CYBERFORSIKRING OFFENTLIG KONFERENCE Den 23 September 2015
Introduktion Kan en forsikring afdække det økonomiske tab, hvis den risiko organisationen er eksponeret for bliver en realitet?
Agenda: Eksponering Eksempler Risikostyring og Forsikring Spørgsmål
Eksponering - hvad taler vi om? CYBER RISKS HACKER ANGREB DATA BRUD VIRUS TRANSMISSION CYBER AFPRESNING ANSATTES SABOTAGE NETVÆRKS NEDETID/DRIFTSTAB MULITI MEDIE ANSVAR BETJENINGSFEJL 3
Eksponering Source : IBM 2014 4
Eksponering - Sårbarheder: Nation State Actors Organiseret kriminalitet Data tyveri Manipulation Datatab Pengeoverførsler Bedrageri Eget tab Terrorisme IT konsulenter Undersøgelse Kompensation Infrastruktur Hacktivister Medieeksponering Politisk mål Hærværk 5
Eksempler
Eksempler E-mail Scam Faktura / konto ændring Falsk oprettelse af medarbejder/modtager af ydelser Virus Virus/Trojan Nedlukning af servere og alle computere Virksomheden måtte engagere it-konsulenter til at udrede sagen. Skaden er anmeldt til forsikringsselskabet. E-mail konti nedlagt E-mailsystem nedlagt - Ekstern konsulenthjælp (udgift ca. 250.000) Ransomewareangreb Afpresning via kryptering 7
CYBER hvad sker der? Overblik over en cyber-skade: Skade Respons (kort sigt) Konsekvenser (lang sigt) Opdagelse Aktuelt eller formodet brud på sikkerhedsnet, ubudne gæster i netværk, e-spionage, Ddos angreb mod hjemmeside, uberettiget offentliggørelse af persondata eller andet fortroligt materiale. Respons Der skal igangsættes/overvejes følgende: - It-konsulenter (Forensic) - Juridisk assistance - PR/mediedækning - Notifikation - Tabsbegrænsning - Genopretning/genetablering Konsekvenser Uden korrekt håndtering af en krise, er der risiko for: - Skade på renommé = mistillid fra borgere - Erstatningskrav - Sanktioner fra myndigheder - Store omkostninger til genetablering 8
Risikostyring og Forsikring
Risikostyring Kontrol Forsikring CISO Ledelsen Generel forståelse Økonomisk forståelse Risk management IT Software sikkerhed Beredskabsplan Awareness Træning Ansatte Jura & compliance Lovgivning Data 10
Risiko? Tegn et risikobillede Organisationens risici? Driftstab/omkostninger? Styring? Netværk Opbevaring af data- Hvilken data modtager/indsamler I? PR? Kontrakter? Riskmanagement? Kriseberedskab? Beredskabsplan? Backup? It-politik? Medarbejdertræning? 11
Cyber Risikospørgsmål - Personniveau 1. Har I udpeget en person med it-sikkerhed, herunder forebyggelse af it-kriminalitet, som særskilt ansvarsområde? 2. Modtager alle medarbejdere en it-politik/it-håndbog ved ansættelsens start? 3. Indeholder it-politikken retningslinjer for medarbejderes brug af sociale medier? Brug af usikre WiFi networks? 4. Har alle medarbejdere en personlig profil? 5. Er denne profil tilpasset hvilke data der bør være tilgængelige for den enkelte medarbejder? 6. Er der processer for, at sikre deaktivering af personlig profil ved ansættelsens ophør? 7. Er der fokus på medarbejdertræning i forhold til it? 8. Modtager personer med adgang til personfølsomme oplysninger særlig undervisning? 12
Cyber Risikospørgsmål - Organisationen 1. Er alle systemer centralt styret? Eller har de enkelte afdelinger eget system? 2. Inddrives der penge via onlinebetalinger? 3. Kan organisationens økonomisk blive markant påvirket af at webside, e-mailsystem, datadrev eller netværk er ude af drift i en given periode? 4. Er der overblik over konsekvenserne af et angreb? 5. Er der overblik over ansvaret for It/data i kontrakter? 6. Er PR procedurer fastlagte i forhold til cyberhændelse? 7. Jurisdiktion i forhold til data? Koordinering mellem it- og jura? 13
Cyber Risikospørgsmål Data og IT 1. Outsourcet data /opbevaring af data? 2. Fysisk data? 3. Dataklassificeret i forhold til følsomhed? 4. Konsekvens af et databrud? 5. Er der et beredskab ved cyberhændelser, der indebærer procedure for IT, Jura, Økonomi, kommunikation? 6. Er der identificeret tredjeparter til assistance i tilfælde af en skade? 7. Hvordan sikrer I, at jeres leverandører lever op til jeres sikkerhedskrav? 8. Test af backup og test af procedurer? 14
Tre hovedelementer i en cyberforsikring Service Tredjeparts dækning Erstatningskrav, Forsvarsomkostninger, Notifikationsomkostninger Første parts tab IT-konsulenter, juridisk bistand, PR, Driftstab, Data genetableringsomkostninger, Løsesum, 15
Forsikring første parts tab Omkostninger sikrede selv afholder i forbindelse med skade: 1. IT-konsulenter: Undersøgelse af sikredes systemer/netværk for, at begrænse og stoppe en cyberhændelse. 2. Juridisk bistand i forbindelse med lovmæssige pligter samt rådgivning om passende skridt ved databrud. 3. PR omkostninger: Omkostninger til at kommunikere om sagen i pressen og minimere skadens omfang. 4. Genetablering af data: Omkostninger til at genetablere og genfinde data, som mistes/krypteres under et cyberangreb eller ved en cyberhændelse. 5. Driftstab: Tab af omsætning, hvis virksomhedens drift påvirkes af cyberhændelsen. 6. Cyber afpresning: Løsesum og udgifter til professionel forhandler. 16
Forsikring tredjeparts dækning Tredjepart? Med tredjepart skal forstås en juridisk eller fysisk person, der lider et tab eller bliver påvirket af cyberhændelsen hos sikrede. Erstatningskrav, forsvarsomkostninger og notifikationsomkostninger: 1. Notifikationsomkostninger: Loven foreskriver at alle berørte datasubjekter/personer skal underrettes I tilfælde af et databrud. 2. Bøder 3. Erstatningskrav: Krav fra datasubjekter eller personer, hvis information der er blevet eller om muligt er blevet kompromitteret. 4. Forsvarsomkostninger: Advokatomkostninger i forbindelse med at forsvare en sag mod organisationen. 17
Forsikring - service Service = Beredskab 1. Advokater 2. IT 3. PR 18
Spørgsmål og kontaktdetaljer Spørgsmål Tine Olsen Practice leader FINEX, Willis specialties, Denmark +45 88139431 tio@willis.dk Se også www.cyberrisk.dk 19