Forsikring mot digitale angrep

Østre Toten kommune og Stortinget har vist oss at hackerangrep kan ramme alle. Det at truslene er i stadig endring gjør det vanskelig å beskytte seg helt – men nå kan bedrifter kjøpe forsikring mot konsekvensene av slike angrep.

Del
«ALL HACKED» I DENNE SAL? Stortingspresident Tone Wilhelmsen Trøen syntes ikke det var noe hyggelig å få ubudne gjester inn i Stortingets kritiske systemer. Nå kan du kjøpe forsikringer som dekker tap om tilsvarende angrep skulle treffe din virksomhet. (Foto: Peter Mydske/Stortinget)

10. mars kalte Stortinget inn til pressekonferanse: Landets lovgivende forsamling var rammet av et omfattende, målrettet og aggressivt hackerangrep – mindre enn et halvt år etter forrige gang. Denne gang hadde uvedkommende kunnet stikke av med informasjon fra noen av våre folkevalgte representanter, men omfanget var vanskelig å fastslå.

Cyberangrep skjer veldig mye oftere enn mange tror, for det er jo stort sett bare de aller største og mest synlige som kommer i avisen

Erlend Hjelle, Gjensidige Forsikring

Midt mellom de to angrepene på Stortinget, i januar måned, ble Østre Toten kommune rammet av hackere gjennom et såkalt løsepengevirus. Noen av kommunens mest kritiske systemer ble stengt ned av usynlige og uangripelige kjeltringer, som forlangte løsepenger i kryptovaluta for å låse dem opp igjen. Men de som betaler etter slike angrep er dessverre ikke garantert å gjenvinne herredømmet over systemene sine, og kommunen nektet derfor å betale.

Ordføreren i Østre Toten måtte pent instruere de ansatte om å hente frem penn og papir og tørke støv av eventuelle faksmaskiner som ennå måtte finnes i kott og skap. På Stortinget kommer spesialister til å ha hendene fulle i månedsvis med å undersøke hva hackerne fikk med seg, og om ekspertene snart har klart å luke dem ut av alle systemer.

Instruks for datasikkerhet

– Dette er bare to saker som veldig tydelig viser hvor aktuell denne utfordringen egentlig er, og hvor omfattende konsekvenser slike angrep kan få. Det kan være verdt å understreke at såkalte cyberangrep skjer veldig mye oftere enn mange tror, for det er jo stort sett bare de aller største og mest synlige som kommer i avisen, sier Erlend Hjelle.

Hjelle er spesialist på Cyberforsikringer i Gjensidige, Regnskap Norges nye samarbeidspartner på forsikringssiden. Hjelle forteller at selv om dette seneste innbruddet på Stortinget skjedde gjennom at hackere utnyttet et helt nytt og uoppdaget sikkerhetshull i Microsoft Explorer, skjer det dessverre vel så ofte at det er mennesker som «slipper inn» kjeltringene – vanligvis uten å vite om det.

– Mennesker er ofte, bevisst eller ubevisst, delaktig i det som skjer. Vi lar oss lure, og ofte er det svært vanskelig å vite at vi blir lurt. Derfor er det å etablere en bevissthet rundt IT- og datasikkerhet hos de ansatte noe av det aller viktigste man som leder eller bedriftseier kan gjøre. Alle virksomheter bør utarbeide en instruks for datasikkerhet, og de må sørge for at de ansatte kjenner til den, sier han.

Bred dekning fordi mye kan skje

Cyberforsikring er et relativt nytt produkt. Hacking og datakriminalitet har foregått siden de første telegrafsystemene ble oppfunnet, men de siste tiårenes digitalisering av så godt som alle deler av privatlivet, næringslivet og samfunnet har gjort konsekvensene av slike angrep mye større enn tidligere. Nå kan et dataangrep i verste fall bety kroken på døra for en virksomhet, og da er det fornuftig å vurdere forsikring som et verktøy for å redusere denne risikoen, forteller Hjelle.

– Forsikringen har bred dekning for å fange opp de ulike måtene man kan rammes på. Den dekker blant annet arbeidet med å finne ut hva som har skjedd, og kostnadene forbundet med å rekonstruere systemene etter et angrep. Men det som ofte er viktigst, er at den dekker tapet virksomheten får i den perioden hvor man er rammet av angrepet. Gjensidiges forsikring gir blant annet teknisk bistand, dekning for rekonstruering av data og programvare, og kompensasjon for driftstap. Den dekker også bedriftens direkte økonomiske tap for kriminalitet som oppstår som en følge av datainnbruddet, samt rettslig erstatningsansvar overfor tredjepart.

– Utover dette kan bedriften også få veiledning og juridisk assistanse i forbindelse med ID-tyveri. Dersom person­opplysninger som sikrede er behandlingsansvarlig for kommer på avveie, dekkes veiledning og bistand til å varsle både Datatilsynet og de som eier personopplysningene, legger Hjelle til.

Mer informasjon på gjensidige.no/cyberforsikring

Nysgjerrig på Hacking og IT-sikkerhet? Da kan du kanskje ha utbytte av å høre Regnskap Norge-podden med Nicolai Grødum, som er etisk hacker og leder av Red Team i PwC.