Cyberforsikring


Flere forsikringsselskaper gir tilbud om å etablere cyberforsikring til sine bedriftskunder. For personkunder er det ikke like stort utvalg, og de fleste forsikringsselskaper har for personkunder inkludert noe dekning for cyberhendelser i sine innbo-forsikringer.

Hva inneholder en cyberforsikring

Det vil variere hva de ulike forsikringsselskapene inkluderer i sin cyberforsikring. Det er derfor viktig å vurdere hvilket behov man har i sin bedrift for denne type forsikring, og deretter undersøke hva eget forsikringsselskap kan tilby, og sammenligne dette med andre selskaper.

Følgende dekning bør man se etter:

  • Beredskap og ekspertisehjelp 24/7: Dette betyr som regel at forsikringsselskapet har avtale med et IT-firma som enten bistår virksomheten over nettet, eller stiller fysisk ved behov, dersom uhellet er ute og det er behov for eksperter for å sikre restverdier eller reetablere datasystemer. Vurder hvilket omfang man tror kan være nødvendig i en krisesituasjon, og se opp mot den dekningen forsikringsselskapet gir.
  • Dekning av økonomisk tap som følge av nedetid og forstyrrelser i bedriften. En cyberhendelse kan medføre at datasystemer og informasjon er utilgjengelig over lengre tid. Dersom dette er kritisk for virksomheten er det viktig å vurdere hvilken dekning forsikringen gir opp mot det man tror kan være nødvendig for egen virksomhet.
  • Medierådgivning for håndtering av media. For profilerte selskaper kan cyberhendelser utløse interesse fra media. Det kan også skje ved hendelser i mindre virksomheter, men er avhengig av hendelsens natur. I slike tilfeller kan det være både lurt og nødvendig å få støtte og råd til håndtering av media. En god mediehåndtering reduserer sjansene for omfattende omdømmetap for virksomheten. Sjekk om det ligger beskrankninger i forsikringen mtp. hvilke hendelser og omfang som forsikringen omfatter.
  • Erstatning for tredjepartstap. Dette er i praksis en ansvarsforsikring som betyr at dersom det etter en cyberhendelse blir rettet erstatningskrav mot din virksomhet fra kunder eller andre, vil forsikringen dekke dette. Viktig å vurdere hvilken dekning man trenger for dette, eller som minimum være bevisst på hva forsikringen har som et øvre tak. I forbindelse med slike erstatningskrav vil også enkelte forsikringer kunne dekke utgifter til juridisk bistand.

Mange har et stort fokus på å kunne overholde de krav som er satt i personopplysningsloven og GDPR-regelverket. Dersom dette er relevant for bedriften bør man sjekke om hendelser knyttet til personvern er dekket av cyberforsikringen. Det finnes også forsikringsselskaper som har egne dekninger som blant annet inkluderer bistand til lovpålagt varsling av offentlige myndigheter ved brudd på personvernlovgivningen (GDPR). For eksempel skal Datatilsynet varsles innen 72timer etter at avvik er oppdaget.

Vilkår

Forsikringsselskapene vil stille krav om at virksomheten selv har iverksatt grunnleggende sikkerhetstiltak. Cyberforsikring er et relativt nytt markedsområde for forsikringsselskapene, og det kan derfor variere en del på hvilke krav som settes, og hvordan kravene fortolkes. Forsikringsselskap som NorSIS har vært i kontakt med fremhever at det er viktig med en god dialog med kundene for å få samme forståelse for hva kravene innebærer.

Følgende krav vil kunne legges til grunn for å få opprette en cyberforsikring:

Passord

Krav til at du har tatt forhåndsregler og har passord på dine digitale enheter. Her er en veiledning på nettvett.no som kan være relevant for å tilfredsstille dette kravet:

https://nettvett.no/sikker-palogging/

Antivirusprogram        

Krav til at du har tatt forhåndsregler og har implementert antivirusprogram på dine digitale enheter. Her er veiledninger på nettvett.no som kan være relevante for å tilfredsstille disse kravene:

https://nettvett.no/ti-tips-sikrere-pc-bruk/

https://nettvett.no/anti-virus-smarttelefoner/

Krypterte enheter

Krav til at du har tatt forhåndsregler og benytter kryptert lagring på alle mobile enheter. Her er veiledninger på nettvett.no som kan være relevante for å tilfredsstille disse kravene:

https://nettvett.no/ti-tips-sikrere-pc-bruk/

Sikkerhetskopiering

Krav til at du har tatt forhåndsregler og har etablert rutiner for sikkerhetskopiering. Her er en veiledning på nettvett.no som kan være relevant for å tilfredsstille dette kravet:

https://nettvett.no/sikkerhetskopiering/

Tilgangsstyring

Krav til at du har tatt forhåndsregler og etablert rutiner for tilgang og autorisasjon i dine informasjonssystemer. Her er veiledninger på nettvett.no som kan være relevante for å tilfredsstille disse kravene:

https://nettvett.no/sikkerhetstiltak-for-remote-desktop-protocol-rdp/

https://nettvett.no/vpn-virtuelt-privat-nettverk/

https://nettvett.no/ikt-utenfor-kontoret/

Pris

De ulike selskapene vil ha ulik prising på denne type forsikring. Det er naturlig at prisen varierer med dekning, forsikringssum, virksomhetstype, virksomhetens omsetning, geografisk virksmohetsområde, med mer.