Livredde for datakriminalitet

Den stadig økende risikoen for kostbare cyberangrep mot bedrifter verden rundt gjør at markedet for salg av datakriminalitetsforsikringer får en voldsom vekst.

Ifølge en fersk internasjonal rapport vil verdien av disse øke med nærmere 300 prosent de neste fem årene.

Men svært mange norske bedriftsledere har ikke forstått alvoret, ifølge partner i BDO og leder av deres Cybersecurity-avdeling, Andreas Vogt.

Til tross for dette vokser markedet, også her hjemme:

– Så langt i 2018 har vi hatt en vekst på rundt 25 prosent. Selv om datakriminalitetsforsikringer er et forholdsvis nytt produkt for oss, ser vi at etterspørselen følger antall virksomheter som har opplevd et dataangrep, sier produktspesialist hos If Forsikring, Elmas Bećirović.

Den globale rapporten fra New Market Research anslår at markedet for salg av datakriminalitetsforsikring vil øke fra 4,52 milliarder dollar i 2017 til hele 17,55 milliarder dollar i 2023. Hovedgrunnen er en forventning om stadig flere dataangrep og økt bruk av skybaserte tjenester. Bare i fjor gikk alarmen hele 22.000 ganger hos Nasjonal sikkerhetsmyndighet (NSM). Det var en økning på 10 prosent sammenlignet med året før. Hele 5200 av disse uønskede sikkerhetshendelsene var så alvorlige at de ble fulgt opp av NSM i etterkant. Ifølge Næringslivets sikkerhetsråds nye rapport, Mørketallsundersøkelsen 2018, ble hver femte norske virksomhet utsatt for virus eller skadevareinfeksjon i fjor.

Det finnes ingen god oversikt over hvor mange norske virksomheter som har tegnet forsikring for å beskytte seg mot den økende cyberkriminaliteten, men Bećirović mener at det vil bli like naturlig å forsikre seg mot datakriminalitet som det er like naturlig å forsikre huset sitt mot innbrudd.

Den største bekymringen

Ifølge en lederundersøkelse utført for BDO tidligere i år, er frykten for dataangrep den aller største bekymringen blant norske ledere. Den er større enn frykten for både finanskrise, massive tap av arbeidskraft og korrupsjon.

– Dataangrep kan koste en bedrift enormt mye, både i omdømmetap, erstatningskrav og nedetid for kritiske systemer. Med dagens trusselnivå er det helt naturlig at de frykter dataangrep, sier Andreas Vogt i BDO.

En utfordring med datakriminalitetsforsikringen i dagens digitale trusselbilde er de potensielt store og uoversiktlige tapene en virksomhet kan få når de blir rammet. If har derfor valgt å kreve at kunder hos dem har såkalt totrinns pålogging og sikkerhetsbackup, samt at denne backupen blir lagret sikkert.

If Forsikring og BDO Cybersecurity har nå valgt å gå sammen om et produkt som er spesialtilpasset i både innhold og pris for små og mellomstore virksomheter. Her får virksomheten BDOs egen IT-sikkerhetsløsning, Protect, hvor de tar på seg ansvaret med å sikre virksomheten mot angrep og overvåker IT-nettverket. Også opplæring av de ansatte er en del av denne pakkeløsningen. Skulle det allikevel gå galt, tar forsikringen seg av det.

– Må gå på en smell før de skjønner alvoret

Andreas Vogt forteller at mange bedrifter ennå ikke har prioritert å ta sikkerhet på alvor.

– Det er flere årsaker til dette: Enten forstår de ikke omfanget av dette. Mange tror at de er dekket gjennom sin interne IT-ansvarlige. Så er det noen som synes det er for dyrt. Det er først når de har gått på en smell at de forstår alvoret, sier Vogt.

Ifølge BDOs småbedriftsundersøkelse er det et stort behov i SMB-markedet for et profesjonelt cyberforsvar som er effektivt og ikke for kostbart. Til tross for at lederne i hver femte norske små eller mellomstore virksomhet vurderer faren for dataangrep mot egen virksomhet til å være stor, sier hele en av fire at de ikke har investert i en komplett IT-løsning fordi det er for dyrt, selv om de har behov for det. Bare en av ti små og mellomstore virksomheter har fått utført sårbarhetsanalyser, som penetrasjonstester og lignende, av sitt IT-system og nettverk. Det er det samme antallet som har benyttet seg av eksterne sikkerhetsanalytikere i sitt cybersikkerhetsprogram.

Vogt forklarer at lederne i større bedrifter er mer redde for dataangrep fordi de har sett konsekvensene av hva de kan innebære.

– Konsekvensene kan bety at bedriften kan gå dukken av alvorlige angrep, sier han.

Vogt tror det er et stort behov for en rimelig og effektiv IT-sikkerhetsløsning som er skreddersydd for små og mellomstore virksomheter. Ifølge Mørketallsundersøkelsen kostet en alvorlig hendelse i snitt 54.000 kroner. De norske virksomhetene som var hardest rammet, måtte ut med to millioner kroner.

– Dagens komplekse trusselbilde gjør også at det spesielt for de små og mellomstore virksomhetene nærmest er umulig å få kontrollen. IT-sikkerhet vil også i dette markedet i stadig økende grad bli en tjeneste man setter bort. Det er for viktig og kostbart å la være, sier Vogt.