IT og Forsikring - Muligheder og risici ved årtusindskiftet – kan vi og skal vi?

148 IT-udviklingen fra Makro- teknologi til Mikroteknologi Ser vi på udviklingen i Danmark fra 1970 til nu, har den primært været præget af store synlige milepæle såsom: Kildeskattesystemet fra 70’erne, efterfulgt af PBS – De globale centrale betalingssyste- mer, herunder Dankort Værdipapircentral. Dette er blot eksempler på anvendelse af teknologien i en god sammenblanding af direkte omlægning og rationalisering af ma- nuelle rutiner til innovativ udvikling af f.eks. Dankortsystemet, hvis centrale sikkerheds- mæssige verifikation af betalinger stadig er Denne artikel beskriver nogle af de overvejelser, der gør sig gældende – ikke ud fra en strategisk eller markeds- mæssig behovsanalyse, men ud fra de praktiske mulig- heder, der tegner sig idag. af Carsten Stenstrøm, Edb-sikkerhedschef i Codan forsikring IT og Forsikring Muligheder og risici ved årtusindskiftet – kan vi og skal vi? Carsten Stenstrøm en god sikkerhedsmæssig og troværdig løs- ning. Elementer i disse indebar ligeledes BPR-elementer ”Business Process Reengi- neering” før begrebet blev opfundet. (Læs i øvrigt i NFT1/1997 hvordan man gør det idag.) Udover Dankortsystemet var disse systemkomplekser ikke designet til direkte kundebrug. IT-anvendelsen skifter karakter Indberetninger til Told og Skat har ændret karakter fra at være et kontrolgrundlag, som burde være korrekt, til direkte grundlag for skattebetalinger, som skal være korrekte. En sådan ændring af anvendelsen sætter nye og skærpede krav til kvaliteten af data, grænse- flader og kontrolprocedurer. NFT 2/1997 149 Afhængigheden af edb er fundamental for det moderne samfunds drift. Fælles for disse systemer er imidlertid: De er store og er baseret på centrale compu- tersystemer De er generelt omgivet af gode kontrol- og sikkerhedrutiner Tilliden i befolkningen ligger på et højt niveau – på trods af almen sund skepsis. Hovedparten af datakommunikationen er til og fra de centrale systemer Fokus er i de senere år rettet mod den enkelte person/virksomhed, hvilket især pc’en og andre mindre systemer har en del af æren for. Det, der binder tingene sammen, er elek- tronisk datakommunikation. Dette er grund- laget for Internettet, EDI (Dokumentudveks- ling) og hjemmearbejdspladser. Midt i begejstringen for den fagre nye verden ligger nogle udfordringer her og nu , men også nogle muligheder på længere sigt. Udfordringerne her og nu – og mulighederne på længere sigt I disse år op til årtusindskiftet er der fokusom- råder, som ikke alene vedrører forsikring men det meste af IT-branchen. Det er: År 2000 problematikken Internettet Home/Office banking-Home/Office insu- rance Ømu-en – den fælles møntenhed Det kan konstateres, at der er en bred medie- dækning af disse emner, da det alle er emner, der gør IT-debatten mere vedkommende for den enkelte borger. Internettet har dog klart den største bevågenhed i debatten. År 2000 Denne udfordring er jo klart forudsigelig. Dette er en opgave, hvor ordet ”deadline” får en ny dimension. Med usvigelig sikkerhed nærmer datoen sig og påvirker alt lige fra virksomhedernes centrale systemer til den enkelte pc. Dette kunne selvfølgeligt være forudset, men det er faktum, at edb-systemer ofte lever længere end først antaget, hvilket ofte bunder i, at systemudvikling på kort sigt er meget omkostningskrævende. Dette har medført, at en del systemer mod forventning lever ind i det næste årtusinde. Der er her to muligheder: at ignorere, at det er et problem, hvilket er yderst risikabelt- eller at tage udfordringen op. Det må her forventes, at alle større virksom- heder laver en foranalyse og herefter vurderer, om der er behov for et projekt, der tager hånd om alle problemstillinger i forbindelse her- med. De fleste større virksomheder inden for den finansielle sektor har valgt at etablere egent- lige projekter, for derigennem at skabe størst sikkerhed for, at alle hjørner tages med. Det bør i denne forbindelse ikke overraske, at der blandt Finanstilsynets edb-revisorer og Interne- og eksterne revisorer generelt er fokus på dette, som en meget væsentlig opgave. Et godt udgangspunkt er en selvstændig projektledelse/organisation, som udarbejder handlingsplaner for gennemgangen heraf. For de fleste forsikringsselskaber vurderes dette som en stor og kompleks opgave, der trækker ressourser i enhver IT-organisation. Internettet – fra ”Landeveje til motorveje” Codan var det første forsikringsselskab i Dan- mark med en præsentationsside (homepage/ hjemmeside) på Internettet. Flere er kommet eller kommer til. Det er vigtigt hele tiden at komme med nye interessante tilbud på præ- sentationssiderne. Internettet, hvis rødder går tilbage til 60’erne, og hvis idegrundlag var at gøre edb-netværk mindre sårbare, er derfor en 150 gammel nyhed. Når Internettet er interessant i blandt andet forsikring, er det fordi infrastrukturen er ved at være på plads. Der er god dækning af såvel Internetudbydere (de knudepunkter man er opkoblet til) som pc’ere i virksomheder og i private hjem, som er forudsætningen for denne kommunikation. Den grafiske grænseflade gør det præsentabelt for brugerne. Tænd for skærmen – klik på forsikring – Klik på billedet af huset og beregn hvad din forsik- ring koster – eller send post for mere informa- tion. Hvordan det reelt påvirker salget er svært at forudsige, men kunder, og her tænkes ikke kun på den yngre generation, forventer at virksomhederne er med på internetbølgen. Leg og beslutning om køb af ydelser hænger uløseligt sammen på nettet. Nettet har et kraftigt element af leg. På Cambridge Universitetet er der f.eks. en bil- lede af en kaffekolbe. Ideen var, at de stude- rende ikke skulle gå forgæves til møderummet for at drikke en kop kaffe, hvorfor der blev opstillet et kamera , som en gang i minuttet stadig sender et billede ud på Internettet, så alle kan se, om der er kaffe på kanden. Dette kan man selvfølgelig også konstatere i Berlin og Bjerringbro, men det har formentlig mindre praktisk interesse. Det er dog stadig en af de mest besøgte sider. ”Motorvejen” gør afstan- dene kortere. Ideen kunne bruges til almindelig overvåg- ning af fabriksanlæg med digital dokumenta- tion. Mere gennemarbejdet kunne konceptet måske bruges ved skader på biler, huse og skibe, hvor man kan affotografere skadernes opfang, uden at taksatorerne er fysisk til stede. En mulighed som giver nye udfordrin- ger sparer tid, men selvfølgelig også skaber nye risici. Home/Office banking- Home/Office insurance Der er i de sidste 2 år sket en eksplosion inden for Homebanking hos banker og sparekasser i Danmark. Udover massiv markedsføring, må noget af succes’en tilskrives de objekt orienterede grafiske grænseflader. Kunden klikker på de ikoner, der repræ- senterer konti - aftaler - betalinger m.v. Betalinger til 3. mand er et af nøgleordene i disse systemer – nye muligheder med nye risici. Dette er kun gjort forsvarligt som følge af en bevidst sikkerhedsstrategi med krypte- ring, som sikrer høj grad af beskyttelse af kunden – og banken. Balancegangen består i at gøre systemerne sikre uden at gøre det besværligt for kunden. Systemet skal være transparent for brugeren. Uden at komme med en belæring om sikker- hedsmæssige principper skal følgende dog slås fast: ”Der skal ved alle åbne systemer tænkes på kompenserende kontroller”. Hvis systemet brydes, hvad er konsekven- sen af dette? Hvordan afdækker vi den? Kom- penserende kontroller kan i dette tilfælde være beløbsbegrænsning eller dækningskon- trol. ”Der må aldrig satses på, at een ringmur om byen skaber den fornødne sikkerhed” Home/office Insurance er en nærliggende mulighed i relation til bankernes home/office- banking. Analogt med dette kunne kunden privat som erhvervsmæssigt betjene sig selv både inden for skadesområdet som liv- og pensionsområdet inden for de rammer, der ligger i kundes engagement. Uagtet at forsik- ring i forhold til bankforretninger er trans- aktionsmæssigt lavfrekvent, kunne det være en mulighed, at f.eks. privatkunden fik et altid opdateret billede af dækning, herunder ad- varsel ved f.eks. underforsikring – med mer- salg til følge efter kundens behov. Konkur- renceparametrene vil her ligge i præsenta- tionen af disse hos de enkelte forsikringssel- skaber. På det edb-sikkerhedsmæssige område skal der hos kunderne skabes tillid til, at oplysnin- 151 ger ikke ved fejl kommer andre til kendskab, og at aktiver kan flyttes af uvedkommende. Det er sikkerhedsmæssige opgaver, som in- volverer mange led i IT-organisationen. Når jeg har valgt at tage disse ting med som udfordringer ”her og nu”, er det for at frem- hæve det tidsmæssigt aktuelle, at gør een virksomhed noget, følger andre hurtigt trop. Om det er på internettet eller anden kommu- nikationsform er af mindre betydning. Ømu-en – den fælles møntenhed Uagtet at de politiske vinde ofte skaber usik- kerhed om den praktiske anvendelse fra ECU til EURO, er håndteringen af dette en del overvejelser værd. Enten fortsat at betragte dette som endnu en valuta, eller designe systemerne således at det er en integreret del på lige fod med danske kroner. Det sidste er den store udfording. Mulighederne på længere sigt Mulighederne er kun begrænset af fantasien og økonomien. Selvom pc’er og kommunika- tionsudstyr bliver stadigt billigere, stiger be- hovet eller det skabte behov endnu kraftigere. Taler vi om priser og edb gælder den gamle regel om, at ”Et hvilken som helst tal multi- pliceret med antallet af computere – bliver ALTID et stort tal”. Behovet stiger altid mere end de bedste forudsigelser, baseret på konkret viden på budgetteringstidpunktet. Integration er nøgleordet i de kommende år. Edb-systemerne er bundet sammen, græn- sefladerne er klare, EDI klarer dokumentud- veksling mellem virksomhederne, hvis det ikke kan klares med almindelig elektronisk post. De nye muligheder ligger i præsentationen af data, således at der fra den enkelte arbejds- plads samles de data, den enkelte medarbej- ders arbejdsfunktion kræver, og at data under skyldig hensyntagen til autorisation og sik- kerhed indtastes een gang og kun een gang i alle handlingskæder. Dette forudsætter, at brugersystemerne har fælles grænseflader. Den grafiske layout- mæssige brugergrænseflade vil se ens ud uagtet, om der arbejdes med tekstbehandling eller finansbogføringssystemer. Erhvervs- og privatsystemer vil ligeledes smelte sammen som fælles skærmbilleder. Forskellen vil være at finde i den underliggende funktionalitet og produkterne. Om den enkelte bruger sidder på sin ar- bejdsplads eller hjemme vil ikke ændre på mulighederne. Nødvendige data vil være til rådighed begge steder. En ting er næsten usvigeligt sikkert. Der vil ikke være een model der er den ”rigtige” i diskussionen om traditionel arbejdsplads eller hjemmarbejdsplads. Dette afhænger af arbejdsopgaverne, synergieffekten kollegaer imellem, økonomi, private forhold som bolig, børnepasning osv. For kunderne kan det være frihed til at ordne forretninger via pc’er, TV og Internet eller via traditionelle salgskanaler. Under denne palet af muligheder skal IT- sikkerheden være på plads, i form af et tæt samarbejde mellem systemejere/bruger og de respektive systemafdelinger. En af de vigtige parametre i sikring af denne globale kommunikation er muligheden for fri kryptering af erhvervsmæssig elektro- nisk kommunikation. Den Danske IT-sikkerhedspolitik – begrænsning eller mulighed I 1995 nedsatte den danske regering et IT- sikkerhedsråd, som skulle udarbejde en sik- kerhedspolitik. En sikkerhedspolitik er det ikke blevet til. Til gengæld er der taget stilling til række problemstillinger herunder, at krypt- ering bør være generelt tilgængeligt. Det vil 152 Afslutning Kan og skal vi benytte de tekniske muligheder inden for IT, fordi det er teknisk muligt? Vi skal ikke nødvendigvis gøre det – heller ikke selvom der er ”fri hastighed på informa- tionsmotorvejen” – men overstiger benefit- cost, og her især benefit for forsikringskun- derne, er det et forsøg værd – selvom risiciene giver nye udfordringer – Infosamfundet er for alle –. klart være en styrke for den finansielle sektor, hvis denne holdning fastholdes, således at datatransmission kan beskyttes på et højt ni- veau uden fordyrende administrative syste- mer a.h.t. efterforskning. Problemet er, at krimminelle personer kan anvende kryptering til at dække over krimminelle handlinger. En evt. restriktiv lovgivning vil medføre admi- nistrative omkostninger for især den finan- sielle sektor Efterlysning Kanske sitter Du på något bra material som skulle kunna vara underlag till en artikel i Nordisk Försäkringstidskrift? Vi tar gärna emot uppslag. Vi är för övrigt också tacksamma för alla synpunkter på tidskriften och idéer till hur den kan göras bättre. Kontakta oss gärna per brev, telefon eller fax. Redaktörerna Erik B. Johansen A/S Forsikringsselskabet CODAN Gl. Kongevej 60 DK-1790 København V Tel. +45-31 21 21 21 Fax +45-31 21 21 22 Tor Eivind Høyland/Ove Røinesdal Norges Forsikringsforbund Hansteens gate 2, Postboks 2473 Solli N-0202 Oslo 2 Tel. +47-22 04 85 00 Fax +47 22 44 88 84 Sulevi Pellinen Finska Försäkringsbolagens Centralförbund Bulevarden 28 FIN-00120 Helsingfors Tel. +358-9-680 401 Fax +358-9-680 40255 Birgitta Bahrke/Karin Lidström Svenska Försäkringsföreningen Slöjdgatan 9, 3 tr S-115 87 Stockholm Tel. +46-8-24 28 62 Fax +46-8-24 13 20

BilagaStorlek
45.76 KB