifs oppstart gjøres i Norden, der målgruppen i første rekke er mindre bedrifter med små egne IT-ressurser.

Man støtter seg også til en markedsundersøkelse som viser at 83 prosent av norske bedrifter med sikkerhet vet at de ikke har vært utsatt for datakriminalitet. Noe If tydeligvis ikke tror på.

Så du denne? – Ikke stol på passordmålerne

Sovepute

Ved Sintef IKT jobber en forskningsgruppe med informasjonssikkerhet. Her jobber forsker Inger Anne Tøndel med blant annet såkalt kyberforsikring som et nytt felt.

– Hvilken risiko er det for at bedriftene bruker forsikringen som en sovepute i forhold til egen IT-sikkerhet?

– Det kan hende at de velger overlate ansvaret til forsikringsselskapet. På den annen siden kan kompetanse og veiledning fra forsikringsselskapet føre til økt bevissthet om IT-sikkerhet, svarer Tøndel.

If tror mest på det siste alternativet.

– De fleste bedrifter er opptatt av å holde driften i gang fremfor å bruke ressurser på ting som ikke har med kjernevirksomheten å gjøre, sier produktdirektør Gjengedal Ruud.

Tapt omdømme

Forskerne ser også på hvordan en forsikring skal dekke tapt omdømme i kjølvannet av en datahendelse. Omdømmet kan få seg en real skrape hvis datasikkerheten svikter, som at kundene ikke får det de har betalt for.

– Dette er forhold som kan være vanskelig å måle økonomisk, sier Tøndel hos Sintef IKT.

– Vi dekker ikke omdømmetap, forklarer Gjengedal Ruud hos If. Men en bedrift kan få dekket utgifter til å hyre inn PR-folk som hjelper til å med å begrense omdømmeskadene.

Upløyd mark

I tillegg er det uoversiktlige forhold, sammenlignet med tradisjonelle forsikringer. Tøndel trekker frem en husbrann.

– Her er det enkelt å dokumentere når huset brant. En sårbarhet i en programvare kan derimot føre til skader lenge etter at den oppsto. Vi vet at det ofte tar lang tid fra en feil oppstår til den blir oppdaget. Og det tar tid før det kommer en fix, og mer tid før den blir installert. Et eller annet sted underveis kan man bli utsatt for en hendelse som ikke blir oppdaget med én gang. Da er spørsmålet: Gjelder forsikringen hvis feilen oppsto før forsikringen ble tegnet, spør forskeren.

– Hvordan er If forberedt på spørsmål som juristene ikke har svarene klare på?

– Dette er et nybrottsarbeid der vi må lære en del underveis. Når det gjelder eksemplet fra Sintef, vil forsikringen være gyldig for hendelser som meldes eller konstateres mens forsikringen er i kraft. Det avgjørende er ikke når feilen oppsto. Hvis derimot forsikringstakeren visste om hendelsen før avtalen ble inngått, vil ikke den ikke være dekket, svarer produktdirektøren.

Til toppen