Implementering af cyberforsikringen er lige så vigtig som købet

tirsdag d. 19. marts, 2019

En virksomhed opnår først den fulde værdi af sin cyberforsikring, når det medfølgende beredskab bliver indarbejdet i organisationens procedurer og i nøglemedarbejdernes bevidsthed – alligevel sker det ikke altid.

Af Kristine Seest

Truslen fra cyberkriminalitet er i følge Center for Cybersikkerhed meget høj. Det skaber behov for, at it-sikkerhed bliver behandlet som et indsatsområde, der kræver mere end at tegne en cyberforsikring og investere i it-sikkerhedsudstyr. For mens det er forholdsvis enkelt at investere i en cyberforsikring, er det langt vanskeligere at sørge for, at forsikringen bliver brugt rigtigt. Det kræver, at forsikringen og det medfølgende beredskab bliver introduceret til nøglemedarbejdere i virksomhedens it-afdeling, juridiske afdeling og kommunikations- og marketingafdeling og indarbejdet i de procedurer, de forventes at følge i en krisesituation, hvor virksomhedens it-sikkerhed bliver truet eller angrebet.

»En bevidst og korrekt brug af virksomhedens aftaler kan være vigtigere for en virksomheds it-sikkerhed end investering i nye it-værktøjer. Mange virksomheder har som en del af deres cyberforsikring adgang til et hold af eksperter, der kan bistå virksomheden i tilfælde af it-nedbrud. Problemet er bare, at de relevante medarbejdere i virksomheden ikke er klar over den mulighed – at de ganske enkelt ikke er bevidste om, at de kan aktivere beredskabet, når de har behov for det. Det betyder, at virksomheden kan gå glip af værdifuld rådgivning fra et hold af erfarne eksperter i en krisesituation – og at omfanget af skaderne i værste fald kan blive større end nødvendigt,« siger specialist i cyberforsikring Esben Bundsgaard Pedersen fra Willis Towers Watson.

Det er ofte tidskrævende at fastlægge procedurer, identificere nøglemedarbejdere, udarbejde beredskabsplaner og teste planerne – og det kan være forklaringen på, at det ifølge Esben Bundsgaard Pedersen ofte bliver nedprioriteret. Men det er det forkerte sted at spare, for det er først, når nøglemedarbejderne kender beredskabet og de rådgivnings- og handlemuligheder, der følger med forsikringsaftalen, at virksomheden får det fulde udbytte af den.

Det handler om mennesker
Medarbejdernes adfærd har generelt en afgørende betydning for en virksomheds it-sikkerhed, og der skal ikke mere end en lille menneskelig fejl eller mangelfuld procedure til at gøre stor skade på it-sikkerheden – og dermed på virksomhedens omdømme og bundlinje. 

I 2017 blev den amerikanske virksomhed Equifax ramt af et cyberangreb, der stod på over flere måneder. Angrebet resulterede blandt andet i, at der blev lækket personfølsomme oplysninger om mere end 145 millioner personer. I august 2018 offentliggjorde The U.S. Government Accountability Office (GAO) deres rapport om hændelsesforløbet. I rapporten blev det konkluderet, at manglende fornyelse af en licens til det it-sikkerhedsværktøj, som Equifax havde købt til at overvåge skadelig trafik på virksomhedens netværk, resulterede i, at it-kriminelle kunne bryde ind i Equifax’s systemer, uden det blev opdaget. En menneskelig fejl internt i virksomheden, var altså en vigtig årsag til, at angrebet medførte så omfangsrige tab.

»Eksemplet med Equifax giver vigtig læring. Jeg vil tro, at det også kan ske i andre virksomheder, at en licens ved en fejl ikke bliver fornyet, og at et – ellers veletableret – alarmberedskab derfor ikke bliver aktiveret. En licensfornyelse er i virkeligheden en simpel operationel handling, men hvis der ikke bliver stillet spørgsmålstegn ved, hvad der sker, hvis handlingen ikke foretages, så er der sikkert heller ikke udarbejdet en procedure for at undgå det,« siger Esben Bundsgaard Pedersen. 

Willis Towers Watson hjælper virksomheder med at identificere deres risici på cyberområdet og med at implementere cyberpolicen i organisationen, så virksomhedens medarbejdere ved, hvordan de skal bruge forsikringen og det tilhørende beredskab i tilfælde af et it-sikkerhedsbrud.

kristine.seest@willistowerswatson.com