─ Digitaliseringens effekter i verksamheten, liksom skiftet till immateriella tillgångar, är i dag grund för det verkliga värdet i många företag. Frågan är då vad det är som vi måste skydda? Svaret tar sitt avstamp i risk management och krav ställs på försäkringsmarknaden att erbjuda en innovativ försäkringslösning för cyberrisker, med tillräcklig försäkringskapacitet.
Det här konstaterade Johan Hedenstedt när han i slutet av oktober var en av talarna på Svenska Försäkringsföreningens juridikseminarium. Johan kom i september till det i Sverige nystartade bolaget DUAL Nordics – med inriktning som Underwriting Agency ─ där han har ansvaret för cyberförsäkringar. DUAL Nordics är filial till DUAL Group som finns etablerat i 21 länder.
Johan inledde sin presentation med att referera till den undersökning som Allianz publicerar varje år – Allianz Risk Barometer. I årets barometer, som bygger på enkätsvar från över 2700 risk managers i mer än 90 länder, framgår det att cyberbrott anses vara den största risken, såväl i Sverige som globalt. Det handlar främst om lösensummor och dataintrång/GDPR-överträdelser.
─ Mest skadedrivande är cyberincidenter som orsakar verksamhetsavbrott, sa Johan och berättade samtidigt att cyberexpertis är en bristvara:
─ Man räknar med att det globalt saknas omkring 3,5 miljoner personer med den kompetensen. Många företag anlitar externa konsulter, men de är inte heller tillräckligt många.
Föredömligt exempel av Norsk Hydro
För att illustrera vad ett cyberbrott konkret kan innebära, tog Johan upp cyberangreppet mot Norsk Hydro 2019 som exempel. En medarbetare råkade klicka på en bilaga i ett dokument, vilket ledde till att angriparen tog full kontroll över företagets IT-miljö. Omkring 35000 medarbetare drabbades, när produktionslinjer vid 170 tillverkningsenheter stannade. Den finansiella skadan uppgick till minst 70 miljoner dollar.
─ Angriparen begärde en lösensumma i bitcoin. Men Norsk Hydro tog två viktiga beslut. Det ena var att ingen lösensumma skulle betalas och det andra var att hålla full transparens i fråga om alla åtgärder som företaget vidtog. För mig framstår det här som ett föredömligt exempel på hur ett företag i många fall bör agera vid sådana här händelser.
(För den som är intresserad av att fördjupa sig i Norsk Hydros agerande, hänvisas till deras hemsida.)
Det finns ett antal olika skadehändelser inom det här området, som det går att försäkra. De går att gruppera i tre olika typer:
· Cyberangrepp (till exempel ransomware/lösensummor, riktade angrepp, DDOS-attack – dvs. en teknik som utnyttjar att ett stort antal datorer deltar i attacken)
· Systemfel (till exempel att en anställd orsakar fel i IT-miljön, felkonfiguration)
· Dataintrång (till exempel felbehandling eller förlust av persondata/konfidentiella data)
Vad är en cyberförsäkring?
Johan övergick sedan till att berätta om vad cyberförsäkring är för något. I grunden är en sådan försäkring en hybrid mellan första- och tredjepartsförsäkring.
Ur ett förstapartsperspektiv täcker försäkringen normalt incidenthantering, återställning av data, verksamhetsavbrott (både i den egna miljön och i sådan IT-miljö som outsourcas till en tredje part, exempelvis som en molntjänst) samt vid utpressning. När det gäller tredjepartsperspektivet brukar i cyberförsäkringen ingå s.k. Network security liability (ansvar för nedgång i nätverk i till exempel i en kundmiljö) och Confidentiality & privacy liability (sekretess och sekretessansvar). Dessutom ingår mediaansvar normalt i försäkringen.
Finns undantag
Det finns också ett antal vanliga undantag i cyberförsäkringarna.
─ Ett sådant undantag är i händelse av krig eller terrorism. Frågan är hur man applicerar traditionella krigsundantag för cyberangrepp? Därför har Lloyds of London publicerat nya krigsundantag som specifikt tar sikte på cyberkrigsföring.
Ett annat undantag gäller vid avbrott i infrastrukturen, till exempel elavbrott på grund av att elnätet går ner. Förlust av pengar, till exempel genom bedrägeri, kan vara ett ytterligare undantag.
Person- och sakskador kan också vara undantagna från en cyberförsäkring, eftersom dessa brukar under vissa förutsättningar täckas av andra typer av försäkringar.
Johan tog till sist upp legala perspektiv med cyberförsäkringar.
─ Inte sällan så omfattar cyberförsäkringar i marknaden den administrativa sanktionsavgiften enligt GDPR så länge det är försäkringsbart. I och med Finansinspektionens rättsliga ställningstagande i slutet av juni i år så är det nu avgjort att det inte är förenligt med god försäkringsstandard att försäkra sanktionsavgiften. Detta avgörande är bra för försäkringsbranschen eftersom det nu är tydligt vad som gäller i en tidigare oklar fråga gällande ett substantiellt skydd i villkoret.
