Hackerangreb i din virksomhed kan karakteriseres som alt fra træls til katastrofalt.
For der er stor forskel på, om der er tale om drengestreger eller målrettet industrispionage i milliardklassen, hvor de lyssky bagmænd er stukket af sted med virksomhedens femårs-plan.
Hvis du har haft ubudne gæster i dit netværk eller på virksomhedens computere, er det muligt at tegne en hackerforsikring, der er meget lig de almindelige kriminalitetsforsikringer.
For med et stigende antal hackerangreb i Danmark har flere forsikringsselskaber fået cyberforsikringer på menukortet.
Fra netbank til fuld dækning
Udbuddet af disse forsikringer startede i Danmark for godt fem år siden, hvor (typisk) mindre virksomheder kunne forsikre sig mod deres indestående i netbanker.
Det skyldes, at virksomheder modsat privatpersoner selv hæfter for tab i netbanken.
Siden er repertoiret inden for hackerforsikringerne skudt i alle mulige retninger.
I dag dækker hackerforsikringer alt fra tab og genetablering af data over forsikring mod elektronisk pengeafpresning til forsinkelse af projektafleveringer og efterfølgende pr-arbejde som følge af imagetab i kølvandet på et hackerangreb.
Grundet det nye og noget brogede marked kan det det derfor også være en jungle at komme i gang med at tegne en forsikring til sikring af skader forårsaget som følge af hackerangreb.
Kender ikke egne risici
Et af de selskaber, der har specialiseret sig i at hjælpe danske virksomheder med hackerforsikringer, er Dahlberg empowered by Söderberg & Partners.
Hos Dahlberg fortæller salgs- og marketingchef, Stinne Ølshøj, at kunder fra de mellemstore til de helt store virksomheder er på vej videre fra netbank-forsikringen.
Hun fortæller, at i dag efterspørger selskaberne i stigende grad de fuldfede cyberforsikringer.
Det vil sige forsikringer, der kan dække dem ved et eventuelt fatalt hackerangreb, hvor data og kreditkortoplysninger bliver stjålet, og virksomheden efterfølgende må leve med blandt andet læk af fortrolige oplysninger, driftstab i form af mistede projekter og prestigetab.
Herunder skal man eventuelt også se på, hvordan man er dækket for datatab, der sker som følge af et hack mod en hostingudbyder, hvor virksomheden kan have sine kundedata og kreditkortinformationer lagret.
DDoS, phishing og virus
Det er dog langtfra alle, der har helt styr på, hvad de kan få dækket og ikke dækket som følge af et angreb på selskabets servere.
"Kunderne ser og læser om de store skader, som der bliver flere og flere af. Kunderne kender primært til skadeshistorier fra medierne, men er ikke bevidste om deres egne egentlige risici, og de ved derfor heller ikke, hvordan man kan forsikre sig mod dem," fortæller Stinne Ølshøj til Computerworld.
Hun forklarer, at flere virksomheder ikke altid den helt store forståelse for, at it-sikkerhedsprodukter i sig selv sjældent kan stå alene.
For angreb kan komme fra de mest uventede kanter og via metoder, som er svære at gardere sig imod, selv hvis virksomheden jævnligt træner sit it-sikkerhedsberedskab og holder sin software opdateret.
"Typisk ser vi DDoS-angreb på hjemmesider, phising og flere og flere virksomheder får virus ind i deres systemer," fortæller Stinne Ølshøj fra Dahlberg om det 'nye' trusselsbillede.
Tabte millioner på leverandør-hack
Selskabet er desuden lige for tiden i dialog med et selskab, der har tabt adskillige millioner kroner i forbindelse med en pengeoverførsel til en leverandør i Asien.
Tabet skyldes, at leverandørens it-system er blevet hacket, så den danske virksomhed har modtaget en faktura med falsk kontonummer, som de mange millioner kroner er blevet overført til - og dermed tabt.
"Kunden er ikke forsikret for dette med sine nuværende dækninger, men vi arbejder lige for at lave en fremtidig løsning til kunden. Denne type skader er også noget, som vi ser som en tendens, da flere og flere ender med at betale dobbelt for deres varer," lyder det fra Stinne Ølshøj.
Gigant-forskel på lille og stor
Den lille virksomhed kan typisk forsikre sig mod it-kriminalitet via hyldeprodukter fra mainstream-selskaber som eksempelvis Codan, TopDanmark og Tryg.
Den slags selskaber har typisk en relativ simpel forsikring til tab i netbanken eller i enkelte tilfælde ved genetablering af data efter sabotage eller virusangreb.
Derimod kan du som standard ikke forvente at få erstatning for tab af forretningshemmeligheder og følgeskader som eksempelvis forsinkede projektaflevering og tabte kunder.
Derfor ville sådan en 'lille' forsikring have været total utilstrækkelig for en international virksomhed som Sony Pictures, der lige før jul blev hacket på grund af premiereren på filmen 'The Interview'.
Til større virksomheder
Arbejder du i en mellemstor eller stor virksomhed med værdifulde forretningshemmeligheder på netværksserveren, kan forsikringen dække noget nær alting, du er villig til at betale for.
Hvordan og hvorledes priserne på en "stor" cyberforsikring er skruet sammen, afhænger blandt andet af, hvor eksponeret din virksomhed er og ikke mindst, hvad du er villig til at betale i selvrisiko og i årlig præmiesum.
I disse noget mere komplekse tilfælde anbefaler Dahlberg, at du kontakter it-specialiserede forsikringsselskaber som AIG, ACE, Chubb og CNA, hvor stort alt er til forhandling, og hvor du kan få skræddersyede løsninger, der blandt andet inkluderer et globalt it-beredskabssteam til rådighed døgnet rundt.
"Hos os kan præmien ligge alle steder mellem 10.000 og 10 millioner kroner," forklarer Chris la Cour Valentin, som er cyberansvarlig i den nordiske region hos den amerikanske forsikringsgigant AIG.
"En stor global virksomhed med en høj forsikringssum vil ligge i millionenden, mens præmien for små lokale virksomheder med en lille risiko vil være betragteligt lavere," fortsætter han.
Intern kamp hos kunderne
Chris la Cour Valentin fortæller, at cyber-forsikringerne har eksisteret i USA i godt 10 år, mens AIG begyndte sit europæiske indtog på cyberområdet for snart tre år siden.
Og efterspørgslen er efter sigende i vækst på begge markeder.
"På europæisk plan kan vi, særligt indenfor de sidste seks måneder, se, at der er en stor stigning i efterspurgte cyberforsikringer. Det giver ikke så meget mening at sætte et præcist tal på solgte forsikringer, da udgangspunktet er lavt; men en stigning på måske 1-000 procent er ikke urealistisk," forklarer han.
AIG modtager på verdensplan i gennemsnit to anmeldelser som dagen, som ofte resulterer i store millionudbetalinger til kunderne i følge den cyber-ansvarlige forsikringsmand.
Chris la Cour Valentin fortæller, at selve forsikringen kan udarbejdes fra dag til dag, men der er typisk flere interne konflikter hos kunderne, der udskyder processen.
Det kan eksempelvis dreje sig om, hvor stor risikoen egentlig er for et hackerangreb.
"Da virksomhedernes risk managers, CFO's og andre interessenter bevæger sig ind på it-afdelingens domæne udfordrer de således it-folkenes selvforståelse af risiko og sikkerhed og deres evner til at dæmme op for et angreb," siger Chris la Cour Valentin.
"Ofte bruges der meget krudt internt i virksomhederne på netop den del i forbindelse med tegning af forsikringen. Vi anser denne skepsis som et naturligt led i introduktion af sådan nyt forretningsområde," fortsætter den cyberansvarlige dansker hos AIG.
Spørg lige om prisen
Ligesom alle andre typer forsikringer er hackerforsikringer en risikovurdering fra både din og forsikringsselskabets side.