20. marts 2024
Asien er hjemsted for mere end halvdelen af verdens internetbrugere. Virksomhederne udnytter asiaternes onlineaktivitet til at få fat i nye og eksisterende kunder, skabe nye produkter og gøre processerne mere effektive. Fordelene ved denne mulighed ledsages af unikke risici, som ikke dækkes af traditionelle forsikringer mod forretningsafbrydelser (BI). De kan dog håndteres med BI-dækning fra selvstændige cyberpolicer.
Når vi bevæger os fra den fysiske til den digitale verden, giver cyber BI-krav unikke udfordringer - nogle velkendte, nogle anderledes og andre dramatisk forskellige fra traditionelle BI-krav.
Den velkendte
Som med alle forsikringskrav skal der etableres en årsagssammenhæng mellem hændelsen og tabet. Dette er kendt i traditionel BI som forbeholdet for materiel skade. Cyber-BI-policer er tilsvarende, men i stedet for skade kan dækningen udløses af en faktisk eller formodet kompromittering af forsikringstagerens IT-systemer. For at tab kan dækkes, skal de være en følge af en forsikret hændelse.
De typer dækning, som både traditionelle og cyber-BI-politikker giver, er også ret ens. Dækningen kan ske på basis af bruttoomsætning eller bruttofortjeneste og på basis af øgede arbejdsomkostninger. Målet er derfor at placere forsikringstageren i en position, der ikke er præget af cyberhændelser. Disse hændelser kan enten være ondsindede (f.eks. et databrud eller malware) eller på anden vis (måske på grund af utilsigtede handlinger eller undladelser). Udfordringen ligger som altid i at isolere tabet udelukkende til det, der er forårsaget af hændelsen.
Den noget anderledes
Der er nogle subtile forskelle, når man overvejer tab under en cyberpolitik. Erstatningsperioden for en traditionel BI-politik starter typisk, når der opstår et fysisk tab. Men med cyber-BI-policer afhænger starten i høj grad af policens ordlyd; det kan være det vurderede tidspunkt for en systemkompromittering eller det tidspunkt, hvor en sikkerhedshændelse rapporteres. Dette er med forbehold for udløbet af en defineret venteperiode (dvs. tidsfradrag), som regel omkring 12 timer. Selv om det lyder som kort tid, kan det vise sig at være en dyr evighed for en onlineforhandler under et stort udsalg som Singles' Day.
Cyber-BI-politikker har generelt maksimale erstatningsperioder på omkring tre måneder, hvilket er betydeligt kortere end de 12 måneder, vi normalt ser i traditionelle BI-politikker. Det afspejler den kortere karakter af mange cyberhændelser, som kan løses hurtigere ved f.eks. at gendanne en backup. Det kan dog være en udfordring at identificere og udbedre fejlpunktet i et komplekst IT-system, selv om man har hjælp fra et dedikeret incident response-team.
De meget forskellige
Da de underliggende aktiver er af immateriel karakter, opstår der nogle store forskelle. Her er to, der er værd at overveje:
- Ransomware-angreb
Selv om det ikke er nyt, er ransomware-angreb blevet stadig mere fremtrædende og komplekse, hvilket gør det mere sandsynligt, at en virksomhed kan blive udsat for forstyrrelser. Data kan blive stjålet, eller adgangen til dem kan blive blokeret (eller en kombination heraf), og afpresseren truer med at frigive, ødelægge eller blokere adgangen til fortrolige data, medmindre der betales en løsesum. Den gennemsnitlige løsesum i 2023 blev rapporteret til at være 1,54 millioner dollars, næsten dobbelt så meget som i 2022.
I visse tilfælde kan det virke som den billigste og mest effektive løsning at betale løsepenge. Nogle forsikringer holder endda forsikringstageren skadesløs for sådanne betalinger. Den endelige beslutning om, hvorvidt der skal betales, ligger hos virksomheden - men bør de betale?
Det kan være fristende at give efter for kravene i håb om, at dataene gendannes hurtigt, men det er der ikke belæg for. Omkring en ud af fire, der betaler, får aldrig gendannet deres data, og selv hvis nogle data gendannes, tager det de fleste organisationer mere end en uge at komme sig over et ransomware-angreb. Der er heller ingen garanti for, at angrebet bliver afsluttet eller løst - en pointe, der gentages af 48-nationers Counter Ransomware Initiative, som på det kraftigste fraråder sådanne betalinger. Betalinger kan også tjene som en kilde til midler til kriminelle aktiviteter og give yderligere incitament til at begå fremtidige angreb.
Virksomheder skal beslutte, om det er i deres bedste interesse at afvise at betale løsepenge. Hvis forsikringsselskaberne støtter beslutningen om ikke at betale, vil dækningen generelt omfatte omkostninger til genopretning og eventuelle tab af indtægter som direkte følge af angrebet.
Da ransomware-angreb kan være økonomisk kostbare og forårsage betydelig nedetid, vil det være fornuftigt at forberede sig proaktivt på en sådan hændelse. Disse foranstaltninger kan omfatte:
- Sikre, at sikkerhedskopier og redundans er på plads og aktuelle
- Gennemførelse af regelmæssige IT-audits
- Krav om stærke adgangskoder og multifaktor-autentificering
- Gennemførelse af regelmæssig IT-træning og -uddannelse
- Udvikling af beredskabsplaner, der kan mobiliseres hurtigt, hvis det er nødvendigt
Sådanne planer er kun effektive, hvis de involverer hele organisationens indsats.
- Skader på omdømmet
Efter et cyberangreb kan offentlighedens opfattelse af den angrebne virksomhed blive påvirket - især når følsomme kundedata er blevet kompromitteret. Kunderne kan sætte spørgsmålstegn ved virksomhedens evne til at beskytte deres personlige oplysninger, hvilket fører til tab af tillid og loyalitet. Serviceafbrydelser kan også få brugerne til at skifte til en konkurrent, der reklamerer med sin pålidelighed.
Mange cyber-BI-politikker dækker skader på omdømmet og refunderer forsikringstagerne for økonomiske tab, der opstår direkte som følge af hændelsen. Dækning af omkostninger til reparation af omdømme kan også være tilgængelig for at hyre PR-konsulenter til at afbøde virkningerne af negativ omtale. Vanskeligheden ligger i at måle og tilskrive tabet af nuværende og potentielle kunder til hændelsen. Da mange cyberpolitikker har korte maksimale erstatningsperioder, vil den løbende skade på omdømmet ud over denne periode ikke være dækket af politikken.
Det er stadig uvist, om nyheder om cyberhændelser er blevet så almindelige, at en virksomheds omdømme rent faktisk er skadet. Folk har en tendens til at se virksomheder med en høj grad af tillid som mere modtagelige for tab af omdømme. En netbank vil f.eks. være mere udsat for tab af omdømme end en netbutik.
Som med ransomware kan en proaktiv tilgang til håndtering af skader på omdømmet være mere effektiv end en reaktiv holdning. Ud over de foranstaltninger, der er nævnt ovenfor, bør hjørnestenen være klar og effektiv kommunikation med interessenterne - nøglen til at genopbygge tilliden og forsvare omdømmet.
Konklusion
Cyber BI-erstatninger deler nogle karakteristika med deres traditionelle BI-kolleger, men den digitale verden rejser nogle unikke spørgsmål. Når en virksomhed står over for et cyber-BI-tab, er det vigtigt at engagere en betroet partner med ekspertise i nuancerne i cyber-BI-skadeerstatninger for at hjælpe dem med at afbøde de vidtrækkende konsekvenser.
> Få mere at vide - Læs om Sedgwicks retsmedicinske regnskabstjenester og kapacitet inden for forretningsafbrydelse i Asien eller send en e-mail til [email protected] for yderligere information
