CYBER RISIKOAFDÆKNING Den 4 september 2015
Kort om Willis WILLIS ER DANMARKS STØRSTE FORSIKRINGSMÆGLER OG BLANDT VERDENS FØRENDE VIRKSOMHEDER MED SPECIALE I RISIKOSTYRING. VI ER PÅ VERDENSPLAN 17.000 ANSATTE HERAF CIRKA 475 I DANMARK. WILLIS ER HVERKEN AFHÆNGIG AF PARTNERE, LEVERANDØRER ELLER BESTEMTE MÅDER AT SE VERDEN PÅ. VI ER 100 PROCENT FRIE OG KAN VÆLGE NETOP DEN UNIKKE KOMBINATION AF PRODUKTER OG LEVERANDØRER, SOM OPFYLDER VORES OG KUNDENS KRAV. TINE OLSEN, PRACTICE LEADER FINEX, WILLIS SPECIALTIES. CAND. JUR., HD(O) 1
Introduktion Kan en forsikring afdække det økonomiske tab, hvis den risiko organisationen er eksponeret for bliver en realitet?
Agenda: Eksponering Eksempler Risikostyring og Forsikring Spørgsmål
Eksponering - hvad taler vi om? CYBER RISKS HACKER ANGREB DATA BRUD VIRUS TRANSMISSION CYBER AFPRESNING ANSATTES SABOTAGE NETVÆRKS NEDETID/DRIFTSTAB MULITI MEDIE ANSVAR BETJENINGSFEJL 4
Eksponering Source: Radware 2015 cyberreport 5
Eksponering - Sårbarheder: Nation State Actors Organiseret kriminalitet IPR tyveri Manipulation Datatab Pengeoverførsler Bedrageri Eget tab Terrorisme IT konsulenter Undersøgelse Kompensation Infrastruktur Hacktivister Medieeksponering Politisk mål Herværk 6
Eksempler
Eksempler Fake president scam Hacking af e-mail Faktura / konto ændring E-mail konti nedlagt E-mailsystem nedlagt - Ekstern konsulenthjælp (udgift ca. 250.000) Virus Virus/Trojan Nedlukning af servere og alle computere Virksomheden måtte engagere it-konsulenter til at udrede sagen. Skaden er anmeldt til forsikringsselskabet. 8
Eksempler DDOS angreb Online billetsalg - Hjemmeside nede i 4 dage, og kostede ca. DKK 500.000 i omkostninger. Forsikringsdækket Ransomewareangreb Afpresning via kryptering Databrud /Target Detailkæde i USA. Ramt af to databrud. Gruppesøgsmål, afskedigelser og ledelsesansvarssag. 9
CYBER hvad sker der? Overblik over en cyber-skade: Skade Respons (kort sigt) Konsekvenser (lang sigt) Opdagelse Aktuelt eller formodet brud på sikkerhedsnet, ubudne gæster i netværk, e-spionage, Ddos angreb mod hjemmeside, uberettiget offentliggørelse af persondata eller andet fortroligt materiale. Respons Der skal igangsættes/overvejes følgende: - It-konsulenter (Forensic) - Juridisk assistance - PR/mediedækning - Notifikation - Tabsbegrænsning - Genopretning/genetablering Konsekvenser Uden korrekt håndtering af en krise, er der risiko for: - Skade på renommé = mistillid fra kunder/samarbejdspartnere - Erstatningskrav - Sanktioner fra myndigheder - Tab af kunder/forretningsforbindelser - Store omkostninger til genetablering 10
Risikostyring og Forsikring
Risikostyring Kontrol Forsikring CISO Ledelsen Generel forståelse Økonomisk forståelse Risk management IT Software sikkerhed Beredskabsplan Awareness Træning Ansatte Jura & compliance Lovgivning Data 12
RISK MANAGEMENT Analysér risikoen Beskriv risikostrategien Implementer risikotiltag Overvåg risikoen Overfør risikoen 13
Tre hovedelementer i en cyberforsikring Service Tredjeparts dækning Erstatningskrav, Forsvarsomkostninger, Notifikationsomkostninger Første parts tab IT-konsulenter, juridisk bistand, PR, Driftstab, Data genetableringsomkostninger, Løsesum, 14
Forsikring første parts tab Omkostninger sikrede selv afholder i forbindelse med skade: 1. IT-konsulenter: Undersøgelse af sikredes systemer/netværk for, at begrænse og stoppe en cyberhændelse. 2. Juridisk bistand i forbindelse med lovmæssige pligter samt rådgivning om passende skridt ved databrud. 3. PR omkostninger: Omkostninger til at kommunikere om sagen i pressen og minimere skadens omfang. 4. Genetablering af data: Omkostninger til at genetablere og genfinde data, som mistes/krypteres under et cyberangreb eller ved en cyberhændelse. 5. Driftstab: Tab af omsætning, hvis virksomhedens drift påvirkes af cyberhændelsen. 6. Cyber afpresning: Løsesum og udgifter til professionel forhandler. 15
Forsikring tredjeparts dækning Tredjepart? Med tredjepart skal forstås en juridisk eller fysisk person, der lider et tab eller bliver påvirket af cyberhændelsen hos sikrede. Erstatningskrav, forsvarsomkostninger og notifikationsomkostninger: 1. Notifikationsomkostninger: Loven foreskriver at alle berørte datasubjekter/personer skal underrettes I tilfælde af et databrud. 2. Bøder 3. Erstatningskrav: Krav fra datasubjekter eller personer, hvis information der er blevet eller om muligt er blevet kompromitteret. 4. Forsvarsomkostninger: Advokatomkostninger i forbindelse med at forsvare en sag mod organisationen. 16
Forsikring - service Service = Beredskab 1. Advokater 2. IT 3. PR 17
Forsikring GAP-ANALYSE CYBER VS. TRADITIONELLE FORSIKRINGER SKADE DÆKNING TRADITIONELLE POLICER CYBER- FORSIKRING Databrud Databrud Omkostninger til at notificere berørte personer Erstatningsansvar overfor tredjemand pga. data der er mistet eller uberettiget offentliggjort. Ikke dækket Delvist Dækket Dækket Tab af data Genetablering af data Ikke dækket Dækket Skade på netværk Genoprettelse af netværk Ikke dækket Dækket Ekstraomkostninger Omkostninger til undersøgelse af skade Delvist Dækket Skade på renommé PR/mediedækning i forbindelse med en skade Ikke dækket Dækket Cyberafpresning Løsesum + forhandlingsomkostninger Ikke dækket Dækket Krisestyring Adgang til beredskab (It, Forensic, Legal) Ikke dækket Dækket 18
Overvejelser forud for forsikring? Tegn et risikobillede Organisationens risici? Driftstab/omkostninger? Styring? Netværk Opbevaring af data- Hvilken data modtager/indsamler I? PR? Kontrakter? Riskmanagement? Kriseberedskab? Beredskabsplan? Backup? It-politik? Medarbejdertræning? 19
Cyber Risikospørgsmål - Personniveau 1. Har organisationen udpeget en person med it-sikkerhed, herunder forebyggelse af itkriminalitet, som særskilt ansvarsområde? 2. Modtagere alle medarbejdere en it-politik/it-håndbog ved ansættelsens start? 3. Bliver der fulgt op på overholdelse af denne? 4. Indeholder it-politikken retningslinjer for medarbejderes brug af sociale medier? Brug af usikre WiFi networks? 5. Er der fokus på medarbejdertræning i forhold til it? 6. Modtager personer med adgang til personfølsomme oplysninger særlig undervisning? 7. Har alle medarbejdere en personlig profil? 8. Er denne profil tilpasset hvilke data der bør være tilgængelige for den enkelte medarbejder? 9. Er der processer for, at sikre deaktivering af personlig profil ved ansættelsens ophør? 20
Cyber Risikospørgsmål - Forretning 1. Er alle systemer centralt styret? Eller har de enkelte afdelinger? 2. Omsætning via websalg? 3. Har kunder login? Eller er der trejdepart, der er afhængige af organisationens it? 4. Samarbejdspartnere/Kontrakter hvem har ansvaret? 5. Kan organisationens økonomiske resultat blive markant påvirket af at webside, e-mailsystem, datadrev eller netværk er ude af drift i en given periode? 6. Er der overblik over et eventuelt driftstab? 7. Er der overblik over ansvaret for IT i kontrakter/kundeforhold? 8. Immaterielle rettigheder? 9. Er PR procedurer fastlagte i forhold til cyberhændelse? 10. Jurisdiktion i forhold til data? Koordinering mellem it- og jura? 21
Cyber Risikospørgsmål Data og IT 1. Outsourcet opbevaring af data? 2. Dataklassificeret i forhold til følsomhed? 3. Konsekvens af et databrud? 4. Er der et beredskab ved cyberhændelser, der indebærer procedure for IT, Jura, Økonomi, kommunikation? 5. Er der identificeret tredjeparter til assistance i tilfælde af en skade? 6. Hvordan sikrer I, at jeres leverandører lever op til jeres sikkerhedskrav? 7. Test af backup? 8. Testes procedurer? 22
Spørgsmål og kontaktdetaljer Spørgsmål Tine Olsen Practice leader FINEX, Willis specialties, Denmark +45 88139431 tio@willis.dk Se også www.cyberrisk.dk 23