Cybersecurity-försäkring – Vad är det & Varför behöver jag den?

Cyberbrott kostar globala företag 450 miljarder dollar per år, enligt en ny studie från Hiscox Insurance baserad på data från 2016. Men många företag har ännu inte insett hur allvarligt detta hot är.

I den här cybersecurity-försäkringsguiden kommer jag att diskutera vad det är, varför du behöver det och andra användbara tips du kan använda för att skydda dig själv och ditt företag.

Vad är cybersecurity?

Cybersäkerhet är skydd mot brottslig eller obehörig användning av data och de åtgärder som vidtagits för att uppnå detta.

Dessutom omfattar cybersäkerhet tekniker mot säkerheten i hela datornätverket; det är programvara och data från ovannämnda skada och obehörig åtkomst.

Kostnaden för cyberbrott

Som nämnts kostar internetbrott globala företag 450 miljarder dollar per år. Denna siffra är så betydelsefull att den kan känna sig bortom de flesta förståelse. För att göra omfanget av problemet mer relatabelt är det kanske lättare att överväga effekterna av bara ett av många nyligen högprofilerade cyberattacker - den som drabbade kreditreferensbyrån Equifax i USA.

Detta säkerhetsöverträdelse resulterade i att 143 miljoner amerikaner fick sina personliga detaljer exponerade för hackare. Personlig information som inkluderade deras födelsedatum, hemadresser och personnummer. Över 200 000 konsumenter som drabbades av överträdelsen fick också deras kreditkortsnummer exponeras.

Antalet amerikanska medborgare som drabbats av detta intrång enbart kom mycket nära hälften av befolkningen i Amerika. Dessutom var det inte den första sådan storskaliga cyberattacken och det är extremt osannolikt att det skulle bli det sista.

Det känns ibland som att människor blir desensibiliserade för sådana IT-säkerhetshändelser. Presstäckning efter Equifax-attacken antydde att trots oro över inverkan av cyberattacken, gjorde färre än en av fem personer faktiskt något för att öka säkerheten för deras personliga information. Vi kan dock vara säkra på att så snart individer som drabbats befinner sig ett offer för identitetsstöld eller ekonomisk förlust som ett resultat, de omedelbart kommer att leta efter en möjlighet.

Detta är anledningen till att en cyberförsäkringsförsäkring växer i popularitet bland företag i alla storlekar i en värld där cyberbrott växer (låt oss återigen komma ihåg att 450 miljarder dollar). Helt riktigt är de ute efter att skydda sig mot ekonomiska förluster och juridiska problem om och när de blir nästa Equifax.

Tillväxten av cybersecurity-försäkring

Cybersecurity-försäkring är en försäkringsprodukt som historiskt har varit långsam att komma från startblocken, främst på grund av svårigheten att eliminera relaterade risker och den ständigt utvecklande karaktären av hot mot företagets IT-system. Wikipedia-posten för cyberförsäkring avser marknaden för sådan försäkring som växer mycket långsammare än väntat för ett decennium sedan.

Premieintäkterna hoppade 35% mellan 2015 och 2016

Trots detta visar rapporter att över 130 försäkringsbolag har lagt till cyberförsäkringar i sina produktutbud förra året. Det är alltmer en typ av täckning som företag i alla storlekar måste tänka på, för att skydda dem om och när de, trots deras bästa ansträngningar, är nästa offer för världens växande armé av hackare och cyberbrottslingar.

Du undrar kanske just nu om Equifax hade cybersäkerhetsförsäkring. Strax efter överträdelsen uppgav en företrädare för företaget att "Equifax bär cybersäkerhet, brott, allmän ansvarsförsäkring och andra försäkringar." Pressmeddelanden spekulerar dock att företagets täckning, som skyddar dem för skador upp till 100-150 miljoner dollar, kommer att bevisa olyckligtvis otillräckliga för att skydda dem från den fulla ekonomiska effekten av deras IT-säkerhetsbrott. Stämningsansökningarna kommer troligen att fortsätta rulla in under kommande år.

Behöver jag cybersecurity-försäkring?

Svaret "TL; DR" på huruvida du behöver cybersecurity-försäkring är förmodligen ett rungande "ja" om du driver någon form av anslutna företag och vill sova mer sundt på natten.

Storbritanniens försäkringsbolag, Hiscox, ger en lista över skäl till varför ett företag kanske vill ha cybersecurity-försäkring, och de inkluderar att vara "beroende av datorsystem för att bedriva ditt företag" och "ha en webbplats." I denna dag och ålder, som inte lämnar plats för många undantag!

Även om det är de storskaliga cyberbrottshändelserna som Equifax-hacket som slår på rubrikerna och liknande händelser hos Yahoo! och Storbritanniens National Health Service, det är definitivt inte bara stora organisationer som möter attacker från hackare och måste hantera efterdyningarna. Detta är en eftersläpning som ofta kan omfatta ekonomisk påverkan, renomméskador och en sanering som är väldigt störande för det dagliga företaget.

Tänk på detta: 60% av alla småföretag hackas varje år. Inte bara det, dessa småföretag tenderar inte att ha de resurser som deras större motsvarigheter måste hjälpa dem att återhämta sig från en cyberbrottshändelse. Dessa resurser kan inkludera allt från ett välbemannat IT-team för att kartlägga skadan, till nödvändig finansiell buffert för att komma igenom krisen. Så man kan hävda att mindre företag behöver Cybersecurity-försäkring lika mycket, om inte mer, än större företag.

Även om de kanske inte träffar nationella tidningars framsidor, finns det ingen brist på onlineexempel på var småföretag lyckats riktas av cyberbrottslingar. Dessa inkluderar incidenter där små och medelstora företag har hittat sina bankkonton tömda för summor som sträcker sig från cirka 20 000 dollar till över 1 miljon dollar. Beroende på företagets storlek kan någon av summorna räcka för att göra företaget konkurs.

En ofta nämnd cyberbrottsstatistik är att 60% av de små företag som är offer för en cyberattack aldrig återhämtar sig från den och är i drift inom sex månader. Även om graden av attackens svårighetsgrad naturligtvis varierar, är det rättvist att säga att företag i alla storlekar bör ta cyberhot på allvar och teckna försäkringar för att skydda sig själva.

Kvalificerar mitt företag?

En snabb Google-sökning efter cyberförsäkring ger många alternativ, inklusive många riktade till småföretag. I många fall är dessa försäkringar billiga och räcker inte ens med en tresiffrig summa för varje månatlig premiebetalning. Man måste undra exakt vilken täckningsnivå detta verkligen kommer att få, så att det är uppenbart att läsa det med små bokstäverna.

Som med många typer av försäkringar är det vettigt att prata med en mäklare som verkligen förstår ditt företag. Medan typen av "en storlek passar alla" -policyer med låga premier som visas på en typisk Google-sökning kan tillåta dig att kryssa i en ruta som säger att du har Cybersecurity-försäkring, men att ha det fulla förtroendet för att det faktiskt kommer att skydda ditt företag är en annan sak helt.

Om du tänker på detta blir det snabbt klart varför det är viktigt att välja en tillräckligt garanterad försäkring om du bestämmer dig för att teckna cyberförsäkring. Om du hittar en onlineleverantör som gärna erbjuder samma generiska cyberförsäkringspolicy till företag med oerhört olika affärsmodeller, är chansen stor att du inte tittar på en bra policy. Ett företag med en dator som inte lagrar mycket för personuppgifter är uppenbarligen mycket mindre risk än ett som säljer online och behandlar och lagrar kreditkortsuppgifter. Effekterna av en attack skulle också vara väldigt annorlunda.

Så det är kanske mindre en fråga om ditt företag kvalificerar sig för cyberförsäkring, och mer en att hitta en försäkring som verkligen är värd det papper det står på. Du kommer inte att ha några problem med att hitta ett företag som säljer din cyberförsäkring, men du kan ha svårare att hitta ett som på ett tillförlitligt sätt betalar ut i händelse av fordran. Naturligtvis gäller detta alla typer av försäkringar

Se till att din policy är giltig

Som med alla försäkringar förväntas du vanligtvis följa en rad villkor för att säkerställa att din försäkring förblir giltig.

En lämplig (om något ovanlig) analogi här gäller försäkring för cyklar. Politik som skyddar mot stöld av cyklar är lätta att få, men deras små bokstav visar ofta en mängd skyldigheter som försäkringstagaren måste uppfylla för att skyddas. Detta inkluderar vanligtvis användning av ett industristandard cykellås och att se till att cykeln är ansluten till ett orörligt föremål, även när det är lagrat hemma.

Det är ofta fallet med försäkring som att uppfylla skyldigheterna i en försäkring visar sig vara så kostsamt och tidskrävande som att köpa själva försäkringen, och det är inte annorlunda med Cybersecurity-försäkring. En ny studie om marknaden för cybersäkerhetsförsäkring i Sverige visade att många försäkringsbolag ”ställer information och IT-säkerhetskrav på sina kunder.”

Det är därför meningslöst att köpa försäkringen och inte läsa det med små bokstäverna - vilket gäller för alla slags försäkringar. Om du inte uppfyller dina skyldigheter kan försäkringen hamna ogiltig.

När är Cybersecurity-försäkring värt?

Som med alla affärsförsäkringar är en förnuftig allmän regel att följa att om cybersäkerhetsförsäkring är överkomligt och skyddar mot betydande ekonomisk risk, är det värt att ha.

Det är dock rimligt att nämna att vissa företag troligen behöver det mer än andra. Om du lagrar och bearbetar kunders ekonomiska detaljer är det utan tvekan mycket dumt att inte försäkra sig mot cyberisker. Företag med bara en liten online-närvaro och ingen ekonomisk exponering kanske vill ta en mer avslappnad strategi. Men även det minsta av företagets bankkonton kan bli målet för en hacker. Dessutom bör premier för företag med mindre upplevd risk, åtminstone i teorin, vara betydligt mindre.

Det finns också en potentiell politisk aspekt att överväga. Om ditt företag rör sig i den typ av kretsar som hackare och cyberbrottslingar inte tycker om - till exempel allt som anses vara för nära "anläggningen", eller något som kan hänföras till att begränsa friheten, kan hackare göra en specifik linje för dig - så det här är något att alltid ha i åtanke.

En intressant statistik på senare tid att höja vid denna tidpunkt är att endast 10% av brittiska små och medelstora företag har ordnat cyberförsäkring i skrivande stund. Tillväxtprognoser för denna bransch antyder dock att tidvattnet vänder och att fler människor blir medvetna om behovet av den.

Omslaget som ingår i en typisk internetförsäkring kan ofta låta väldigt imponerande. Det innehåller vanligtvis saker som:

  • Betalning av lösenpengar i händelse av en ransomware-attack.
  • Täckning för affärsavbrott.
  • Täckning för juridiska kostnader kring eventuella överträdelser.
  • Förlust av inkomstskydd medan ditt företag reparerar skadan.
  • Täckning för böter som åläggs av tillsynsmyndigheter för överträdelser av uppgifter.
  • Kostnader för kriminalteknisk analys.
  • Kreditövervakningskostnader. (Equifax finansierade gratis kreditövervakning för alla berörda kunder efter deras överträdelse 2017).

Men imponerande men allt detta låter, men cyberförsäkringens karaktär innebär att detta inte bara träder i kraft automatiskt så snart någon form av överträdelse inträffar. I händelse av en skadesituation kommer ditt försäkringsbolag vanligtvis att arbeta med dig för att utvärdera skadan och hjälpa till att "hantera krisen."

Vanligtvis har policyer också överskottsbetalningar på plats. Så till exempel kan det potentiellt visa sig vara mer kostnadseffektivt att betala en ransomware-efterfrågan på $ 350 än överskottet på 2000 dollar för en fordran. Så det är väl värt att komma ihåg att cyberförsäkring verkligen är där för att skydda dig om något går hemskt fel, trots att du har tagit rätt försiktighetsåtgärder och gjort allt rätt. Det är inte där för att rädda dig från varje liten IT-säkerhetsrelaterad incident. Men det betyder inte att det inte är något som är värt att ha på plats.

Om du driver ett företag måste du göra dina egna kostnader jämfört med fördelanalys på detta och läsa alla små bokstäver för alla policyer du frestas av.

Kontrollera din befintliga försäkring

Innan du gör en regelbunden kostnad för en annan försäkring är det väl värt att titta på vilka försäkringar du redan har på plats.

Många småföretag köper ”allt i ett” affärsförsäkringspaket, som ofta täcker olika skulder och skadestånd. Ibland kan dessa inkludera IT-relaterade försäkringar, till exempel försäkring för att återhämta sig från virusattacker.

Det är osannolikt att en sådan "förpackad" försäkring skulle innehålla full cyberförsäkring, men det är fortfarande värt att kontrollera vad du redan är täckt för. Du kan besluta att du redan har tillräcklig täckning för din personliga situation och attityd till risk. Du kan också kunna sänka kostnaden för en cybersecurity-produkt om du redan är täckt för några av de potentiella situationerna..

Det tar tid att kolla in försäkringsavtal, och ibland kan det vara svårt att hitta en mäklare som inte är helt efter deras uppdrag. Men tid som används för att göra rätt forskning och se till att din policy är korrekt tecknad är bättre och mindre stressande än tid som jag använt efter att ha begärt ett krav som inte kan betalas i händelse av en katastrof.

Andra sätt att göra ditt företag "cybersäker"

Naturligtvis är det aldrig fallet att bara köpa lämplig cybersecurity-försäkring och sedan luta sig tillbaka och koppla av. Det är också viktigt att i första hand minimera riskerna för att bli offer för cyberattacker och informationssäkerhetsbrott.

Det finns en serie tekniska åtgärder som alla förnuftiga företag bör vidta för att skydda sina system. Som tidigare nämnts kan vissa av dessa vara obligatoriska för att din cyberförsäkring ska behålla sin giltighet. Vi kommer att gå till de försiktighetsåtgärderna inom kort. Men för det första, låt oss prata om det enda företaget bör fokusera på för att minska deras chans att bli offer för en cyberattack:

Användarutbildning

Den största misslyckandet när det gäller cybersäkerhet är inte föråldrad antivirusprogram, en dåligt konfigurerad brandvägg eller en ineffektiv IT-avdelning. Fel som gjorts av anställda som använder datorsystemen är det främsta skälet till att företag blir offer för hackare.

En ny rapport säger att mer än 90% "av alla cyberattacker genomförs framgångsrikt med information som stulits från anställda som omedvetet lämnar (...) referenser till hackare."

Det här är ett häpnadsväckande nummer och får dig att titta två gånger för att bekräfta att det är korrekt. Tyvärr är det det. Det som helt klart inte betyder är att anställda går runt och villigt delar ut sina användarnamn och lösenord. Istället använder hackare socialteknik och phishingattacker för att lura människor att utan medvetande dela ut dessa detaljer till dem.

Phishing-tekniker kan variera från rå till geniala. Ibland krävs det bara ett övertygande e-postmeddelande som verkar komma från IT-avdelningen för att övertyga en anställd att lämna in sina inloggningsuppgifter. Ett enda användarnamn och lösenord är ofta allt som en hacker behöver för att få fjärråtkomst till ett nätverk, och därifrån kan de utnyttja andra sårbarheter och använda andra hackningstekniker för att gräva sig längre och längre in - en teknik som ofta kallas ”spjutfiskning”.

Fiske är ibland mycket mer sofistikerade och involverar e-postmeddelanden som övertygar människor om att deras bank- eller PayPal-konton har äventyrats. Dessa e-postmeddelanden leder sedan till pålitliga inloggningssidor som ser ut som den äkta artikeln. Allt användaren måste göra är att försöka logga in på dem och de har omedelbart överlämnat sin e-postadress och lösenord.

Alla som behöver övertyga hur allestädes närvarande sådana phishing-e-postmeddelanden behöver bara titta i skräppostmappen på ett väletablerat e-postkonto. Sådana meddelanden skickas ut med oroväckande regelbundenhet.

Phishing fortsätter att vara ett ”valt vapen” för hackare för det enkla faktum att det fungerar. Oavsett om det är i form av ett telefonsamtal, e-post eller övertygande inloggningssida för webbplatser, allt hackare behöver göra är att kontinuerligt förfina sina metoder och göra dem tillförlitliga nog för att lura människor.

Hela poängen med denna förklaring är att betona användarnas väsentliga roll för att hålla IT-systemen säkra. Deprimerande verkar emellertid bevisen tyder på att många medvetet ignorerar sådana råd. Så sent som i januari 2017 avslöjades det att över 50% av människorna använder lätt att gissa lösenord som ”123456” - och det verkar därför troligt att många människor också stänger öronen för råd om hur man använder unika lösenord för olika konton.

Allt detta gör livet mycket enklare än det behöver vara för hackare.

Svaret på användarutbildning kring cybersäkerhet är att göra det till något som inte är valfritt. Istället för att bara insistera på komplexa lösenord, måste du använda dem också genom att konfigurera system för att kräva dem. Använd vid behov ett disciplinärt förfarande när de anställda vägrar ta sin roll i detta på allvar.

Det är också viktigt att utbilda personal på hur hackare kommer att försöka överlista dem. Visa dem exempel på falska PayPal-inloggningssidor och phishing-mejl (de är inte svåra att hitta.) Berätta statistiken kring detta. Viktigast av allt, se till att alla är medvetna om att det inte är möjligt för IT-avdelningen att göra företagssystem "kortsäkra" bara genom att installera rätt programvara.

Alltför många användare som inte är tekniska tror att det är beroende av antivirusprogrammet och brandväggarna för att skydda dem från verkligheten inom cybersäkerhet. I viss mån är detta sant, men dessa produkter kan inte skydda människor från sig själva. Det är absolut nödvändigt att alla som använder dina företagssystem förstår detta - därmed längden på detta avsnitt.

Tekniska åtgärder

När det gäller att skydda dina IT-tjänster från ett tekniskt perspektiv är många av stegen uppenbara men ändå värda att betona. Antivirusprogram är naturligtvis ett måste. Och med malware-incidenter på Apples Mac-plattform upp 230% under 2017, blir det nu svårt att hävda att Mac inte behöver antivirus lika mycket som Microsoft Windows-plattformar.

Antivirusprogram är inte alla lika, så det är väl värt att undersöka det i detalj för att välja rätt produkt. Det är inte något att "ställa in och glömma." För effektivt skydd bör antivirusprogram alltid hållas fullt uppdaterat, med fullständiga systemscanningar konfigurerade för att köras regelbundet. Beroende på företagskultur kan detta vara enskilda användares eller din IT-avdelning. Det spelar ingen roll vem, så länge någon gör det.

Bra antivirus- och Internet Security-produkter inkluderar ofta en viss skyddsnivå mot phishing-e-post och oärliga webbplatser. Även om dessa uppenbarligen är användbara funktioner, bör de behandlas som ett komplement till användarutbildning och inte som ett alternativ till den.

Brandväggar finns i olika former; Vissa är hårdvara som skyddar kontorsnätverk eller datacenter, andra är programvara eller molnbaserade produkter som kan skydda enskilda maskiner eller webbapplikationer. Det finns ingen hård och snabb regel som dikterar vilken typ av brandväggsskydd du behöver, men en eller flera sådana produkter skulle vanligtvis utgöra en del av ditt företags internetsäkerhetspussel.

Två faktorautentisering beskrivs här och är ett bra sätt att lägga till en säkerhetsnivå till allt som kräver inloggning och lösenord. Genom att lägga till ett andra inloggningskrav, till exempel en unik kod som skickas via SMS till en användares telefon, gör 2FA livet mycket svårare för opportunistiska hackare. Det finns sätt att lägga till sådan autentisering till allt från Windows-domännätverk till enskilda webbplatser. Implementering av tvåfaktorsautentisering är ofta ett relativt billigt sätt att lägga till en betydande extra säkerhetsnivå till kritiska system.

VPN: er (virtuella privata nätverk) är ett bra sätt att öka sekretess online och kan skydda företagsdata när arbetare är borta från ditt centrala kontor. Att till exempel insistera på att personal använder VPN: er för offentliga WiFi-nät är ett bra steg att ta för att förhindra dem från att oavsiktligt läcka viktiga företagets inloggningsuppgifter. Vår VPN för nybörjare är en användbar och detaljerad guide för vidare läsning.

Datakryptering är något företag ofta tänker lite på som omedelbart kan förbättra säkerheten för företagsdata. Om en anställd lämnar en okrypterad bärbar dator på kollektivtrafiken, är det barnens lek att få tillgång till informationen inom, även om det finns ett lösenord på plats. Allt man behöver göra är att ta bort hårddisken och ansluta den till en annan maskin.

Fullständig diskkryptering är lätt att implementera (och särskilt lätt på en Apple Mac, med bara en kryssruta), och därför väl värt att överväga att ansluta detta säkerhetshål.

Programuppdateringar är en annan viktig detalj som ofta ignoreras, med människor som ofta är alltför innehåll för att trycka på "påminn mig senare" i flera veckor. I många fall utfärdas emellertid dessa uppdateringar som ett specifikt svar på säkerhetsbrister i operativsystem eller programvaruprodukter.

Ett högt profilerat exempel på vikten av mjukvaruuppdateringar var när det avslöjades att mycket av inverkan av den rubrikerande cyberattacken på den brittiska National Health Service kunde ha undvikits om IT-personalen hade installerat en patch som hade gjorts tillgänglig veckor innan. På senare tid har Apple själva gjort någon allvarlig renomméskada med ett fel som gjorde det otroligt enkelt att hacka en Mac med det mest uppdaterade operativsystemet. Patchen för det är inte något som någon användare vill försena installationen.

SSL för din företags webbplats blir alltmer ett måste också, särskilt när Google nu markerar ut icke-SSL-webbplatser som "osäkra." HTTPS förklaras här. Att uppgradera en osäker webbplats till HTTP är billig (eller till och med gratis). Det finns några försiktighetsåtgärder att ta, men det är något alla borde göra.

Ta en ny genomsökning genom listan ovan och se hur många av dessa saker du känner att ditt företag verkligen är "ovanpå." Om det finns brister kommer alla du arbetar igenom att göra dina system säkrare. Det är också värt att betona att kryssning av några eller alla dessa rutor mycket väl kan vara en förutsättning för att alla cyberförsäkringsskydd ska vara giltiga. Du måste kontrollera din egen försäkringsdokumentation för att ta reda på det.

Faror online

Vi har redan berört några av de cyberrisker som företag i alla storlekar står inför. Dessa är farorna som Cybersecurity-försäkring syftar till att skydda mot. I det här avsnittet tittar vi på några av de viktigaste farorna i lite mer detalj.

phishing

Som diskuterats ovan är phishing en enorm risk för företag. Dessutom kan en initial phishing-"incident" där en hacker lyckas få tag eller ett användarnamn och lösenord, eller annan information som underlättar ett "väg in" till företagssystem, markera början på en attack som kan involvera andra cyberkriminalitetstekniker också . Till exempel kan en hacker använda phishing för att källa till ett lösenord och sedan starta en ransomware-attack när systemåtkomst fick.

I vilken utsträckning phishing omfattas av en cyberförsäkring kan minst sagt variera. Ett ganska skrämmande onlinekonto för ett relaterat krav kan hittas här. I det exemplet vägrade försäkringsbolaget att betala ut eftersom "policyn inte täckte verkställande direktörens bedrägeri eller e-postkompromiss."

Detta leder oss tillbaka till avsnittet om användarutbildning ovan. Om en anställd luras att lämna en hacker ett direkt sätt in i företagssystem, kan anspråk på en cyberförsäkring vara problematisk. Det enda råd vi verkligen kan ge här är att fråga vad som skulle hända i ett sådant scenario (och få det skriftligt) innan vi tar en policy - och inte när det värsta händer.

Ransomware

Alla har hört talas om ransomware i dag. Det var ransomware i mitten av en enorm global hack som störde många blue chip-företag i början av 2017, liksom Storbritanniens National Health Service.

Människor slog på sina datorer för att upptäcka att de inte hade tillgång till sina applikationer och filer; I stället mötte de en skärm som krävde att de överlämnar en ”lösen” för att få åtkomst till sina nu-krypterade datafiler. Det specifika lösenordet vid detta tillfälle varierade mellan $ 300-600 och värdet på cryptocurrency, Bitcoin. Så småningom lyckades hackarna göra ut mer än 130 000 dollar i Bitcoin som ett resultat.

Ransomware-attacker har en specifik skändning: De behöver inte orsaka skador utöver störningar så länge du har en säkerhetskopia. System kan installeras på nytt, och så länge det finns en säkerhetskopia av data finns det inget behov av att betala någon lösning.

Ransomware-problem kan också drabba företag i alla storlekar - ofta för att tack vare en phishing-attack luras en intet ont anställd personal att installera något de inte borde göra. Ransomware kan därför vara lika mycket problem för ett stort företag, där det kan flyga runt ett lokalt nätverk som korsinfekterar flera maskiner, som det kan för en frilansare utan en säkerhetskopia som förlorar åtkomst till alla sina kunddokument.

Cyberförsäkringar inkluderar vanligtvis avsättningar för ransomware, som kan sträcka sig till att betala ut en lösen till hackarna. Det mest effektiva skyddet mot ransomware kommer emellertid i form av en bunnsolid backupregime. Om du kan återställa dina data kan hackarna bara göra dig mer besvärande.

Ransomware kommer inte någonstans. Många studier visar graden av ransomware-infektion fortsätter en stratosfärisk ökning, inklusive ett som säger att ett företag någonstans är nyinfekterat med ransomware var 40: e sekund.

Dataöverträdelser

Medan cyberattacker ibland kan "bara" låsa dig från dina data eller äventyra din digitala säkerhet, blir saker riktigt allvarliga när de resulterar i ett brott mot kunddata. Om du måste erkänna för dina kunder att du har misslyckats med din skyldighet att skydda deras personliga information, är renomméskador bara garanterade. Dessutom finns det potentiella juridiska konsekvenser, tillsammans med den starka möjligheten att detta förtroendebrott kommer att förlora en del av dig.

Många av de högprofilerade cyberattackerna som slår på rubrikerna innebär förlust av kunddata. Equifax-brottet som vi hänvisar till ovan är det senaste i skrivande stund, men det har varit många fler incidenter de senaste åren.

År 2013 Yahoo! träffades med ett dataintrång. Fullständiga detaljer tog år att dyka upp, men det blev så småningom klart att omfattningen av överträdelsen var enorm, med tre miljarder användarkonton påverkade. Andra enorma dataöverträdelser inkluderar en hack 2011 på Sonys PlayStation Network, som för vissa kunder inkluderade utgivningen av sina kreditkortsuppgifter. Sedan, 2016, var det ett brott mot kundinformation för 57 miljoner Uber-användare. Uber gjorde mycket för att förvärra deras ansvarsskador genom att täcka hacket under en längre period.

Cyberförsäkringar inkluderar vanligtvis täckning för exakt den här typen av händelser, inklusive hjälp med "krisinneslutning", som kan inkludera hjälp med PR och kundrelationshantering. När ett system bryts och kunduppgifter avslöjas för hackare, har det långtgående konsekvenser, inklusive möjligheterna till juridiska frågor med myndigheters tillsynsmyndigheter. Med den här typen av händelser kan cyberförsäkring visa sig vara lika värdefull för den expertstöd som ett försäkringsbolag kan ringa på som det är för det finansiella säkerhetsnätet.

Och det säkerhetsnätet är också viktigt; Som diskuterats tidigare börjar efterfallet av Equifax-hacket bara börja, och det finns redan klasseradsprocesser. Beroende på skadan kan den ekonomiska effekten bli enorm i dessa situationer.

Avbrott i verksamheten

Affärsavbrott går ofta hand i hand med en eller flera av de andra möjliga effekterna av en cyberattack. Till exempel, ett företag som spenderar sin tid på att lugna kunder som har fått sina personliga uppgifter stulna, eller springer runt för att återställa säkerhetskopior efter en ransomware-attack, har troligtvis inte tid och resurser att koncentrera sig på den dagliga driften av affärer ordentligt och tjäna pengar.

För småföretag med begränsade personalresurser är det detta avbrott som kan driva ett företag i ruin. Kunder kan försvinna över natten om du inte kan betjäna dem. Som sådan kan ett plötsligt och oväntat slut på flödet av "pengarkranen" visa sig katastrofalt.

En mäklare för försäkringsskydd i Australien har publicerat en mängd exempel på internet där försäkringsbolag har betalat ut för affärsavbrott och inkomstförlust - ofta med sex och sju siffror. Affärsavbrott kan visa sig vara en av de viktigaste effekterna av en cyberattack. Det är därför inte förvånande att de flesta cyberförsäkringar inkluderar bestämmelser för den. Om du inte kan tjäna intäkter kan rätt policy ersätta den förlorade inkomsten medan krisen är löst.

De viktigaste typerna av cybersäkerhetsförsäkring

Precis som bilförsäkringar ofta har olika bestämmelser för allt från tredjepartsansvar till rättsligt skydd, via mindre detaljer som skydd för nyckelförluster och försäkringsskydd, har cyberförsäkringar många komponenter..

I vissa fall finns olika skydd tillgängliga som separata försäkringsprodukter eller som tillägg till en central produkt. Om du är ansvarig för att köpa cyberförsäkring för ett större företag kan du tycka att du behöver flera försäkringar för att täcka alla risker. Mindre företag kan finna att en "allt i ett" cybersecurity-försäkring täcker alla nödvändiga baser. Som alltid är fallet är det viktigt att läsa alla små bokstäver.

Här är några av de avsnitt som du vanligtvis ser inom dessa produkter för att hjälpa dig förstå några av de typiska delarna av en cyberförsäkring. Som nämnts kan du ibland behöva mer än en policy för att täcka alla de risker du behöver för att mildra mot.

Rättegång och lagstiftning

Den här typen av täckning handlar om de juridiska konsekvenserna av att återhämta sig från ett cyberattack. Det kan inkludera kostnaden för att försvara ett eller flera rättsfall eller betalning av böter till en statlig tillsynsmyndighet i händelse av ett dataintrång.

”Regulatory response” -täckning kan vara en del av detta eller kanske erbjudas separat. Detta täcker extra kostnader med hänvisning till ditt företags lagstiftningsansvar. Du kan till exempel behöva göra en kriminalteknisk undersökning för att avslöja informationen om hur ett cyberattack ägde rum. "Integritetsskydd" länkar också till detta, om det blir nödvändigt att kompensera kunderna för förlusten av deras data.

Krishantering / inneslutning

Som nämnts i avsnittet ”dataöverträdelser” ovan innebär krisinneslutning vanligtvis att försäkringsbolaget spelar en aktiv roll för att återhämta sig efter ett cyberattack. Det kan inkludera att hantera ditt företags interaktioner med missnöjda kunder eller pressen och upprätta en kommunikationsstrategi.

Denna typ av täckning kan ge fördelar utöver det ekonomiska eftersom mindre företag troligtvis inte har ett internt kommunikationsteam med erfarenhet av att hantera sådana händelser.

Överträdelseskostnader / skador

Att reparera skadorna av hackare kan ofta kosta en betydande summa pengar. System kan behöva repareras eller bytas ut, vilket kan leda till oväntade utgifter som du vill försäkra dig mot.

Kostnaden för att återkräva a från ett överträdelse kan också inkludera att vissa tjänster är tillgängliga för berörda kunder. Återvändande, återigen till det storskaliga Equifax-brottet, var företaget tvunget att göra kreditövervakningstjänster tillgängliga för de berörda kunderna. Detta är ganska standard i situationer där personliga (särskilt ekonomiska) detaljer har äventyrats.

Extortion Cover

Ingen gillar att tro att ibland hackare slipper undan med sina brott till den grad att de faktiskt får betalt sina önskade lösningar! Rapporter tyder emellertid på att även FBI ibland rekommenderar betalning av lösen i vissa hackingscenarier.

Utpressningstäckning finns för att finansiera betalningen av en sådan lösen om situationen föreskriver att det är den bästa åtgärden.

Ansvar för multimedia

Även om skyddet för multimediaansvar inte egentligen har mycket att göra med hacking-scenarier, ingår det ofta i eller erbjuds som en "bolt-on" till cyberförsäkringar.

Denna typ av skydd skyddar ditt företag i situationer där någon av misstag bryter mot upphovsrätten, till exempel genom att använda en upphovsrättsskyddad bild online av misstag.

Hur man blir cyber-försäkrad?

Att hitta rätt Cybersecurity-produkt kan vara en involverad process. Det är inte heller någon som ska ta lätt, eftersom det inte är bättre att ha en försäkring som inte slutar att betala ut än att ha någon försäkring alls.

Innan du tittar på några alternativ är det viktigt att betona att försäkringar och relaterade lagar kan variera betydligt från land till land. När vi undersöker den här artikeln tittade vi mest på USA och USA: s försäkringsmarknader, som har gott om likheter, men många länder har sina enskilda egendomar.

Medan en Google-sökning efter "cyberförsäkring" ger många omedelbara resultat och det frestande förslaget om "omedelbar skydd", är det sällan klokt att bara "hitta och köpa." Som med alla försäkringar är det viktigt att försäkringsbolaget förstår fullt ut ditt företag och citat i enlighet därmed. Helst bör du sträva efter en policy som helt garanteras av ett försäkringsbolag som förstår ditt företag, vad det gör och vad dina troliga cyberrisker är. För dem som inte tycker om möjligheten att spendera tid på telefonen med att svara på frågor är detta kanske dåliga nyheter, men också en oundviklig verklighet.

En särskild detalj att säkerställa är tydlig är i vilka länder du utför arbete inom. Till exempel kan en försäkring från ett brittiskt försäkringsbolag endast täcka arbete som utförts i Storbritannien, eller kanske i Europa. Om du också gör mer globala affärer måste du vara säker på att försäkringsgivaren känner till. Tyvärr driver denna detalj ofta priset upp!

En tillförlitlig försäkringsmäklare kan visa sig vara till hjälp här, så länge som betoningen ligger på ”betrodd!” Vissa mäklare är lite mer än säljare som skjuter sina kunder mot de policyer som tjänar dem mest provision. Dessutom är cyberförsäkring en relativt ny produkt på marknaden, så inte alla "en storlek passar alla" försäkringsmäklare kommer att ha en stark kunskap om det.

Om du köper cyberförsäkring för ett stort företag är chansen stor att du vill involvera ditt juridiska team och göra omfattande due diligence innan du registrerar dig. Mindre företag och ”enmansband” kommer att behöva nöja sig med den bästa möjliga kombinationen av mäklarsupport, detaljerad läsning av policyvillkor, produktjämförelser och ställa massor av relevanta frågor. Naturligtvis, om du söker förtydligande av några fina detaljer, tryck för att få svar skriftligen.

Som utgångspunkt för att lära sig vad man ska leta efter, här är detaljer om typiska småföretag cyberförsäkringar från Hiscox i Storbritannien och Hiscox i USA. Observera att detta inte är rekommendationer, men har helt enkelt inkluderats här eftersom de är ganska tydliga exempel på vad man kan förvänta sig.

Representanter för större företag kommer att behöva tala direkt med försäkringsbolagen eller arbeta genom en mäklare. Som nämnts är en pålitlig mäklare också en tillgång för ett litet företag, så länge de inte bara hämtar produkter på ett enda försäkringsbolags räkning.

Det finns inte heller något att säga att de cyberförsäkringsprodukter som visas på en Google-sökning inte är värda papperet de är skrivna på. Så länge du läser det lilla trycket och väljer ett känt och pålitligt företag, kan det hända att de passar räkningen. Var dock uppmärksam på att bara ta en policy för att ha en sådan. Försäkringsbolag har inga problem med att ta betalt från nya kunder - frågorna kommer emellertid att uppstå vid anspråk. Det är mycket mer vettigt att svara på så många frågor som möjligt innan du registrerar dig för en politik.

Slutsats för cybersecurity-försäkring

Ibland i livet är det klokt att vara lite paranoid. När det gäller cybersäkerhet i affärer är det sunt förnuft att vara så. Detta gäller särskilt i en värld där vi hela tiden får statistik som bevisar att saker som phishing och ransomware blir mer ett problem och inte mindre av ett.

På ProPrivacy.com har vi en mängd resurser tillgängliga för att hjälpa dig lära dig mer om cybersäkerhet och skydda din integritet online, allt från lösenordskontroller till detaljerade artiklar om vilken typ av sekretesshot du behöver se upp för. Vi uppmuntrar aktivt alla att hålla sig uppdaterade om den senaste utvecklingen i världen för cybersäkerhet, eftersom vi kan vara säkra på att inom ett år från nu kommer fler Equifax- och Yahoo-stilolyckor att ha tagit rubrikerna.

Om du driver ett litet företag och blir drabbat av ett cyberattack kommer det förmodligen inte att nå de nationella nyheterna, men det betyder inte att det inte förstör ditt företag eller åtminstone kostar dig dyrt när det gäller ekonomi och rykte. Cyberförsäkring skyddar dig inte från alla opportunistiska hackare, men det känner dig viss sinnesfrid och lite stöd och ekonomisk säkerhetskopiering om det värsta skulle hända.

En ny CNBC-rapport avslöjade att 87 procent av SME-ägarna "inte känner att de riskerar att bli cyber-säkerhetsattack". Samma rapport visar att 14 miljoner amerikanska företag har hackats under de senaste 12 månaderna. Det är ungefär hälften av de små företagen i landet, och samma antal eller fler kan förvänta sig att de kommer att bli nästa år. Oavsett hur du tittar på det, det är väldigt många företagare för en oförskämd uppvaknande 2018 och därefter.

Med det i åtanke lämnar vi dig att avgöra om cyberförsäkring är värt att investera i.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me