Forventninger til Cybercrime forsikringer med en risikobaseret tilgang TINE OLSEN, WILLIS JESPER B. HANSEN, SISCON

Transkript

1 Forventninger til Cybercrime forsikringer med en risikobaseret tilgang TINE OLSEN, WILLIS JESPER B. HANSEN, SISCON

2 HVEM ER VI? JESPER HANSEN, SISCON ESL, CISM, CRISC, CISSP HAR 15+ ÅRS ERFARING, INDENFOR FORSKELLIGE IT- SIKKERHEDSDISCIPLINER. FRA PENETRATIONSTEST, INFRASTRUKTUR-DESIGN TIL DE MERE BLØDE DELE AF INFORMATIONSSIKKERHEDEN, HERUNDER IMPLEMENTERING AF ISMS BASERET PÅ ISO27001 OG BEREDSKABSPLANLÆGNING OG TEST. TIDLIGERE - IT-SIKKERHEDSCHEF PFA - KONSULENT PWC - KONSULENT PROTEGO TINE OLSEN PRACTICE LEADER FINEX, WILLIS SPECIALTIES. CAND. JUR., HD(O) WILLIS ER DANMARKS STØRSTE FORSIKRINGSMÆGLER OG BLANDT VERDENS FØRENDE VIRKSOMHEDER MED SPECIALE I RISIKOSTYRING. VI ER PÅ VERDENSPLAN ANSATTE HERAF CIRKA 475 I DANMARK. WILLIS ER HVERKEN AFHÆNGIG AF PARTNERE, LEVERANDØRER ELLER BESTEMTE MÅDER AT SE VERDEN PÅ. VI ER 100 PROCENT FRIE OG KAN VÆLGE NETOP DEN UNIKKE KOMBINATION AF PRODUKTER OG LEVERANDØRER, SOM OPFYLDER VORES OG KUNDENS KRAV.

3 NYE TRUSLER HVER DAG! ControlManager by Siscon 3

4 RISIKOBILLEDET ENHVER NY TRUSSEL UDGØR IKKE NØDVENDIGVIS EN TRUSSEL FOR DIN VIRKSOMHED VIRKSOMHEDERS RISIKOPROFIL VARIERER ALT EFTER: Størrelse Struktur/kompleksitet Industri Kultur DET ER VIGTIGE, AT DU FORSTÅR RISIKOBILLEDET FOR DIN VIRKSOMHED HERUNDER DEN SPECIFIKKE KONSEKVENS ControlManager by Siscon 4

5 INTERNETNEDBRUD - KAOS ELLER FRIRUM? ControlManager by Siscon 5

6 BASAL RISK MANAGEMENT MODEL Monitorer Identificer Håndter Vurder Kontekst - Risikoappetit - Type af risikovurdering - Skalaer ControlManager by Siscon 6

7 RISIKOVURDERING I EN FORRETNINGSMÆSSIG KONTEKST Hvad er forretningskonsekvensen Hvis der sker brud på F.eks.: - Fortrolighed - Integritet - Tilgængelighed (flere niveauer) Hvad er sandsynligheden for en given trussel? Der kan påvirke vores IT s: - Fortrolighed - Integritet - Tilgængelighed ControlManager by Siscon

8 KONSEKVENSVURDERING - FORTROLIGHED, INTEGRITET OG TILGÆNGELIGHED Niveau / Type Meget stor Stor Gennemførelse af arbejdsprocesser Alt arbejde ligger stille Arbejdsprocesser er påvirket markant Omdømme/ Aktiekurs Længerevarende markant eksponering i dagspressen og medierne Der vil være meget negativ omtale inden for egen branche samt kritiske artikler i pressen Økonomi Forventet tab kr > Forventet tab kr > Overholdelse af lovgivning Grov overtrædelse af lov kan medføre stor erstatning, politianmeldelse skriftlig redegørelse til eksterne myndigheder Gentagende forsømmelser / overtrædelser som udløser skærpet overvågning fra den relevant myndighed Medarbejder utilfredshed Et større antal medarbejdere forlader virksomheden Arbejde udføres med nedsat engagement og kvalitetsforringelse Lille Meget lille Arbejde kan kun delvist gennemføres Marginal påvirkning af arbejdsprocesser Der vil være udbredt negativ omtale inden for egen branche Der vil være negativ omtale i mindre omfang inden for egen branche i nærområdet Forventet tab kr > Forventet tab < kr Overtrædelser der udløser erstatningspligtig Lovgivning overtrædes i mindre grad Længevarende utilfredshed og begyndende mistillid Kortvarig utilfredshed blandt enkelte medarbejdere 8

9 SANDSYNLIGHEDSVURDERING - TRUSSELSKATALOG Kategorier Eksempler Driftsfejl Servernedbrud Kapacitetsmangel Fysiske trusler Oversvømmelse Strømsvigt Menneskelige fejl Læk af følsomme oplysninger (IPR) Fejlkonfiguration Forsætligt misbrug CPR-kig på naboen Spionage / udlevering af IPR Cyber-angreb Databrud Tab af data Cyber afpresning Ansattes sabotage Hacker angreb 9

10 SANDSYNLIGHEDSVURDERING Sandsynlighed Meget høj Høj Lav Meget Lav Beskrivelse Vil sandsynligvis ske flere gange hver uge Vil sandsynligvis ske én gang hver måned eller sjældnere Vil sandsynligvis ske én gang hvert år eller sjældnere Vil sandsynligvis ske hvert tredje år eller sjældnere 10

11 PROCES - RISK MAP UDENFOR RISIKOAPPETIT INDENFOR RISIKOAPPETIT (Besluttet i kontekstfasen) X markerer aktiv højest sandsynlighed ControlManager by Siscon 11

12 RISK MANAGEMENT OPTIONS - 4 T S Terminere aktiviteten (Terminate) Overføre risikoen (Transfer) Reducere risikoen (Treat) Overføre risikoen (Transfer) Acceptere risikoen (Tolerate)

13 MATCHER JERES FORSIKRINGER JERES NUVÆRENDE TRUSSELSBILLEDE ControlManager by Siscon 13

14 ControlManager by Siscon 14

15 CYBER FORSIKRINGER ControlManager by Siscon 15

16 Risikostyring Kontrol Forsikring CISO Ledelsen Generel forståelse Økonomisk forståelse Risk management IT Software sikkerhed Beredskabsplan Awareness Træning Ansatte Jura & compliance Lovgivning Data 16

17 Forsikring Forståelse for risikoen = lettere undgå/reducere samt i sidste ende at overføre denne til tredjemand! 17

18 Forsikringsbar risiko? Tegn et risikobillede Jeres risici? Hvordan forholder I jer til it-risici generelt? Driftstab/omkostninger? Netværk Opbevaring af data? Hvilken data modtager/indsamler I? PR? Kontrakter / Leverandører (ansvarsfordeling) Riskmanagement? Kriseberedskab / Beredskabsplan? Backup? It-politik? Medarbejdertræning? Kvalitetssikring af ovenstående? 18

19 CYBER hvad sker der? Overblik over en cyber-skade: Skade Respons (kort sigt) Konsekvenser (lang sigt) Opdagelse Aktuelt eller formodet brud på sikkerhedsnet, ubudne gæster i netværk, e-spionage, Ddos angreb mod hjemmeside, uberettiget offentliggørelse af persondata eller andet fortroligt materiale. Respons Der skal igangsættes/overvejes følgende: - It-konsulenter (Forensic) - Juridisk assistance - PR/mediedækning - Notifikation - Tabsbegrænsning - Genopretning/genetablering Konsekvenser Uden korrekt håndtering af en krise, er der risiko for: - Skade på renommé = mistillid fra kunder/samarbejdspartnere - Erstatningskrav - Sanktioner fra myndigheder - Tab af kunder/forretningsforbindelser - Store omkostninger til genetablering 19

20 Skadeseksempler - Danmark Transport/logistik virksomhed - system nedlagt - Ekstern konsulenthjælp (udgift ca ) Elektronik/hvidevare salg Virus/Trojan Nedlukning af servere og alle computere Virksomheden måtte engagere it-konsulenter til at udrede sagen. Skaden er anmeldt til forsikringsselskabet. Online salg Online billetsalg ramt af et DDos angreb. Hjemmesiden var nede i 4 dage, og kostede ca. DKK i omkostninger. Forsikringsdækket. 20

21 Forsikringsudbetaling - USA En kvartalvis undersøgelse foretaget af NetDiligence blandt forsikringsselskaber der har håndteret sager om databrud viser at: Persondata var den hyppigste eksponerede dataform (41 % af bruddene), Sundshedsdata næsthyppigste (21 %) og kreditkortinformationer fulgte herefter med 19 %. Den gennemsnitlige skadesudbetaling var $ Medianen var $ I alt blev der fra de undersøgte forsikringsselskaber udbetalt $62,3 million og næsten halvdelen blev anvendt til kriseomkostninger (48 %), 15 % anvendt til juridiske omkostninger, 10 % på forlig/erstatningskrav. NetDiligence Cyber Claims Study

22 Forsikringsdækning Erstatningskrav fra tredjemand Omkostninger: Forsvar Advokat KRISEBEREDSKAB Assistance når krisen sker, herunder it-konsulenter, juridisk assistance og PR. PR Notifikation Monitorering/Call centre Genetablering/genopretning Undersøgelse Driftstab Løsepenge Elektronisk tyveri(netbank m.m.) 22

23 Forsikringsdækning - undtagelser Hvad vil typisk ikke være dækket? Tidligere eller verserende krav Forbedringsudgifter (altså erstatning til et niveau bedre end før skaden) Personskader Sikredes forsætlige misbrug af forretningshemmeligheder Fysisk skade på netværket (F.eks. Brand) Skader der opstår som følge af oprindelige fejl Forsyningssvigt Kontraktsretlige forpligtelser(med mindre der også er ansvar uden for kontrakt) 23

24 Forsikringsdækning Kend din forsikring!! Er din virksomhed allerede sikret med dine nuværende forsikringer? 24

25 HAR DU EN FORSIKRING DER TÆLLER CYBERRISICI? ControlManager by Siscon 25

26 ControlManager by Siscon 26

27 Forsikring GAP-ANALYSE CYBER VS. TRADITIONELLE FORSIKRINGER Kategorier Eksempler Driftsfejl Servernedbrud Kapacitetsmangel Fysiske trusler Oversvømmelse Strømsvigt Menneskelige fejl Læk af følsomme oplysninger (IPR) Fejlkonfiguration Forsætligt misbrug CPR-kig på naboen Spionage / udlevering af IPR Cyber-angreb Databrud Tab af data Cyber afpresning Ansattes sabotage Hacker angreb 27

28 CYBER FORSIKRING Hvad skal DU være opmærksom på? Gennemgå nedenstående spørgsmål i samarbejde med din mægler/sikkerhedskonsulent. Tager risikobilledet udgangspunkt i konsekvensen for forretningen? Hvilke dækninger er relevante for jeres forretning? Opdateres jeres risikobillede løbende? Afstemmer I løbende sikkerhedshændelser med risikobillede og kontroller? Tilbyder forsikringen et beredskab? Og hvordan harmonerer dette med jeres interne ressourcer? Overvej hvordan forsikringen kan tilpasses til jeres konkrete behov. 28

29 SPØRGSMÅL? - KONTAKTDETALJER JESPER HANSEN SENIOR KONSULENT, SISCON jbh (at) Siscon.dk Se mere på: TINE OLSEN PRACTICE LEADER, FINEX OPERATIONAL AND BOARDROOM RISK, WILLIS SPECIALTIES PRACTICE tio (at) willis.dk Se mere på: