Dette vil bli en selvfølge for norske bedrifter

Et hackerangrep kan koste så dyrt at det betyr kroken på døra. Men nå går det an å forsikre seg.
Jurist og produktekspert Margareth Nilsen i If forteller om fordelene med Datakriminalitetsforsikring.

I dag blir flere ofre for cyberkriminalitet enn for konvensjonell kriminalitet. Og det globale markedet for kjøp og salg av datakriminalitet er trolig større enn narkotikamarkedet, fastslår Lysne-utvalget i den offentlige utredningen om digital sikkerhet som ble lagt frem 30. november. Næringslivets Sikkerhetsråd anslår i Mørketallsundersøkelsen at halvparten av større norske bedrifter er utsatt for datainnbrudd.

Les også: Hacking har blitt big business

Norge er et av verdens mest digitaliserte land. Dette har gjort oss mer moderne og effektive, men også sårbare. Center for Strategic and International Studies (CSIS) har estimert at datakriminalitet koster Norge cirka 20 milliarder kroner hvert år, ved at den ødelegger handel, konkurranseevne og innovasjon.

I USA er hele 31 prosent av bedriftene forsikret mot hacking, virus og annen datakriminalitet, og enkelte kunder har krav om at leverandører må ha slik forsikring for at de skal bruke dem. Likevel er denne typen forsikring noe helt nytt på det norske markedet.

Kan forsikre deg

– Vi tror at denne forsikringstypen vil bli en selvfølge også for norske bedrifter, sier jurist og produktekspert Margareth Nilsen i If Skadeforsikring, som i vår ble det første norske forsikringsselskapet til å lansere en forsikring mot datakriminalitet.

Forsikringen dekker både kostnadene ved å stoppe angrepet, reparere systemene og bedriftens tapte inntekter.

– Konsekvensene blir fort store og veldig dyre. I gjennomsnitt tar det en uke å få opp serveren igjen etter et angrep. Da kan du selv tenke deg hvor mye dette koster i form av tapte inntekter og direkte utgifter. Du har de samme lønnskostnadene, men det er lite de ansatte får gjort når de ikke har tilgang til systemene. All kundehistorikk, ordrebaser, arbeidsdokumenter, alt, er forsvunnet, illustrerer hun.

I tillegg kommer tiden du må bruke på dette og naturligvis regningen fra IT-konsulentene som er leid inn for å rydde opp.

En som har fått oppleve hvor hardt det kan ramme, er kundeansvarlig på Selje Hotel, Jan Sindre Hamre. I sommer overtok hackere bookingsystemet til det idylliske vestlandshotellet med krav om løsepenger – rett før fellesferie og høysesong. Dermed kunne de ikke ta imot noen nye rombestillinger, de visste jo ikke om hotellet allerede var fullt!

– Jeg vil ikke spekulere i hva angrepet kostet oss. Jeg blir bare deprimert av det, sier Hamre.

– Når du ser på markedsprisene for IT-tjenestene og nytt utstyr – en ny server ligger på 30.000–40.000 alene – i tillegg til tapt salg, kan folk selv tenke seg at dette er en grusom situasjon å komme opp i, sier han.

Hamre bedyrer at det tradisjonsrike hotellet vil klare seg til tross for tapet. Men han er klar på at det ikke er noen selvfølge for alle norske virksomheter.

– Vi står han av. Men for små bedrifter med dårligere likviditet, vil et slikt angrep bety kroken på døra, sier han.

Les også: Hackere tok over vestlandshotellet

Mindre bedrifter er spesielt utsatt

Prisen varierer ut fra virksomhet, men for de aller fleste mindre bedrifter, vil Ifs datakriminalitetsforsikring kun koste noen få tusenlapper i året.

Det mener Margareth Nilsen er en lav pris å betale. For ikke bare kan et dataangrep bety store økonomiske problemer og i verste fall konkurs. Det er også noe som rammer mange.

Halvparten av større norske bedrifter har vært utsatt for datainnbrudd i en eller annen form. Og mindre virksomheter lever på ingen måte tryggere. IT-sikkerhetstjenesten Mnemonics forventer faktisk økt angrepsaktivitet nettopp mot mindre selskaper fordi de normalt er lettere å angripe.

Det er nemlig ikke bare patenter og store oljeprosjekter som er interessante for kriminelle. «Små» ting kan være like gode mål for hackere som krever løsepenger. For hva gjør du hvis du plutselig ikke får tilgang til kundelistene eller oversikten over ting du skal ringe og følge opp?

Dekker tap

Forsikringen trer i kraft hvis bedriften blir rammet av hacking/datainnbrudd, DDoS-angrep, ondsinnet kode og virus. I så fall vil forsikringsselskapet dekke:

  • IT-konsulentene som løser problemet
  • Kostnader ved tap av data
  • Rekonstruksjon og gjenoppretting
  • Overvåking av datatransaksjoner i 30 dager etter at situasjonen er løst
  • Konsulentkostnader for å avdekke og begrense det økonomiske tapet
  • Avbruddstapet og inntektstap
  • Kostnadene ved å informere bedriftens kunder
  • Eventuelle erstatningskrav fra bedriftens egne kunder om de har blitt berørt

24 timers service

I tillegg får kundene en døgnåpen servicetjeneste fra IBM Norge, som de kan ringe med en gang de opplever noe mistenkelig i datasystemene. Da vil IBMs eksperter med én gang undersøke om bedriften har vært utsatt for dataangrep og sette i verk mottiltak.

Les også: Dette er tegnene på at du har blitt hacket

Ifølge Nilsen er nettopp denne tjenesten grunnen til at forsikringsselskapet tror at også de vil tjene penger på forsikringen – tross det store omfanget og høye alvorlighetsgraden av dataangrep.

– I de fleste situasjoner vil IBMs eksperter kunne løse situasjonen før skadene blir virkelig store. Men hvis det likevel kommer så langt, dekker vi det – uavhengig av om det er kunden selv som er angrepet eller kundens eksterne leverandører som for eksempel en skytjeneste eller e-posttjeneste, sier Nilsen.

Mer informasjon om forsikring mot datakriminalitet