Cyberattacker drabbar alla slags verksamheter och både små och stora företag. Industriföretg har det extra knepigt eftersom de både har traditonella IT-system och verksamhetsbaserade system som digitaliseras och med ökade Internet-of-things enheter.
Fram till mitten av 2010-talet var det ovanligt med försäkringar mot cyberattacker, då täcktes ofta intrång av den vanliga företagsförsäkringen. Situationen kallas ”tyst cyber” eftersom cyberattacker var en särskild listade i försäkringspolicyn eller var explicit uteslutna.
Allt ändrades när ransomware dök upp, framförallt efter 2017 Wannacry och Notpetya-attackerna. Farma-giganten Merck, påverkades hårt av Notpetya. De gjorde en skademälan på 1.4 miljarder dollar till sitt försäkringsbolag, vilket direkt företagsförsäkringar till hela försäkringsbranschen om de stora riskerna. Merck vann fallet 2023.
Krigshantering
Fallet ledde till att cyberattacker uttryckligen uteslöts från företagsförsäkringarna, medan andra begränsade omfattningen. Samtidigt började särskilda cyberrisk-försäkringar dyka upp, en bransch som växer snabbt, från 2 miljarder dollar i inbetalade premier globalt 2015 till 12 miljarder dollar 2022. Marknaden beräknas nå 33 miljarder dollar 2027.
För företag kan det vara svårt att identifiera vilka cyberattacker som täcks av försäkringen. På senare tid har Rysslands-affilierade grupper regelbundet genomfört cyberbrott. Det har lett till att ledande internationella försäkringsinstitutioner, som Lloyd’s of London, börjat definiera dessa som statliga sponsrade attacker, eller krigshandlingar, och som därmed inte täcks av försäkringarna. I en del rättsfall, med exempelvis fordonsföretaget Inchcape, har det lett till att försäkringsbolaget inte behövt täcka ersättning för indirekta kostnader efter en cyberattack, som hårdvara, kriminalteknisk analys PR.
Högre premier och sämre täckning
De ökade cyberattackerna har också lett till enorma ökningar av försäkringspremierna. Enligt internationella Marshs market index, har premierna dubblerats varje år mellan 2019 och 2021.
Höjningarna beror på att attacker har blivit så vanliga att utbetalningar snarare är norm än undantag. Enligt TrendMicro har hela 89% av företag inom el, olja och gas samt tillverkning upplevt att deras verksamhet påverkats av cyberattacker under 2022.
Försäkringsbolagen använder ofta en tuff urvalsprocess för att avgöra vilka de försäkrar. Företag måste svara på hundratals frågor om vilka policyer som har för cybersäkerhet, datahantering och kontinuitetsplaner. Försäkringsbolagen tar även med tidigare säkerhetsbrott och branschrisker i beräkningar och användningsbedömningar från företag som BitSight och GuideWire för att avgöra hur bra ett företags cybersäkerhet är. Det har lett till att många företag helt exkluderats från marknaden.
Svårare för industriföretag
Industriföretag har det extra svårt att få cyberförsäkringar. Försäkringsgivare räknar ut premiärnivåerna genom att företagen beskriva vilka åtgärder som har genomförts för att stärka cybersäkerheten i relation till IT-utrustning som bärbara datorer och servrar, men även vad gäller industriutrustning som KONTROLL- och SCADA-system. Dessa saknar ofta grundläggande säkerhetsskydd som kryptering av lösenord och tvåfaktors-autentisering vilket försvårar processen.
Svårigheterna har lett till att företag bilda egna ömsesidiga försäkringsbolag som exempel Miris som bildades 2022 av sju stora europeiska industrigrupper, bland annat BASF, Airbus och Michelin.
Eftersom moderna industrianläggningar körs dygnet runt, har dessa företag dessutom svårt att ”patcha” sårbarheter. En ny undersökning genomförd av European Cybersecurity Agency (ENISA) visar till exempel att två tredjedelar av europeiska energiföretag behövde mer än en månad för att ”patcha” viktiga sårbarheter och för att få det över sex månader.
Minskad risk ger lägre kostnader
Det är lätt att skylla allt på riskobenägna försäkringsbolag, men företag måste bli bättre på att minska sin egen utsatthet. Förra året ökade cyberattackerna mot Internet of Things (IoT)-enheter med 400% enligt cybersäkerhetsföretaget Zscaler.
Det finns flera åtgärder företag kan vidta för att få försäkringar som täcker mer av verksamheten och för att driva ner premieavgifterna. Det första är att gå igenom alla IT- och verksamhetssystem och identifiera sårbara enheter och göra prioriteringar. Industriföretag bör särskilt fokusera på att upprätta en detaljerad förteckning över verksamhetens alla ändpunkter och korsreferera dessa mot internationella databaser som exempel på NISTs National Vulnerability Database för att göra riskbedömningar. Bra information om cybersäkerhet finns även hos MSB.
Frågeformulären från försäkringsbolag frågar också efter detaljerad information om nätverkssegmentering, riskhantering, kontinuitetsplaner och relationer med tredjepartsleverantörer. Det är helt klart arbetskrävande att skapa och dokumentera alla dessa processer, men de är mycket viktiga för att minska försäkringspremierna – och bidra till att minska cyberattackerna.
Till sist, oavsett om det handlar om företag som redan har cyberförsäkring eller som är på jakt efter försäkringar är det viktigt att förstå vad försäkringarna täcker och vad som är undantaget, särksilt vad som bedöms som krigshandlingar eller statsstödda attacker. Tyvärr är det frågor som företag ofta bara ställer efter en attack, och inte sällan ställer frågan i en domstol.
