Krav om cyberforretningsforstyrrelser: de unikke udfordringer i den digitale verden

Asien er hjemsted for mere end halvdelen af verdens internetbrugere. Virksomheder udnytter asiaternes onlineaktivitet til at nå ud til nye og eksisterende kunder, skabe nye produkter og gøre processer mere effektive. Fordelene ved denne mulighed ledsages af unikke risici, som ikke dækkes af traditionelle forsikringspolicer mod driftsafbrydelse (BI). De kan dog håndteres med BI-dækning fra selvstændige cyberpolicer. 

I takt med at vi bevæger os fra den fysiske til den digitale verden, medfører cyber-BI-krav unikke udfordringer – nogle velkendte, andre nye og andre igen dramatisk forskellige fra traditionelle BI-krav. 

Det velkendte

Som ved alle forsikringskrav skal der være en årsagssammenhæng mellem hændelsen og tabet. Dette kaldes i traditionel BI for "materiel skadesklausul". Cyber BI-policer er lignende, men i stedet for skader kan dækningen udløses af en faktisk eller formodet kompromittering af forsikringstagerens IT-systemer. For at tabene kan dækkes, skal de skyldes en forsikret hændelse. 

De typer dækning, som både traditionelle og cyber-BI-policer tilbyder, er også ret ens. Dækningen kan ydes på basis af bruttoomsætning eller bruttofortjeneste og på basis af øgede arbejdsomkostninger. Målet er derfor at placere forsikringstageren i en position,som hviscyberhændelsenikke havde fundet sted. Disse hændelser kan være ondsindede (f.eks. et databrud eller malware) eller af anden art (f.eks. på grund af utilsigtede handlinger eller udeladelser). Udfordringen ligger som altid i at isolere tabet, så det udelukkende omfatter det, der er forårsaget af hændelsen.

Den noget anderledes

Der er nogle subtile forskelle, når man betragter tab i henhold til en cyberforsikring. Erstatningsperioden for en traditionel BI-forsikring starter typisk, når et fysisk tab opstår. Med cyber-BI-policer afhænger starten imidlertid i høj grad af policens ordlyd; det kan være det vurderede tidspunkt for et systemkompromis eller det tidspunkt, hvor en sikkerhedshændelsesrapport udfærdiges. Dette er underlagt udløbet af en defineret ventetid (dvs. fradragsberettiget tid), normalt ca. 12 timer. Selvom dette lyder som en kort tid, kan det vise sig at være en kostbar evighed for en onlineforhandler under et stort udsalg som f.eks. Singles' Day. 

Cyber BI-policer har generelt en maksimal erstatningsperiode på cirka tre måneder, hvilket er betydeligt kortere end de 12 måneder, vi normalt ser i traditionelle BI-policer. Dette afspejler den kortere varighed af mange cyberhændelser, som kan løses hurtigere gennem for eksempel en gendannelse af backup. Det kan dog være en udfordring at identificere og afhjælpe fejlen i et komplekst IT-system, selv med hjælp fra et dedikeret incident response-team. 

De meget forskellige

Da de underliggende aktiver er immaterielle, opstår der nogle væsentlige forskelle. Her er to, der er værd at overveje: 

1. Ransomware-angreb

Selvom ransomware-angreb ikke er noget nyt, er de blevet stadig mere fremtrædende og komplekse, hvilket øger sandsynligheden for, at en virksomhed kan blive ramt af forstyrrelser. Data kan blive stjålet, eller adgangen til dem kan blive blokeret (eller en kombination af begge dele), hvor afpresseren truer med at frigive, ødelægge eller blokere adgangen til fortrolige data, medmindre der betales en løsesum. Den gennemsnitlige løsesum i 2023 blev rapporteret til at være 1,54 millioner dollars, hvilket er næsten det dobbelte af tallet for 2022.

I visse tilfælde kan det virke som den billigste og mest effektive løsning at betale løsesummen. Nogle forsikringspolicer dækker endda forsikringstageren for sådanne betalinger. Den endelige beslutning om, hvorvidt der skal betales, ligger hos virksomheden – men bør de betale?

Selvom det kan være fristende at give efter for kravene i håb om, at dataene hurtigt bliver gendannet, understøtter beviserne ikke dette. Cirka en ud af fire, der betaler, får aldrig deres data tilbage, og selvom nogle data bliver gendannet, tager det de fleste organisationer mere end en uge at komme sig efter et ransomware-angreb. Der er heller ingen garanti for, at angrebet ophører eller løses – et punkt, der gentages af Counter Ransomware Initiative, der omfatter 48 lande, og som kraftigt fraråder sådanne betalinger. Betalinger kan også tjene som en kilde til finansiering af kriminelle aktiviteter og give yderligere incitament til at begå fremtidige angreb. 

Virksomhederne skal beslutte, om det er i deres interesse at afvise at betale løsepenge. Hvis forsikringsselskaberne støtter beslutningen om ikke at betale, vil dækningen generelt omfatte genopretningsomkostninger og eventuelle indtægtstab, der direkte skyldes angrebet.

Da ransomware-angreb kan være økonomisk kostbare og forårsage betydelig nedetid, er det fornuftigt at forberede sig proaktivt på en sådan hændelse. Disse foranstaltninger kan omfatte:

• Sikre, at der er sikkerhedskopier og redundanser på plads, og at disse er opdaterede
• Gennemførelse af regelmæssige IT-revisioner
• Krav om stærke adgangskoder og multifaktor-godkendelse
• Gennemførelse af regelmæssig IT-uddannelse og -undervisning
• Udvikling af beredskabsplaner, der hurtigt kan iværksættes, hvis det bliver nødvendigt 

Sådanne planer er kun effektive, hvis de involverer hele organisationens indsats.

• Omdømmeskade

Efter et cyberangreb kan offentlighedens opfattelse af det angrebne firma blive påvirket – især når følsomme kundedata er kompromitteret. Kunderne kan sætte spørgsmålstegn ved firmaets evne til at beskytte deres personlige oplysninger, hvilket kan føre til tab af tillid og loyalitet. Serviceudfald kan også få brugerne til at skifte til en konkurrent, der fremhæver sin pålidelighed.

Mange cyber-BI-policer dækker skader på omdømmet og refunderer forsikringstagere for økonomiske tab, der direkte skyldes hændelsen. Der kan også være dækning for omkostninger til genopretning af omdømmet, så man kan hyre PR-konsulenter til at afbøde virkningerne af negativ omtale. Vanskeligheden ligger i at måle og tilskrive tabet af nuværende og potentielle kunder til hændelsen. Da mange cyber-policer har korte maksimale erstatningsperioder, vil den fortsatte skade på omdømmet ud over denne periode ikke være dækket af policen. 

Det er stadig uklart, om nyheder om cyberhændelser er blevet så almindelige, at en virksomheds omdømme faktisk bliver skadet. Folk har en tendens til at betragte virksomheder, der nyder stor tillid, som mere sårbare over for omdømmetab. En onlinebank vil for eksempel være mere udsat for omdømmetab end en onlineforhandler. 

Som med ransomware kan en proaktiv tilgang til håndtering af omdømmeskader være mere effektiv og effektiv end en reaktiv holdning. Ud over de ovennævnte foranstaltninger bør hjørnestenen være klar og effektiv kommunikation med interessenterne — nøglen til at genopbygge tilliden og forsvare omdømmet. 

Konklusion

Cyber BI-krav har nogle fælles træk med traditionelle BI-krav, men den digitale verden rejser nogle unikke spørgsmål. Når en virksomhed står over for et cyber BI-tab, er det afgørende at engagere en betroet partner med ekspertise i nuancerne ved cyber BI-krav for at hjælpe dem med at afbøde de vidtrækkende konsekvenser.

> Læs mere — læs om Sedgwicks forensiske regnskabstjenester og forretningsafbrydelsesydelser i Asien, eller send en e-mail til [email protected] for yderligere information.