Alla vet att risken finns, få vet om försäkringen verkligen täcker risken och många av aktörerna på försäkringsmarknaden gör vad man kan för att pusha för produkten. En cyberattack kan i värsta fall leda till ett avbrott i företagets affärsrörelse för en lång tid och förorsaka betydande ekonomiska förluster såväl för företaget självt som samarbetsparters och kunder. Men går det verkligen att försäkra sig mot cyberattacker fullt ut?
Få känner tillit
Enligt en undersökning utförd av Forbes Insights och IBM förra året tillfrågades 353 chefer runt om i världen om deras uppfattning av konsekvenserna av en större cyberattack. Endast 42% av de tillfrågade sa att de är trygga med att deras organisation skulle återhämta sig utan att det påverkar deras verksamhet.
Bland dem som faktiskt köpte en särskild försäkring för att skydda sig mot cyberattacker trodde endast 4 av 10 att kostnaderna till följd av att återskapa data och krishantering faktiskt skulle ersättas av en sådan försäkring.
Cyberrisk
En cyberattack definieras som någon typ av offensiv manöver som riktas mot bland annat informationssystem, infrastrukturer eller datanätverk. I vissa fall är anledningen sabotage utan intresse av egen ekonomisk vinning och i andra fall är det just det som är anledningen bakom attacken.
Alla pratar om cyber
För drygt 20 år sedan uppmärksammades fler och fler på behovet av att teckna försäkring för att skydda VD och styrelsemedlemmar mot krav på betalning och skadestånd (som VD eller styrelsemedlem har man ett personligt ansvar för att bolaget sköts enligt lagar och regler). Att sälja VD & Styrelseansvarsförsäkring blev inte bara en väg till merförsäljning utan också ett effektivt sätt att komma in på nya kunder, genom att uppmärksamma dem på behovet.
Idag är så kallade cyber-försäkringar den nya VD & Styrelseansvarsförsäkringen, där de flesta försäkringsbolagen på den svenska marknaden erbjuder olika varianter av lösningar (och namn på dessa) för att täcka kostnader till följd av dataintrång, förlust av data eller motsvarande cyberrisker.
Cyberattack som risk
Den stora utmaningen för försäkringsbolagen är riskbedömningen. Av skäl som som till viss del går att både förstå och sympatisera med, så finns en avsaknad av tillgänglig data kring hur många attacker som egentligen förekommer och konsekvenserna av dessa (få vill flagga för brister i sin IT-infrastruktur). Detta gör det komplicerat att både bedöma framtida risker och även prissätta dessa. Och paradoxalt kan mer information göra att försäkringsbolagen blir mer riskaverta.
Enligt de försäkringsbolag som erbjuder försäkring för cyberattacker och tillhörande kostnader är produkten än så länge ingen blockbuster, det kan främst förklaras i osäkerheten kring den faktiska exponeringen: för att kunna erbjuda försäkringen ställs krav på att man som företag kan besvara ett antal frågor så att försäkringsbolaget kan bedöma risken. Frågorna berör allt från kontroll över IT-infrastruktur till backup-rutiner till kännedom om tidigare incidenter. Det finns dock tendenser till att frågeformulären utformas på ett sätt så att hur kunden än besvarar frågorna så tolkas svaren antingen som att det finns för lite information för att bedöma risken och därmed erbjuda försäkring, eller så framgår så mycket information att exponeringen bedöms för stor för att erbjuda försäkring, alternativt tar man ut en allt för hög riskpremie för att kunden inte ska välja att teckna försäkring.
Tillägg till övriga försäkringar
Än så länge ingår inte cyberförsäkringar som en del av en företagsförsäkring utan måste köpas till som tillägg, eftersom denna typ av exponering generellt är undantagen i traditionella försäkringslösningar.
Är då lösningen på allt att teckna en cyberförsäkring? Nej, givetvis inte. Precis som de flesta andra försäkringar så finns generella undantag som inte täcks av försäkringen, däribland
- Skador som förorsakas av att brandmur eller antivirusprogram har brister eller inte har uppdaterats
- Skador som förorsakas av försummelser i den dagliga säkerhetskopieringen
A och O är att själv tillse att man gör allt man kan för att tillse att man har en IT-infrastruktur som är motståndskraftig mot angrepp utifrån (och inifrån också för den delen). Idag hörs fler och fler röster som föreslår att en företagsförsäkring borde innehålla åtminstone ett begränsande skydd för cyberangrepp. Enligt PWC så utsattes närmare hälften av Sveriges största bolag för en cyberattack under 2017. Majoriteten råkade till och med ut för flera attacker. Sett till de siffrorna borde försäkringsbolagen kunna få tillgång till ännu mer statistik och kunskap om exponeringarna och därmed kunna känna sig mer bekväma att erbjuda skyddet per automatik. Inte minst för kundernas skull.
