Foredrag holdt for SIkkerhetssymposiet i Bergen 19. oktober 2016. Cyberforsikring er stadig mer populært og forsikringsselskapene har kommet inn som en ny aktør i hendelseshåndteringen ved et cyberangrep. Det kan imidlertid være krevende for en virksomhet å vurdere cyberforsikring opp mot andre risikoreduserende tiltak: Hva dekker egentlig cyberforsikringen? Når bør man velge å forsikre? Hvilke erfaringer har cyberforsikrings-tilbydere og kunder gjort seg?

1. CYBERFORSIKRING
Når lønner det seg?
Marie Moe, Forsker ved SINTEF IKT
@MarieGMoe @SINTEF_Infosec

2. Skandinavias største uavhengige
forskningsorganisasjon
70
Nasjonaliteter
3800
Kunder
2000
Ansatte
3,2 MRD NOK
Omsetning
500 MILL NOK
Internasjonalt salg

3. 3
http://e24.no/digital/forsikringer/sikkerhetsekspert-norske-bedrifter-ligger-langt-bakpaa/23768067

4. HVORFOR INVESTERER IKKE NORSKE
BEDRIFTER I CYBERFORSIKRING
SOM RISIKOREDUSERENDE TILTAK?
4

5. • InSecurance er et uavhengig forskningsprosjekt om cyberforsikring
finansiert av SINTEF
• Vi har intervjuet forsikringstilbydere, forsikringsmeglere og kunder
som har kjøpt eller vurderer å kjøpe cyberforsikring
• Mer om prosjektet: www.sintef.no/insecurance
5
$In ecurance

6. Hvordan kan cyberforsikring inngå i
risikobehandling?
Akseptere Redusere
Overføre Unngå
6

7. Risikobehandling
• Hva er våre aktiva?
• Hva er de uønskede hendelsene,
årsakene?
• Hvor ofte oppstår hendelsene,
hva er konsekvensen?
• Hva kan vi akseptere?
• Hva er tiltakene?

8. Cyberforsikring som risikobehandling
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
Trusselbilde Håndtering
Gjenværende risiko
Forsikret
Tiltak
Identifisert

9. Kost-nytte analyse: Risiko som forventet årlig tap
9
Consequence / SLE
Likelihood / ARO
R
ALE
Acceptance
R
• SLE: Single loss expectency – Størrelsen på skaden til en uønsket hendelse
• ARO: Annual rate of occurrence – Årlig frekvens av uønsket hendelse
• ALE: Annualized loss expectency – Årlig tap gitt ved SLE x ARO

10. Hva kan vi akseptere?
10
Consequence / SLE
Likelihood / ARO
R
Unauthorized data modification [5:1y, Medium]

11. Kost-nytte analyse av tiltak
11
Consequence / SLE
Likelihood / ARO
R
Treatment effectT2

12. Kost-nytte analyse av tiltak
12
Consequence / SLE
Likelihood / ARO
R
Treatment
cost
T2
Treatment effect

13. Kost-nytte analyse av tiltak
13
T1
T2
Consequence / SLE
Likelihood / ARO
R
ALE
Acceptance
R T1 T2
Treatment
Risk

14. Når bør cyberrisiko forsikres?
• Cyberforsikring kan inngå som et av flere risikobehandlingstiltak
• Cyberforsikring reduserer risikokonsekvens, men ikke hyppighet
• I kost-nytte analysen er det lett å estimere kost av cyberforsikring,
men vanskelig å estimere nytten
14

15. Kost-nytte analyse av tiltak og cyberforsikring
15
T1
T2
T3
Consequence / SLE
Likelihood / ARO
R
Treatment effect
Treatment cost
ALE
Acceptance
R T1 T2 T3
Insurance
Treatment
Risk

16. Utfordringer med cyberforsikring
• Umodent marked
• Kundene er usikre på hva produktene dekker
• Vurdering av kost-nytte
• Tilgang til data om hendelser og hvordan forhindre de
• Stadig endring i trusselbilde og teknologi
16

17. • Manglende data og erfaring
med cyberrisiko
• Problemer med å definere krav
til kunder
• Manglende forståelse av egen
cyberrisiko
• Ikke gode nok på å
dokumentere og måle effekt
av tiltak
17
Forholdet mellom forsikringsbransjen og bedrifter

18. 👎 Usikkerhetsmomenter
• Ser ikke behovet
• For lav dekning
• Produktet man trenger finnes
ikke
• Vanskelig å forstå produktet
👍 Ønsker
• Dekning for langsiktige
konsekvenser
• Skreddersydd produkt
• Cyber inn som del av
eksisterende dekning
18
Hva sier kundene?

19. Hvordan tenker forsikringsselskapene?
Key risk
factors
Constraints
Making
compro-
mises
• Key information to collect
• Key measures to monitor
• Accumulated risk
• Catastrophic event risk
• Efficient processes vs trust in data
• 3rd parties vs in-house capacity
• Baseline requirements vs sales
• In-house competence
• Available data
• Building customer base

20. http://www.imia.com/wp-content/uploads/2016/09/IMIA-Working-Group-Paper-9816-Cyber-Risks-Rev-A002-16-09-20161.pdf

21. Noen gode nyheter
• Forsikringen kan bli billigere avhengig av implementerte tiltak
• Forsikringsselskapene kan være med på å flytte minimumsstandarden oppover!
• Ved å fylle ut egenerklæringsskjema/bli intervjuet om sin cyberrisikohåndtering
vil også bevisstheten øke
• Mange bedrifter har allerede dekning for cyberhendelser over sin
“vanlige” forsikring uten at man er klar over det!
21

22. http://www.insurancejournal.com/news/national/2016/04/12/404881.htm

23. 23
http://www.bbc.com/news/technology-30575104

24. Cybersikkerhet som et økonomisk
problem
• Sikkerhet er et ”felles gode”, manglende insentiv for investering
• Vanskelig å vurdere kvalitet på cybersikkerhets-produkter (”market
for lemons”)
• De som rammes av konsekvenser er ofte ikke de som samme som
betaler for sikkerheten
24

25. Hva blir effekten av nye EU-direktiv?
• NIS-direktivet pålegger rapportering
• Personvernforordningen åpner for store bøter, hele 4% av global
omsetning!
• Rettferdiggjør at man heller bør bruke 4% på cyberrisikoreduserende tiltak?
25

26. Spørsmål?
26

27. • Meland, Per Hakon, Inger Anne Tondel, og Bjornar Solhaug. "Mitigating Risk with Cyberinsurance." IEEE Security &
Privacy 6 (2015): 38-43.
• Tøndel, Inger Anne, et al. "Using Cyber-Insurance as a Risk Management Strategy: Knowledge Gaps and
Recommendations for Further Research." (2015). SINTEF A27298.
• Tøndel, Inger Anne, et al. "Differentiating cyber risk of insurance customers: the insurance company perspective,”
CD-ARES 2016.
27
Publikasjoner

28. Takk for oppmerksomheten!
marie.moe @ sintef.no
www.infosec.sintef.no
www.sintef.no/insecurance
@MarieGMoe @SINTEF_Infosec

29. Teknologi for et bedre samfunn