I starten af juni hævede Center for Cybersikkerhed trusselsniveauet for destruktive cyberangreb fra lav til middel. Vurderingen lød, at Rusland sandsynligvis er blevet mere risikovillig til at bruge hybride virkemidler mod bl.a. Danmark.
Truslen mod danske virksomheder er en realitet, men er en kriseplan det eneste forsvar mod den stigende cybertrussel?
“Cybertruslen mod virksomheder er i den grad reel,” udtaler Søren Stryger, Chief Broking Officer for Cyberforsikring i Aon, EMEA. “Både databrud, altså mistede eller lækkede data, og ransomware-angreb, hvor data krypteres med krav om løsesum, præger i høj grad dagligdagen hos vores kunder.”
Hos Aon, som er ét af verdens største rådgivningshuse, blev en markant stigning i antallet af ransomware-angreb i 2023 registreret, og stigningen er fortsat ind i 2024.
Faktisk er frekvensen af angreb steget med 214 procent på verdensplan (Kilde: How to Navigate the EMEA Cyber Risk Insurance Market | Aon).
Få danske virksomheder har en cyberforsikring
“Vi har ikke konkrete tal, men vores skøn er, at kun omkring 10-15 procent af mellemstore virksomhederne har en cyberforsikring. Ofte hører vi fra kunderne, at de har svært ved at se truslen for deres specifikke virksomhed. Mange mener, at deres risiko ikke er ”interessant” nok for IT-kriminelle at fokusere på. Det er dog ikke det billede, vi ser hos Aon. Cyberhændelser sker på tværs af brancher og industrier, uanset virksomhedens størrelse, og overvejelser omkring cyberforsikring bør i den grad være en del af migreringen mod cybertruslen” forklarer Søren Stryger.
Store tab for virksomhederne
Et helt konkret eksempel er en af Aons klienter, som netop har været påvirket af et ransomware-angreb. Angrebet ramte ikke klienten, men derimod deres IT-leverandør i Norden. Hændelsen resulterede i, at et stort antal virtuelle servere er blevet utilgængelige. Klienten, hvis kunder inkluderer både virksomheder og enkeltpersoner, står over for et større databrud med sensitive persondata involveret. Serverne, inklusive backups, er tabt, og det samlede tab forventes at overstige større to cifret millionbeløb.
“Dette er desværre ikke et enestående tilfælde,” fortæller Mathias Bauch, Senior Cyber forsikringsmægler hos Aon, der var involveret som rådgiver for kunden i den pågældende sag og tilføjer:
“Vi ser ofte, at risici for en virksomheds drift ikke kun styres af virksomheden selv, men også af tredjepartsleverandører. Cybersikkerheden skal altid være det primære i en organisation, og forsikringen skal komplementere cybersikkerhedsstrategien (...) Det er utroligt vigtigt, at virksomheder forstår virksomhedens risikoprofil, og konstant opdaterer sig omkring cybersikkerheden,” understreger Senior Cyber risikokonsulent hos Aon, Emil Nielsen.
Beredskab og risikohåndtering
I Aon mener de, at der bør være et tæt samarbejde mellem IT og ledelse for at forstå virksomhedens drift og værdikæde samt de kritiske scenarier, der kan påvirke dem fra et cyberperspektiv.
Ifølge Emil Nielsen er det vigtigt, at virksomhederne har udarbejdet en cyberberedskabsplan i tilfælde af angreb:
Hvem skal der ringes til, og hvem har ansvaret for at håndtere hændelsen?
Hvordan skal systemerne genoprettes?
Hvad kan virksomheden selv gøre for at opretholde driften?
Hvordan kan virksomheden beskytte bundlinjen mod de tab og omkostninger, som kan forventes ved en cyberhændelse?
Den konkrete skadesag er fortsat under behandling, og mens IT-leverandøren ikke anerkender ansvar for klientens tab, er dialogen med forsikringsselskabet fornuftig, og sandsynligheden for kompensation er god. Mathias Bauch pointerer dog, at ingen forsikring dækker alt, og vigtigheden af risikoforbedrende tiltag fremhæves.
Mens cybertruslen hænger over danske virksomheder, ser Aon stadigvæk, at mange virksomheder ikke investerer nok. “Det bedste råd, vi kan give virksomhederne, er at tage truslen alvorligt og være forberedt og opdateret for at kunne håndtere truslerne effektivt”, afslutter Søren Stryger.
Aons råd til virksomheder
Samarbejd med hele organisationen, rådgivere, og IT-leverandører for at få det rette billede af jeres risiko.
Undersøg mulighederne for at opbevare kopier af data lokalt.
Kvantificér risikoen for at tage velinformerede beslutninger om nødvendige investeringer.
Forsikringer skal komplementere cybersikkerhedsstrategien– ikke omvendt.
Skræddersy og forstå virksomhedens forsikringsløsning, så den passer til organisationen og dens behov.