Cybersecurity-forsikring – Hvad er det & hvorfor har jeg brug for den?

Cyberkriminalitet koster globale virksomheder 450 milliarder dollars om året ifølge en nylig undersøgelse fra Hiscox Insurance baseret på data fra 2016. Imidlertid er mange virksomheder stadig klar til at indse alvoret i denne trussel.


I denne cybersecurity-forsikringsguide skal jeg diskutere, hvad det er, hvorfor du har brug for det, og andre nyttige tip, du kan bruge til at beskytte dig selv og din virksomhed.

Hvad er cybersikkerhed?

Cybersikkerhed er beskyttelse mod kriminel eller uautoriseret brug af data og de forholdsregler, der er truffet for at opnå dette.

Desuden omfatter cybersikkerhed teknikker mod hele computernetværkets sikkerhed; det er software og data fra ovennævnte skade og uautoriseret adgang.

Omkostningerne ved cyberkriminalitet

Som nævnt koster cyberkriminalitet globale virksomheder 450 milliarder dollars om året. Dette tal er så betydningsfuldt, at det kan føles ud over de fleste menneskers forståelse. For at gøre omfanget af problemet mere relatabelt, er det måske lettere at overveje virkningen af ​​blot et af mange nylige højprofilerede cyberangreb - det, der ramte kreditreferenceselskabet Equifax i USA.

Dette sikkerhedsbrud resulterede i, at 143 millioner amerikanere udsatte deres personlige detaljer for hackere. Personlige oplysninger, der indeholdt deres fødselsdato, hjemmeadresse og personnummer. Over 200.000 forbrugere, der var berørt af overtrædelsen, fik også deres kreditkortnummer udsat.

Antallet af amerikanske statsborgere, der var berørt af denne krænkelse alene, kom meget tæt på halvdelen af ​​befolkningen i Amerika. Derudover var det ikke det første så store cyberangreb og det er yderst usandsynligt, at det vil være det sidste.

Nogle gange føles det som om folk bliver desensibiliserede til sådanne it-sikkerhedsbegivenheder. Pressedækning efter Equifax-angrebet antydede, at til trods for bekymring over virkningen af ​​cyberangrebet, gjorde færre end en ud af fem mennesker faktisk noget for at styrke sikkerheden ved deres personlige oplysninger. Vi kan dog være sikre på, at så snart enkeltpersoner, der er berørt, finder sig et offer for identitetstyveri eller økonomisk tab som et resultat, vil de straks søge at finde en vis anvendelse.

Dette er grunden til, at i en verden, hvor cyberkriminalitet blomstrer (lad os endnu en gang huske, at $ 450 milliardtallet) vokser cybersikkerhedsforsikring også i popularitet blandt virksomheder i alle størrelser. Helt med rette søger de at beskytte sig mod økonomisk tab og juridiske problemer, hvis og når de bliver den næste Equifax.

Væksten i cybersikkerhedsforsikring

Cybersecurity-forsikring er et forsikringsprodukt, som historisk set har været langsomt med at komme væk fra startblokkene, primært på grund af vanskeligheden med at eliminere de relaterede risici og den stadigt udviklende karakter af trusler mod virksomhedens IT-systemer. Wikipedia-posten for cyberforsikring refererer til markedet for en sådan forsikring, der vokser langt langsommere end forventet for et årti siden.

Præmieindtægterne sprang 35% mellem 2015 og 2016

Trods dette viser rapporter, at over 130 forsikringsselskaber tilføjede cyberforsikring til deres produktudvalg sidste år. Det er i stigende grad en type dækning, som virksomheder i alle størrelser skal overveje, for at beskytte dem, hvis og når de på trods af deres bedste indsats er det næste offer for verdens voksende hær af hackere og cyberkriminelle.

Du undrer dig måske på dette tidspunkt, om Equifax havde cybersecurity-forsikring. Kort efter overtrædelsen sagde en virksomhedsrepræsentant, at "Equifax bærer cybersikkerhed, kriminalitet, ansvar og andre forsikringslinjer." Pressemeddelelser spekulerer imidlertid, at virksomhedens dækning, der beskytter dem for skader op til $ 100-150 millioner, vil bevise sørgelig utilstrækkelig til at beskytte dem mod den fulde økonomiske virkning af deres IT-sikkerhedsbrud. Retssager om klassehandlinger vil sandsynligvis fortsætte med at rulle ind i de kommende år.

Har jeg brug for cybersecurity-forsikring?

“TL; DR” svaret på, om du har brug for Cybersecurity-forsikring, er sandsynligvis et rungende “ja”, hvis du driver nogen form for tilsluttet virksomhed og ønsker at sove mere forsvarligt om natten.

Det britiske forsikringsselskab, Hiscox, giver en liste over grunde til, at et selskab muligvis vil have cybersecurity-forsikring, og de inkluderer at være "afhængige af computersystemer for at udføre din virksomhed" og "at have et websted." I denne dag og alder forlader det ikke plads til mange undtagelser!

Selvom det er de storskala cyberkriminalitetsbegivenheder, såsom Equifax-hacket, der rammer overskrifterne, og lignende forekomster ved Yahoo! og Storbritanniens nationale sundhedsvæsen, er det bestemt ikke kun store organisationer, der står over for angreb fra hackere og er nødt til at håndtere efterspørgslen. Dette er en efterspørgsel, der ofte kan omfatte økonomiske virkninger, omdømme skader og en oprydning, der er enormt forstyrrende for den daglige forretning.

Overvej dette: 60% af alle små virksomheder bliver hacket hvert år. Ikke kun det, disse små virksomheder har ikke en tendens til at have de ressourcer, som deres større kolleger har for at hjælpe dem med at komme sig efter en cyberkriminalitetshændelse. Disse ressourcer kan omfatte alt fra et velbemandet it-team til at tørre skaden op til den nødvendige økonomiske buffer for at komme igennem krisen. Så man kunne hævde, at mindre virksomheder har brug for cybersecurity-forsikring lige så meget, hvis ikke mere, end større virksomheder.

Selvom de muligvis ikke rammer forsidene i nationale aviser, er der ingen mangel på onlineeksempler på, hvor små virksomheder er blevet målrettet mod cyberkriminelle. Disse inkluderer hændelser, hvor SMV'er har fundet deres bankkonti drænet for beløb, der spænder fra omkring $ 20.000 til over $ 1 million. Afhængig af virksomhedens størrelse, kan en af ​​beløbene være nok til at gå konkurs i virksomheden.

En ofte omtalt cyberkriminalitetsstatistik er, at 60% af små virksomheder, der er ofre for et cyberangreb, aldrig kommer sig efter det og er ude af drift inden for seks måneder. Selvom graden af ​​angrebens sværhedsgrad naturligt varierer, er det rimeligt at sige, at virksomheder i alle størrelser skal tage cybertrusler alvorligt og tegne forsikring for at beskytte sig selv.

Kvalificerer mit firma?

En hurtig Google-søgning efter cyberforsikring bringer masser af muligheder op, inklusive mange, der er rettet mod små virksomheder. I mange tilfælde er disse politikker billige og slår ikke engang et trecifret beløb for hver månedlige præmiebetaling. Man må undre sig over præcist, hvilket dækningsniveau dette virkelig kommer til at få, så det er åbenlyst grundlæggende at læse den lille bogstav.

Som med mange slags forsikringer er det fornuftigt at tale med en mægler, der virkelig forstår din virksomhed. Mens typen af ​​"én størrelse passer til alle" -politikker med lave præmier, der vises på en typisk Google-søgning, muligvis kan du markere en boks, der siger, at du har Cybersecurity-forsikring, men at have den fulde tillid til, at det faktisk vil beskytte din virksomhed, er en anden sag helt.

Hvis du tænker over dette, bliver det hurtigt klart, hvorfor det er vigtigt at vælge en tilstrækkelig garanteret politik, hvis du beslutter at tegne cyberforsikring. Hvis du finder en onlineudbyder, der er glad for at tilbyde den samme generiske cyberforsikringspolice til virksomheder med meget forskellige forretningsmodeller, er chancerne for, at du ikke ser på en god politik. Et firma med en computer, der ikke gemmer meget i vejen for personlige oplysninger, er helt klart langt mindre risiko end en, der sælger online og behandler og gemmer kreditkortoplysninger. Virkningen af ​​et angreb vil også være meget anderledes.

Så det er måske mindre et spørgsmål om, hvorvidt din virksomhed kvalificerer sig til cyberforsikring, og mere en af ​​at finde en forsikring, der faktisk er værd at det papir, det er skrevet på. Du har ikke problemer med at finde et firma til at sælge dig cyberforsikring, men du kan have mere vanskeligheder med at finde en, der pålideligt udbetaler i tilfælde af et krav. Dette gælder selvfølgelig for alle typer forsikringer

Sørg for, at din politik er gyldig

Som med alle forsikringer forventes det, at du normalt overholder en række vilkår og betingelser for at sikre, at din forsikring forbliver gyldig.

En passende (hvis lidt usædvanlig) analogi her angår forsikring for cykler. Politikker, der beskytter mod tyveri af cykler, er lette at få, men deres lille skrift afslører ofte en række forpligtelser, som forsikringstageren skal opfylde for at blive beskyttet. Dette inkluderer normalt brug af en industristandard cyklås og at sikre, at cyklen er fastgjort til et fast objekt, også når det er gemt derhjemme.

Det er ofte tilfældet med forsikring, at det at opfylde en polis forpligtelser viser sig at være så dyrt og tidskrævende som at købe selve politikken, og det er ikke anderledes med Cybersecurity-forsikring. En nylig undersøgelse af cybersecurity-markedet i Sverige viste, at mange forsikringsselskaber "stiller krav til informations- og IT-sikkerhed på deres kunder."

Det er derfor meningsløst at købe forsikringen og ikke læse den lille bogstav - hvilket er tilfældet for enhver form for forsikring. Hvis du ikke overholder dine forpligtelser, kan forsikringen ende med at være ugyldig.

Hvornår er cybersecurity-forsikring værd?

Som med alle forretningsforsikringer er en fornuftig generel regel at følge, at hvis cybersikkerhedsforsikring er overkommelig og beskytter mod betydelig økonomisk risiko, så er det værd at have.

Det er dog rimeligt at nævne, at nogle virksomheder sandsynligvis har brug for det mere end andre. Hvis du gemmer og behandler kunders økonomiske detaljer, er det uden tvivl meget tåbeligt at ikke forsikre sig mod cyberrisici. Virksomheder med kun en lille online tilstedeværelse og ingen økonomisk eksponering vil muligvis tage en mere afslappet tilgang. Selv den mindste af virksomhedens bankkonti kan imidlertid blive målet for en hacker. Yderligere bør præmier til virksomheder med mindre opfattet risiko i det mindste i teorien være betydeligt mindre.

Der er også et potentielt politisk aspekt at overveje. Hvis din virksomhed bevæger sig i den form for cirkler, som hackere og cyberkriminelle ikke kan lide - såsom noget, der betragtes som for tæt på "virksomheden", eller noget, der kan relateres til at begrænse friheden, kan hackere lave en bestemt linie til dig - så dette er noget at altid huske.

En interessant nylig statistik at hæve på dette tidspunkt er, at kun 10% af de britiske SMV'er har arrangeret cyberforsikring i skrivende stund. Imidlertid antyder vækstforudsigelser for denne branche tidevandet, og at flere mennesker bliver opmærksomme på behovet for det.

Dækningen, der følger med en typisk cyberforsikringspolice, kan ofte lyde meget imponerende. Det inkluderer normalt ting som:

  • Betaling af løsepenge i tilfælde af et løsepenge-angreb.
  • Dækning til forretningsafbrydelse.
  • Dækning for sagsomkostninger ved enhver overtrædelse.
  • Tab af indkomstbeskyttelse, mens din virksomhed reparerer skaden.
  • Dækning for bøder, der pålægges af tilsynsmyndighederne for overtrædelse af data.
  • Omkostninger til retsmedicinsk analyse.
  • Omkostninger til kreditovervågning. (Equifax finansieret gratis kreditovervågning for alle berørte kunder efter deres overtrædelse i 2017).

Selvom alt dette lyder imponerende, betyder cyberforsikringens art, at dette ikke alle bare træder i kraft automatisk, så snart enhver form for overtrædelse opstår. I tilfælde af en skadesituation vil dit forsikringsselskab normalt arbejde sammen med dig for at vurdere skaden og hjælpe med at "styre krisen."

Typisk har politikker også overskydende betalinger på plads. Så for eksempel kan det potentielt vise sig at være mere omkostningseffektivt at betale et krav om ransomware på $ 350 end det overskydende beløb på $ 2000 for et krav. Så det er værd at huske på, at cyberforsikring virkelig er der for at beskytte dig, hvis noget går forfærdeligt galt, på trods af at du tager de rigtige forholdsregler og gør alt godt. Det er ikke der for at redde dig fra enhver lille IT-sikkerhed-relateret hændelse. Dette betyder dog ikke, at det ikke er noget, der er værd at have på plads.

Hvis du driver en virksomhed, bliver du nødt til at lave din egen omkostning kontra fordelanalyse på dette og læse alle de små bogstaver af enhver politik, du fristes af.

Kontrol af din eksisterende forsikring

Før du forpligter dig til en regelmæssig udgift for en anden forsikringspolice, er det værd at se på, hvilke forsikringer du allerede har på plads.

Mange små virksomheder køber “alt i én” forretningsforsikringspakker, der ofte dækker forskellige forpligtelser og skadeserstatninger. Nogle gange kan disse omfatte IT-relaterede forsikringer, såsom forsikring, der hjælper med at komme sig efter virusangreb.

Det er usandsynligt, at en sådan "pakket" forsikringspolice vil omfatte fuld cyberforsikring, men det er stadig værd at kontrollere, hvad du allerede er dækket til. Du kan beslutte, at du allerede har tilstrækkelig dækning for din personlige situation og holdning til risiko. Eller du kan muligvis reducere omkostningerne ved et cybersecurity-forsikringsprodukt, hvis du allerede er dækket til nogle af de potentielle situationer.

Det tager tid at tjekke forsikringsaftaler, og nogle gange kan det vise sig svært at finde en mægler, der ikke er rent efter deres provision. Dog brugt tid på at udføre den rigtige forskning og sikre, at din politik er korrekt underskrevet, er bedre og mindre stressende end tid, der er brugt på at jage efter et krav, der muligvis ikke betales i tilfælde af en katastrofe.

Andre måder at gøre din virksomhed "cybersikker"

Selvfølgelig er det aldrig et tilfælde at bare købe en passende cybersecurity-forsikring og derefter læne sig tilbage og slappe af. Det er også vigtigt at minimere risikoen for at blive offer for cyberattacks og brud på informationssikkerheden i første omgang.

Der er en række tekniske skridt, som alle fornuftige virksomheder bør tage for at beskytte deres systemer. Som tidligere nævnt kan nogle af disse være obligatoriske, for at din cyber-forsikringspolice kan opretholde dens gyldighed. Vi går snart ind på disse forholdsregler. Men lad os først tale om den vigtigste ting virksomhederne skal fokusere på for at reducere deres chance for at blive offer for et cyberangreb:

Brugeruddannelse

Det største mislykkede punkt inden for cybersikkerhed er ikke forældet antivirus-software, en dårligt konfigureret firewall eller en ineffektiv it-afdeling. Fejl foretaget af medarbejdere, der bruger computersystemerne, er den største grund til, at virksomheder bliver offer for hackere.

En nylig rapport oplyser, at over 90% "af alle cyberangreb udføres med succes stjålet fra ansatte, der uforvarende giver væk (…) legitimationsoplysninger til hackere."

Dette er et svimlende nummer og et, der får dig til at se to gange for at bekræfte, at det er korrekt. Desværre er det det. Hvad det helt klart ikke betyder, er, at medarbejdere går rundt med at udlevere deres brugernavne og adgangskoder. I stedet bruger hackere socialt teknik og phishing-angreb for at narre folk til ubevidst at uddele disse detaljer til dem.

Phishing-teknikker kan variere fra det rå til det geniale. Nogle gange tager det blot en overbevisende e-mail, der ser ud til at komme fra IT-afdelingen for at overbevise en medarbejder til at udlevere deres loginoplysninger. Et enkelt brugernavn og adgangskode er ofte alt, hvad en hacker har brug for for at få fjernadgang til et netværk, og derfra kan de udnytte andre sårbarheder og bruge andre hackingteknikker til at grave længere og længere ind - en teknik, der ofte kaldes "spyd phishing."

Phishing er undertiden langt mere sofistikeret, hvilket involverer e-mails, der overbeviser folk om deres bank- eller PayPal-konti er blevet kompromitteret. Disse e-mails fører derefter til plausibelt udseende login-sider, der ligner den ægte artikel. Alt det, brugeren skal gøre, er at prøve at logge på dem, og de har straks overdraget deres e-mail-adresse og adgangskode.

Enhver, der har brug for at overbevise, hvor allestedsnærværende sådanne phishing-e-mails kun er, skal kigge i junk-e-mail-mappen på en veletableret e-mail-konto. Sådanne meddelelser sendes ud med alarmerende regelmæssighed.

Phishing er fortsat et "valgbart våben" for hackere, fordi det kun fungerer. Uanset om det er i form af et telefonopkald, e-mail eller en overbevisende login-side til webstedet, skal alle hackere gøre kontinuerligt forfine deres metoder og gøre dem troværdige nok til at narre folk.

Hele pointen med denne forklaring er at understrege den væsentlige rolle, som brugeruddannelse spiller for at sikre it-systemer. Bevisende synes imidlertid bevisene at antyde, at mange mennesker med vilje ignorerer et sådant råd. Så sent som i januar 2017 blev det afsløret, at over 50% af mennesker bruger adgangskoder, der er nemme at gætte som “123456” - og det synes derfor sandsynligt, at mange mennesker også lukker ørerne for at rådgive om at bruge unikke adgangskoder til forskellige konti.

Alt dette gør livet langt lettere, end det skal være for hackere.

Svaret på brugeruddannelse omkring cybersikkerhed er at gøre det til noget, der ikke er valgfrit. I stedet for blot at insistere på komplekse adgangskoder, skal du også håndhæve brugen af ​​dem ved at konfigurere systemer til at kræve dem. Brug om nødvendigt en disciplinær procedure, når medarbejderne nægter at tage deres rolle på dette alvorligt.

Det er også vigtigt at uddanne personale på måderne hackere vil prøve at overliste dem på. Vis dem eksempler på falske PayPal-login-sider og phishing-e-mails (de er ikke svære at finde.) Fortæl dem statistikken omkring dette. Vigtigst af alt skal du sikre dig, at alle er opmærksomme på, at det ikke er muligt for IT-afdelingen at gøre firmasystemer "skudsikker" bare ved at installere den rigtige software.

Alt for mange ikke-tekniske brugere mener, at det er nødt til antivirussoftware og firewalls at beskytte dem mod virkeligheden inden for cybersikkerhed. I nogen grad er dette sandt, men disse produkter kan ikke beskytte folk mod sig selv. Det er absolut vigtigt, at enhver, der bruger dine virksomhedssystemer, forstår dette - dermed længden på dette afsnit.

Tekniske foranstaltninger

Når det kommer til at beskytte dine IT-tjenester fra et teknisk perspektiv, er mange af trinnene indlysende, men alligevel værd at understrege. Antivirus-software er naturligvis et must. Og med malware-hændelser på Apples Mac-platform op 230% i 2017, bliver det nu svært at argumentere for, at Mac'er ikke har brug for antivirus lige så meget som Microsoft Windows-platforme.

Antivirus-software er ikke alle lige, så det er værd at undersøge det i detaljer for at vælge det rigtige produkt. Det er heller ikke noget at "indstille og glemme." For effektiv beskyttelse skal antivirus-software altid holdes fuldt opdateret med fulde systemscanninger konfigureret til at køre regelmæssigt. Afhængig af din virksomhedskultur kan dette være de enkelte brugers eller din IT-afdeling ansvar. Det betyder ikke noget hvem, så længe nogen gør det.

Gode ​​antivirus- og internetsikkerhedsprodukter inkluderer ofte et vist beskyttelsesniveau mod phishing-e-mails og uærlige websteder. Selvom disse åbenlyst er nyttige funktioner, skal de behandles som et supplement til brugeruddannelse og ikke som et alternativ til det.

Firewalls findes i forskellige former; Nogle er hardwareenheder, der beskytter kontornetværk eller datacentre, andre er software eller skybaserede produkter, der kan beskytte individuelle maskiner eller webapplikationer. Der er ingen hård og hurtig regel, der dikterer, hvilken slags firewallbeskyttelse du har brug for, men et eller flere sådanne produkter vil normalt udgøre et stykke af din virksomheds internetsikkerhedspuslespil.

To faktorautentisering er beskrevet her og er en fantastisk måde at tilføje et niveau af sikkerhed til alt, hvad der kræver et login og adgangskode. Ved at tilføje et andet login-krav, såsom en unik kode sendt via SMS til en brugers telefon, gør 2FA livet meget sværere for opportunistiske hackere. Der er måder at tilføje sådan godkendelse til alt fra Windows-domænenetværk til individuelle websteder. Implementering af tofaktorautentisering er ofte en relativt billig måde at tilføje et betydeligt ekstra sikkerhedsniveau til kritiske systemer.

VPN'er (Virtual Private Networks) er en fantastisk måde at øge online-privatliv og kan beskytte firmadata, når arbejdstagere er væk fra dit centrale kontor. At insistere på, at personale bruger VPN'er til offentlige WiFi-netværk, er for eksempel et godt skridt at tage for at forhindre dem i at utilsigtet lækker vigtige firmainlogonoplysninger. Vores VPN for begyndere guide er en nyttig og detaljeret guide til videre læsning.

Datakryptering er noget, virksomheder ofte tænker lidt på, og som øjeblikkeligt kan forbedre sikkerheden i virksomhedsdata. Hvis en medarbejder efterlader en ukrypteret bærbar computer på offentlig transport, er det barnets leg at få adgang til dataene inden for, selvom der er en adgangskode på plads. Alt hvad man skal gøre er at fjerne harddisken og tilslutte den til en anden maskine.

Fuld diskkryptering er let at implementere (og især let på en Apple Mac med kun ét krydsboks), og derfor værd at overveje at tilslutte dette sikkerhedshul.

Softwareopdateringer er en anden vigtig detalje, der ofte bliver ignoreret, hvor folk ofte er alt for indhold til at trykke på knappen "mind mig senere" i flere uger. I mange tilfælde udstedes imidlertid disse opdateringer som et specifikt svar på sikkerhedsfejl i operativsystemer eller softwareprodukter.

Et højt profileret eksempel på vigtigheden af ​​softwareopdateringer var, da det blev afsløret, at en stor del af virkningen af ​​det overskridende cyberangreb på UK National Health Service kunne have været undgået, hvis it-medarbejdere havde installeret en programrettelse, der var blevet gjort tilgængelig uger før. For nylig gjorde Apple selv nogle alvorlige omdømme med en bug, der gjorde det utroligt nemt at hacke enhver Mac med det mest opdaterede operativsystem. Opdateringen til det er ikke noget, som enhver bruger ønsker at forsinke installationen.

SSL til dit virksomheds websted bliver også i stigende grad et must, især med Google, der nu markerer ikke-SSL-websteder som “usikre.” HTTPS forklares her. Det er billigt (eller endda gratis) at opgradere et usikkert websted til HTTP'er. Der er nogle forholdsregler, der skal tages, men det er noget, alle skal gøre.

Få en ny scanning gennem listen ovenfor, og se, hvor mange af disse ting, du føler, at din virksomhed virkelig er "oven på." Hvis der er mangler, vil enhver, du arbejder igennem, gøre dine systemer mere sikre. Det er også værd at understrege, at afkrydsning af nogle af eller alle disse felter meget vel kan være en forudsætning for at sikre, at cyberforsikring er gyldig. Du skal tjekke din egen forsikringsdokumentation for at finde ud af det.

Online farer

Vi har allerede berørt nogle af de cyberfarer, virksomheder står over for i alle størrelser. Dette er farerne, som Cybersecurity-forsikring sigter mod at beskytte imod. I dette afsnit ser vi på nogle af de mest betydningsfulde farer lidt mere detaljeret.

Phishing

Som diskuteret ovenfor er phishing en enorm risiko for virksomhederne. Endvidere kan en indledende phishing-"hændelse", hvor en hacker formår at få fat eller et brugernavn og adgangskode, eller anden information, der letter en "vej ind" til firmasystemer, markere starten på et angreb, der også kan involvere andre cyberkriminalitetsteknikker . For eksempel kan en hacker bruge phishing til at kilde et kodeord og derefter starte et ransomware-angreb, når systemadgang blev opnået.

I hvilket omfang phishing er dækket af en cyberforsikringspolice kan mildest muligt variere. En temmelig skræmmende onlinekonto af et relateret krav kan findes her. I dette eksempel nægtede forsikringsselskabet at udbetale, fordi "politikken ikke dækkede administrerende direktørsvig eller kompromis med forretningsmail."

Dette bringer os tilbage til afsnittet om brugeruddannelse ovenfor. Hvis en medarbejder bliver narret til at give en hacker en direkte vej ind i virksomhedssystemer, kan krav på en cyberforsikringspolitik vise sig at være problematiske. Det eneste råd, vi virkelig kan give her, er at spørge, hvad der ville ske i et sådant scenarie (og få det skriftligt), før vi tager en politik - og ikke når det værste sker.

ransomware

Alle er hørt om løsepenge i disse dage. Det var løseprogram i centrum af et enormt globalt hack, der forstyrrede adskillige Blue Chip-virksomheder i begyndelsen af ​​2017, såvel som Storbritanniens National Health Service.

Folk tændte for deres computere for at finde ud af, at de ikke havde adgang til deres applikationer og filer; I stedet blev de konfronteret med en skærm, der krævede, at de udleverer en “løsepenge” for at få adgang til deres nu-krypterede datafiler. Den specifikke løsepenge ved denne lejlighed varierede fra $ 300-600 til cryptocurrency, Bitcoin. Til sidst lykkedes det hackerne at udbetale over $ 130.000 i Bitcoin som et resultat.

Ransomware-angreb har et specifikt sind: De behøver ikke forårsage nogen skade ud over forstyrrelser, så længe du har en sikkerhedskopi. Systemer kan geninstalleres, og så længe der er sikkerhedskopi af dataene, er det ikke nødvendigt at betale noget løsepenge.

Ransomware-problemer kan også ramme virksomheder i alle størrelser - ofte fordi takket være et phishing-angreb bliver et intetanende medarbejder narret til at installere noget, de ikke burde. Ransomware kan derfor være lige så meget et problem for en stor virksomhed, hvor den kan flyve rundt i et lokalnetværk, der krydsinficerer flere maskiner, som det kan for en freelancer uden en sikkerhedskopi, der mister adgang til alle deres kundedokumenter.

Cyberforsikringer inkluderer normalt bestemmelser for løsepenge, som kan udvides til at udbetale en løsepenge til hackerne. Den mest effektive beskyttelse mod ransomware kommer imidlertid i form af et bundsolid backup-regime. Hvis du er i stand til at gendanne dine data, kan hackerne ikke andet end at bryde dig.

Ransomware går ikke noget sted. Talrige undersøgelser viser, at frekvensen af ​​ransomware-infektion fortsætter en stratosfærisk stigning, herunder en, der siger, at et firma et sted nyligt er inficeret med ransomware hvert 40 sekund.

Overtrædelse af data

Mens nogle gange cyberangreb "kun" kan låse dig ud af dine data eller kompromittere din digitale sikkerhed, bliver tingene virkelig alvorlige, når de resulterer i et brud på kundedata. Hvis du er nødt til at indrømme over for dine kunder, at du ikke har forpligtet dig til at beskytte deres personlige oplysninger, er omdømmeskade alt undtagen garanteret. Der er desuden potentielle juridiske konsekvenser sammen med den stærke mulighed for, at dette tillidsbrud mister dig en vis forretning.

Mange af de høje profilerede cyberangreb, der rammer overskrifterne, indebærer et tab af kundedata. Equifax-overtrædelsen, som vi refererer til ovenfor, er det seneste i skrivende stund, men der har været mange flere hændelser i de senere år.

I 2013 Yahoo! blev ramt af et dataovertrædelse. Det fulgte flere år at komme med detaljer, men det blev til sidst klart, at overtrædelsens omfang var enorm, med tre milliarder brugerkonti påvirket. Andre enorme dataovertrædelser inkluderer et hack i 2011 på Sonys PlayStation Network, som for nogle kunder inkluderede frigivelse af deres kreditkortoplysninger. Derefter, i 2016, var der et brud på kundeinformation for 57 millioner Uber-brugere. Uber gjorde meget for at forene deres omdømme ved at dække hack i en længere periode.

Cyberforsikringer inkluderer normalt dækning til nøjagtigt denne type begivenheder, herunder hjælp til "kriseindeslutning", som kan omfatte hjælp til PR og kundeforholdsstyring. Når et system overtrædes og kundedetaljer afsløres for hackere, er der vidtrækkende konsekvenser, herunder udsigten til juridiske problemer med statslige regulatorer. Ved denne type hændelser kan cyberforsikring vise sig at være værdifuld for den ekspertstøtte, som et forsikringsselskab kan tilkalde, som det er for det finansielle sikkerhedsnet.

Og det sikkerhedsnet er også vigtigt; Som omtalt tidligere, er efterspørgslen efter Equifax-hacket først lige begyndt, og der er allerede retssager om klassehandlinger. Afhængig af den skade, der er gjort, kan den økonomiske virkning være enorm i disse situationer.

Forretningsafbrydelse

Forretningsafbrydelse går ofte hånd i hånd med en eller flere af de andre mulige virkninger af et cyberangreb. For eksempel er det usandsynligt, at et firma, der bruger sin tid på at pacifisere kunder, der har fået stjålet deres personlige oplysninger eller løber rundt på at gendanne sikkerhedskopier efter et ransomware-angreb, har tid og ressourcer til at koncentrere sig om den daglige drift af forretning korrekt og tjene penge.

For små virksomheder med begrænsede personaleressourcer er det denne afbrydelse, der kan skubbe en virksomhed til ruin. Kunder kan forsvinde natten over, hvis du ikke er i stand til at betjene dem. Som sådan kan en pludselig og uventet afslutning af strømmen af ​​"pengehane" vise sig katastrofal.

En mægler til forretningsforsikringsdækning i Australien har offentliggjort en række onlineeksempler på, hvor forsikringsselskaber har betalt for forretningsafbrydelse og tab af indtægter - ofte med seks og syvcifrede beløb. Forretningsafbrydelse kan vise sig at være en af ​​de mest betydningsfulde virkninger af et cyberangreb. Det er derfor ikke overraskende, at de fleste cyberforsikringer inkluderer bestemmelser for det. Hvis du ikke kan tjene indtægter, kan den rigtige politik erstatte den tabte indkomst, mens krisen er løst.

De vigtigste typer cybersikkerhedsforsikring

Ligesom bilforsikringspolicer ofte har forskellige bestemmelser for alt fra tredjepartsansvar til retlig beskyttelse, via mindre detaljer såsom beskyttelse af nøgletab og sammenbrud, har cyberforsikringspolitikker masser af komponenter..

I nogle tilfælde er forskellige beskyttelser tilgængelige som separate forsikringsprodukter eller som tilføjelser til et centralt produkt. Hvis du er ansvarlig for at købe cyberforsikring til en større virksomhed, kan du opleve, at du har brug for flere politikker til at dække alle risiciene. Mindre virksomheder kan opleve, at en "alt i én" cybersecurity-forsikring dækker alle de krævede baser. Som det altid er tilfældet, er det vigtigt at læse alle små bogstaver.

For at hjælpe dig med at forstå nogle af de typiske dele af en cyberforsikringspolicy er her nogle af de sektioner, du typisk vil se inden for disse produkter. Som nævnt kan du nogle gange have brug for mere end en politik for at dække alle de risici, du har brug for at afbøde.

Retssager og lovgivningsmæssig dækning

Denne form for dækning handler om de juridiske konsekvenser af at komme sig efter et cyberangreb. Det kan omfatte omkostningerne ved forsvar af en eller flere retssager eller betaling af en bøde til en statslig regulator i tilfælde af dataovertrædelse.

"Regulatory Response" -dækning kan være en del af dette eller måske tilbydes separat. Dette dækker yderligere omkostninger i henvisning til din virksomheds regulatoriske ansvar. For eksempel skal du muligvis foretage en retsmedicinsk undersøgelse for at afsløre detaljerne om, hvordan et cyberangreb fandt sted. "Beskyttelse af personlige oplysninger" forbinder også dette, hvis det bliver nødvendigt at kompensere kunderne for tabet af deres data.

Krisestyring / indeslutning

Som nævnt i afsnittet "dataovertrædelser" ovenfor involverer kriseinddæmning normalt forsikringsselskabet spiller en aktiv rolle i at komme sig efter efterspørgslen efter et cyberangreb. Det kan omfatte styring af din virksomheds interaktioner med utilfredse kunder eller pressen og etablering af en kommunikationsstrategi.

Denne type dækning kan give fordele ud over de økonomiske, fordi mindre virksomheder sandsynligvis ikke har et internt kommunikationsteam med erfaring med at håndtere sådanne begivenheder.

Overtrædelsesomkostninger / skadesdækning

At reparere skaderne, der er foretaget af hackere, kan ofte koste et betydeligt beløb. Systemer skal muligvis repareres eller udskiftes, hvilket resulterer i uventede udgifter, som du vil forsikre mod.

Omkostningerne ved at inddrive a fra et brud kan også omfatte at stille visse tjenester tilgængelige for berørte kunder. At vende tilbage til det store Equifax-brud i stor skala måtte virksomheden stille kreditovervågningstjenester til rådighed for de berørte kunder. Dette er ret standard i situationer, hvor personlige (især økonomiske) detaljer er blevet kompromitteret.

Afpresningsdæksel

Ingen kan lide at tro, at nogle gange hackere slipper af med deres forbrydelser til det punkt, at de faktisk får betalt deres ønskede løsepenge! Rapporter antyder imidlertid, at selv FBI undertiden anbefaler betaling af en løsepenge i visse hacking-scenarier.

Der er mulighed for afdækning for at finansiere betalingen af ​​en sådan løsepenge, hvis situationen dikterer, at det er den bedste handlingsvej.

Multimedias ansvar

Selvom dækning af multimedialansvar ikke rigtig meget har at gøre med hacking-scenarier, er den ofte inkluderet i eller tilbudt som en "bolt-on" til cyberforsikringspolicer.

Denne type dækning beskytter din virksomhed i situationer, hvor nogen ved en fejltagelse krænker ophavsret, f.eks. Ved at bruge et copyrightbeskyttet billede ved en fejltagelse.

Sådan bliver du cyber-forsikret?

At finde det rigtige Cybersecurity-forsikringsprodukt kan være en involveret proces. Det er heller ikke en, der skal tage let, da det at være en forsikring, der ikke ender med at udbetale, ikke er bedre end at have nogen forsikring overhovedet.

Før man ser på nogle muligheder, er det vigtigt at understrege, at forsikringspolitikker og relaterede love kan variere markant fra land til land. Når vi undersøgte denne artikel, så vi mest på de amerikanske og amerikanske forsikringsmarkeder, der har masser af ligheder, men mange lande har deres individuelle forældre.

Mens en Google-søgning efter "cyberforsikring" giver masser af øjeblikkelige resultater og det fristende forslag om "øjeblikkelig dækning", er det sjældent klogt at bare "finde og købe." Som med alle forsikringer, er det vigtigt at sikre, at forsikringsselskabet forstår fuldt ud din virksomhed og citerer i overensstemmelse hermed. Ideelt set bør du sigte mod en politik, der er fuldt ud garanteret af et forsikringsselskab, der forstår din virksomhed, hvad den gør, og hvad dine sandsynlige cyberrisici er. For dem, der ikke synes om udsigten til at bruge tid på telefonen på at besvare spørgsmål, er dette måske dårlige nyheder, men også en uundgåelig virkelighed.

En særlig detalje at sikre er klar er, i hvilke lande du udfører arbejde inden for. For eksempel kan en politik fra et britisk forsikringsselskab kun dække arbejde, der udføres i Det Forenede Kongerige, eller måske Europa. Hvis du også driver mere global forretning, skal du være sikker på, at forsikringsselskabet er opmærksom på. Desværre skubber denne detalje ofte prisen op!

En betroet forsikringsmægler kan vise sig at være nyttig her, så længe der lægges vægt på ”betroet!” Nogle mæglere er lidt mere end sælgere, der skubber deres klienter hen imod de politikker, der tjener dem mest provision. Desuden er cyberforsikring et relativt nyt produkt på markedet, så ikke alle "én størrelse passer til alle" forsikringsmæglere vil have et stærkt kendskab til det.

Hvis du køber cyberforsikring til et stort firma, er chancerne for, at du vil involvere dit juridiske team og foretage omfattende due diligence, før du tilmelder dig. Mindre virksomheder og "en-mand-bands" bliver nødt til at tilfredsstille den bedst mulige kombination af mæglersupport, detaljeret læsning af politiske vilkår og betingelser, produktsammenligning og stille mange relevante spørgsmål. Unødvendigt at sige, hvis du søger afklaring af fine detaljer, skal du skubbe for at få svarene skriftligt.

Som udgangspunkt for at lære, hvad man skal kigge efter, her er detaljer om typiske cyberforsikringspolitikker fra små virksomheder fra Hiscox i England og Hiscox i USA. Bemærk, at dette ikke er anbefalinger, men blot er inkluderet her, da de er helt klare eksempler på, hvad man kan forvente.

Repræsentanter for større virksomheder bliver nødt til at tale direkte med forsikringsselskaber eller arbejde gennem en mægler. Som nævnt er en betroet mægler også et aktiv for en lille virksomhed, så længe de ikke blot hager produkter på vegne af et enkelt forsikringsselskab.

Der er heller ikke noget at sige, at cyberforsikringsprodukterne, der vises på en Google-søgning, ikke er værd at det papir, de er skrevet på. Så længe du læser den lille bogstav og vælger et kendt og betroet firma, kan de godt passe til regningen. Vær dog opmærksom på bare at gribe en politik for at have en. Forsikringsselskaber har ingen problemer med at tage præmiebetalinger fra nye kunder - spørgsmålene vil dog opstå på kravstidspunktet. Det giver meget mere mening at besvare så mange spørgsmål som muligt, før du tilmelder dig en politik.

Konklusion om cybersikkerhedsforsikring

Undertiden i livet er det klogt at være lidt paranoid. Når det kommer til cybersikkerhed i erhvervslivet, er det almindelig fornuft at være sådan. Dette gælder især i en verden, hvor vi konstant får vist statistikker, der beviser, at ting som phishing og ransomware bliver mere et problem og ikke mindre af et.

På ProPrivacy.com har vi et væld af ressourcer til rådighed til at hjælpe dig med at lære mere om cybersikkerhed og beskytte dit online privatliv, lige fra adgangskodecontrollere til detaljerede artikler om den slags trusler til beskyttelse af personlige oplysninger, du skal passe på. Vi opfordrer aktivt alle til at holde øje med den seneste udvikling i verden af ​​cybersikkerhed, fordi vi kan være sikre på, at inden for et år fra nu vil mange flere Equifax- og Yahoo-stilhændelser have ramt overskrifterne.

Hvis du driver en lille virksomhed og bliver ramt af en cyberattack, når den sandsynligvis ikke de nationale nyheder, men det betyder ikke, at den ikke vil ødelægge din virksomhed eller i det mindste koste dig dyre med hensyn til finans og omdømme. Cyberforsikring beskytter ikke dig mod enhver opportunistisk hacker, men den køber dig noget ro i sindet, og en vis support og økonomisk backup, hvis det værste skulle ske.

En nylig CNBC-rapport afslørede, at 87 procent af SMV-ejere “ikke føler, at de risikerer et cybersikkerhedsangreb.” Den samme rapport viser, at 14 millioner amerikanske virksomheder er blevet hacket i de sidste 12 måneder. Det er omkring halvdelen af ​​de små virksomheder i landet, og det samme antal eller flere kan forvente, at de bliver det kommende år. Uanset hvilken måde du ser på det, så er der en rigtig masse selskabsejere til en uhøflig opvågning i 2018 og videre.

Med det i tankerne overlader vi dig til at beslutte, om cyberforsikring er værd at investere i.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me