Forstå forsikringsmarkedets reaktion på den stigende cybertrussel, hvordan du navigerer i det og konsekvensen, hvis du ser passivt til.
Hjemmearbejde viste sig at være ganske effektivt og mere produktivt, end mange havde forventet. Derfor er mange arbejdsgivere positivt indstillede over for at lade mere hjemmearbejde være en naturlig mulighed på fremtidens arbejdsplads, når coronapandemien har fortrukket til historiebøgerne.
”Vi har indrettet os på den nye virkelighed og tilbyder i dag vores medarbejdere tre forskellige arbejdsformer. Den fleksible, hvor man arbejder 1-2 dage om ugen på arbejdspladsen. Den hybride, hvor man er på kontoret 2-3 dage og den traditionelle til dem, der foretrækker at være på kontoret hver dag eller nødvendigvis må være det som følge af jobbets indhold. Den mere fleksible arbejdsplads giver samlet en bedre work-life balance for de ansatte og al erfaring viser, at mennesker, der er trygge og glade har en højere produktivitet,” siger Søren Husted, der er COO & Director of Retirement and Health Solutions i forsikringsmæglerselskabet Aon.
De nye arbejdsformer har dog også en bagside. Det sociale aspekt er en vigtig del af arbejdslivet, motivationen og fællesskabsfølelsen.
”Det er vi selvfølgelig opmærksomme på, og derfor håber vi, at vores ansatte selv mærker efter i vores fleksible arbejdsrammer og finder den arbejdsform, der passer dem bedst. Det er en udfordrende transformation for alle parter og på flere måder. Vi skal også vænne os til den nye mødekultur i kombinerede virtuelle og fysiske møder og sikre, at vi får involveret folk, der arbejder på distancen. For vi må jo også erkende, at selv om al teknologien er til stede, så kan der gå vigtige nuancer tabt for de der deltager virtuelt, idet man ikke kan fornemme stemningen på samme måde. Den uformelle snak på gangen, ved kaffemaskinen eller henover skrivebordet kan også give nogle gode idéer, kreative indspark og personlige relationer, som kan gå tabt i de nye arbejdsformer, og det samme gælder videndeling,” siger Søren Husted.
Verden er digital – men kriminaliteten er fulgt med
COVID-19 pandemien kom på et tidspunkt, hvor verdensøkonomien er på et så fremskredent teknologisk og digitalt niveau, at meget arbejde kunne udføres lige så godt på privatadressen. Men den kriminelle underverden er også blevet digital, og cyberangreb har i de senere år udviklet sig til en global pandemi, som tager forskellige former. Og helt uden samvittighed.
Under COVID-19-pandemiens hærgen i 2020 var der mange cyberangreb mod hospitaler, og angrebene mod WHO var fordoblet i forhold til normalen. Talrige hospitaler og laboratorier, der arbejdede med test og udvikling af vacciner blev udsat for ’ransomware’. Hackerangreb, hvor de kriminelle får adgang til vitale data, som de kun frigiver mod betaling af en stor løsesum. Hackerangreb er kommet for at blive, men hvad skal virksomhederne stille op?
”I forhold til det stigende omfang af hjemmearbejde, så er det vigtigt at instruere medarbejderne i også at overholde en række specifikke sikkerhedsregler, når de arbejder hjemme. De cyberkriminelle har for længst opdaget, at medarbejderne ofte kan være det svage led og på hjemmefronten bliver der taget lettere på sikkerheden,” siger Søren Stryger, Head of Nordic Cyber Solutions i Aon.
Han understreger, at med udsigt til mere hjemmearbejde øges risikoen for angreb på virksomhederne. Af Aon’s 2021 Cyber Security Risk Report fremgår det, at kun 40 pct. af virksomhederne erkender at have tilstrækkelige sikkerhedsstrategier i forhold til hjemmearbejde. Men det er kun en del af problemet – angrebene kommer fra alle sider. Man skal eksempelvis også have en særlig fokus på hele forsyningskæden. Man skal løbende evaluere og forholde sig til risici fra både nye og eksisterende leverandører, og af Aon’s sikkerhedsrapport fremgår det også, at kun 21 pct. af virksomhederne har etableret faste procedurer til at overvåge kritiske leverandører.
Ransomware truer virksomheders overlevelse
En af de største trusler er ransomware. Mange store virksomheder har været ramt af ransomware – angreb, hvor hackere skaffer sig adgang til eller kryptere vitale data eller funktioner og kræver en løsesum for at frigive dem. Det der for 20 år siden kunne have været plottet i en fantasifuld actionfilm er blevet til brutal virkelighed og kan blive katastrofal for ikke blot enkeltvirksomheder men også kritiske funktioner i samfundet. Kun 31 pct. af virksomhederne erkender ifølge Aon-rapporten at have foranstaltninger, der giver en tilstrækkelig modstandsdygtighed i en situation, hvor ransomware trusler skal håndteres.
”Ransomware er den hurtigst voksende form for cyberkriminalitet. Skadeomkostningerne forventes at løbe op i 17 mia. dollars i år, hvilket er 57 gange så meget som for fem år siden. Og løsesummerne er så høje, at de kan true virksomhedens overlevelse. Hackerne er også gået væk fra at skyde med spredehagl, ’spray and pray’, til i stedet at udse sig specifikke mål, ’target practice’, ofte med særlig fokus på de virkelig store virksomheder. Det er der flere penge i for dem,” siger Søren Carl Stryger.
En anden tendens er, at angrebene bliver mere sofistikerede. Double Extortion går ud på, at hackerne truer med at lægge data ud offentligt, endda på the Dark Web. Det betyder i praksis, at selv om virksomheden tror, at det er muligt at gendanne hackede data og netværk uden at betale løsesummen, så kan de alligevel ende med at gøre det, fordi de ikke vil risikere, at hackerne offentliggør følsomme data om f.eks. ansatte eller kunder. Cold calling er også et relativt nyt fænomen – en situation, hvor hackerne ringer til virksomheder, der ikke vil betale løsesummen og forsøger at presse dem. I modsætning til coronapandemien er det ikke en pandemi, der forsvinder, og løsesummerne er også blevet højere.
Hvad skal Ledelser og Risk Managers gøre?
”Udover, at det er meget vigtigt, at man uddanner alle medarbejdere løbende i sikkerhedspolitik, er det også helt afgørende, at bestyrelser og ledelser i både private virksomheder og offentlige institutioner tager problemet mere alvorligt, end tilfældet ofte er i dag. De har pligt til at sikre virksomhedens drift, kompetencer og risikostyring, og det mest væsentlige i den sammenhæng er, at de må acceptere, at for at højne sikkerhedsniveauet kræves der investeringer,” siger Søren Carl Stryger.
Han understreger også vigtigheden i at forholde sig til alle sikkerhedsdomæner – hjemmearbejde er blot et af dem. Virksomheden skal have en detaljeret sikkerhedspolitik vedrørende data, adgangskontrol, systemer, netværk, fysiske faciliteter og udstyr, applikationer, leverandører – og handlingsplaner, der sikrer at kritiske funktioner kan fortsætte i tilfælde af et angreb.
Forsikringer mod cyberangreb kan være en hjælp til at imødegå skadevirkningerne. Men i takt med den kraftige stigning i angrebene og særligt de store summer i sagerne med ransomware er forsikringspriserne steget kraftigt. Dele af forsikringsbranchen overvejer også om, at de ønsker at udstede forsikringer, der dækker hackerangreb. Forsikringsvirksomheder overlever på, at de er i stand til nogenlunde at estimere, hvor store beløb, der kommer til udbetaling i forsikring. Og det er svært at estimere. Traditionelle forsikringer fra biler til erhvervsforsikringer har man mange års historik på. Men det gælder ikke cyberkriminaliteten, der samtidig er i en hastig og ret uforudsigelig udvikling.
”Cyberforsikring har vist sig som en effektiv forsikring overfor de cyberangreb, der er sket de senere år. Det er en forretningsbeslutning, om man vil tegne en forsikring, men uanset hvor godt man sikrer sig imod hackerangreb, så vil de færreste virksomheder i dag sige med overbevisning, at de ikke har en eksponering. Det siges ofte, at det ikke er et spørgsmål om en virksomhed rammes af cyberangreb, men hvornår. Og vil du som virksomhed samle den risiko op på din bundlinje, eller vil du overføre den til forsikring?” spørger Søren Carl Stryger.
Et stigende antal virksomheder oplever dog, at de slet ikke kan tegne en forsikring mod cyberangreb, fordi sikkerhedsniveauet ikke er godt nok.
”Hvis en virksomhed er uden tilstrækkelig indsigt og sikkerhedsregler på alle sikkerhedsdomæner, så vil den komme til kort overfor forsikringsmarkedet. Forsikringsbranchen forventer, at man er oplyst, har forholdt sig til sin eksponering og kontinuerligt forbedrer sig. Forsikringsmarkedet skal således ikke ses som et alternativ til at foretage de nødvendige investeringer i virksomhedens sikkerhed, men som en investering til at optimere det samlede output af din cyber sikkerhedsstrategi,” siger Søren Carl Stryger.