Blogg

Cyberförsäkringar – en översikt

En cyberförsäkring, även kallad cybersäkerhetsförsäkring (på engelska cyberinsurance och cybersecurity insurance), är en typ av försäkring som ämnar att skydda den tecknande organisationens it. I korthet så är det en försäkring som kan ersätta kostnader och hjälpa till med åtgärder som följer olika typer av it-incidenter.

En cyberförsäkring fungerar på många sätt som en vanlig försäkring; försäkringsbolaget utvärderar organisationens utgångsläge, och för att organisationen ska omfattas av försäkringen så behöver de betala en premie. Om en it-incident skulle ske, som gör att organisationen exempelvis förlorar data eller måste betala ut pengar, så kan försäkringen stå för delar av eller alla de associerade kostnaderna.

Försäkringsgivare ser generellt sett på två huvudfaktorer för att räkna ut en försäkringstagares premie; hur sannolikt det är att en incident sker samt hur allvarlig den är. För att komma fram till den informationen så har traditionellt sett djup kartläggning tagit plats för att kunna spåra och korrelera trender och incidenter. Ju mer information, desto bättre bild får försäkringsgivarna över vilka risker som finns och vilka som riskerna är större för. Om den metoden gäller även för cyberförsäkringar kan ifrågasättas och bemöts nedan.

Framväxten av cyberförsäkringar

Den största skillnaden mellan cyberförsäkringar och andra typer av försäkringar är att fältet cyberförsäkringar är relativt nytt. En av de första omnämningarna av cyberförsäkringar gjordes faktiskt redan på 1970-talet där en försäkring täckte om så kallat computer crime skulle inträffa.

Under 1990-talet blev det tydligare att fler och fler bolag behövde nätverk och it-system för att upprätthålla företagsdriften. Eftersom försäkringar då inte var avsedda för it-risker så behövdes nya försäkringspolicyer arbetas fram.

I de första cyberpolicyerna så täcktes bland annat kostnader för att återställa eller ersätta förlorad data. Nätverksintrång, driftsavbrott, cyberutpressning, upphovsrättsintrång, tjänsteavbrott och kostnader för skadat varumärke fanns också med på den tidiga listan av vad som täcktes av cyberförsäkringar.

Mellan 2000 och 2010 så blev cyberförsäkringar mer populära. Betterley Reports noterade i USA stigande försäljningssiffror för cyberförsäkringar efter 2010. Cyberförsäkringar såldes för närmare 3 miljarder amerikanska dollar runt 2015, jämfört med under 1 miljard under 2000-talet.

Cyberförsäkringar i dag

Och faktum är att det inte ser så annorlunda ut numera. Populariteten går fortfarande uppåt och fler aktörer introduceras. Med vetskapen om de konstanta hoten online så väljer många att utforska försäkringar. Det finns uppskattningar som visar att cyberanfall kostar mer än 400 miljarder amerikanska dollar varje år. Att bolag därför vill minska risken för förluster och genom att vara försäkrade är därför förståeligt.

Cyberförsäkringar försäkrar och täcker motsvarande delar även i dag som när försäkringstypen först började stiga i popularitet. Någorlunda konsensus verkar finns på en tydligare indelning, dock. Namnen kan variera mellan olika källor, men brukar omfatta motsvarade delar. De tre huvudsakliga typerna av cyberförsäkringar är:

  • Skydd för första part. Allmän ansvarsförsäkring med cyberfokus. I grova drag så medför den allmänna ansvarsförsäkringen bred täckning för en mängd olika risker och hot för den som tecknar försäkringen.
  • Skydd för tredje part. It-policyförsäkring. Policyförsäkringen skyddar både försäkringstagaren samt övriga parter som påverkas av incidenten. Relevant till exempel om försäkringstagaren är en leverantör som inte kan fullfölja en leverans till en kund.
  • Cyberbrottslighet. It-brottsförsäkring. Brottsförsäkringen täcker om anställda inom en organisation exempelvis skulle läcka eller sälja information eller begå andra brott. Offer för social ingenjörskonst (inklusive phising) kan falla in här.

Exempel på risker som en cybersäkerhetsförsäkring kan täcka är anfall av olika skadeprogram, till exempel gisslanprogram – ransomware – som kräver lösensummor. Ett gisslanprogram var vad som orskade matkedjan Coops it-avbrott under sommaren 2021, läs mer anfallet mot Kaseya-tjänsterna här.

Problematik för cyberförsäkringar

Ett av de största problemen för cyberförsäkringar är uppsättningen av en policy. Samma robusta informationskällor som finns för andra typer av försäkringar har helt enkelt inte hunnit byggas upp eftersom samma traditionella informationsdatabas inte finns.

Det blir därför svårt för försäkringsgivare att kalkylera risk och göra uppskattningar. Eftersom själva idén med försäkringar är att premieinbetalningarna ska överstiga kostnaderna av incidenter så är det en svår balans. Några av problemen som cyberförsäkringsgivare står inför presenteras nedan.

För lite ackumulerad data

En anledning är att det finns enormt många variabler som påverkar utfallen. Det finns inte heller samma historiska data som kan sammanställas.

Det resulterar i att det blir svårt för försäkringsgivare att inhämta och kartlägga den relevanta datan. Därför så kan ett visst mått av uppskattningar och antaganden behövas. Metoder som har använts, och till viss del fortsätter att användas i dag, är formulär och intervjuer. Det är dock en potentiellt osäker informationskälla som även kan göra det svårt för försäkringsgivarna att få en helhetsbild av organisationen som vill teckna försäkring. Dessutom så är det svårt att verifiera om svaren från en försäkringstagare är korrekta och tillräckligt utförliga.

En artikel som tittat djupare på cyberförsäkringar noterar två huvudsakliga risker för försäkringsgivare:

  • Ogynnsamma urval (adverse selection på engelska) är den första risken. Det syftar till att försäkringsgivare inte kan få en komplett bild av den försäkringstagande organisationen förrän ett kontrakt är på plats. Det utsätter försäkringsbolaget för risk eftersom de måste fatta beslut med bristande information.
  • Överdrivet risktagande (moral hazard på engelska) är den andra risken. Det syftar till att försäkringstagare kan utsätta försäkringsgivaren för risk genom att utföra handlingar som kan leda till incidenter och förluster, som behöver täckas av försäkringsbolaget.

Agentproblem

En annan artikel som går djupare på ämnet menar att cyberförsäkringar skapar ett flerdimensionellt ekonomiskt problem. Problemet belyses då försäkringsgivaren via en avtalad försäkring behöver utföra åtgärder till följd av en incident.

Efter en incident anlitas ofta en tredje part, antingen via försäkringsgivaren eller -tagaren. I egenskap av att vara en tredje part så skapas ett så kallat agentproblem. Huvudmannen – försäkringstagaren – prenumererar alltså på en tjänst av försäkringsgivaren. Om en incident uppstår som ska åtgärdas så tillkommer en spelare – agenten – som då har en egen agenda som inte nödvändigtvis motsvarar försäkringsavtalets.

Försäkringsbolag kan bemöta problemet genom att skapa ett nätverk av leverantörer för att åtgärda försäkringstagares problem. En metod är att agentbolaget då debiterar försäkringsbolaget per arbetad timme, och att försäkringsbolaget kräver ett gott och effektivt resultat. Eftersom agenten är en partner till försäkringsbolaget så finns goda möjligheter till fler uppdrag. Om resultatet inte möter förväntningarna, däremot, så kan försäkringsbolaget med fördel byta samarbetspartner.

Grundproblemet kvarstår dock om att tredje partens incitament för att tillhandahålla åtgärder kan skilja sig från vad som är avtalat i försäkringspolicyn, vare sig agenten går via försäkringsgivaren eller -tagaren. Utgångspunkten om att det gäller just cyberfrågor gör agentproblemet extra komplext, menar artikelförfattarna Woods och Böhme. Läs hela deras artikel här.

Prishöjningar

Eftersom cyberanfall, onlinebedragare och risker på nätet är outtömliga så står försäkringsgivare inför svåra val. Att utforma policyer som inte ger lika bra täckning, att höja priserna eller att riskera att gå med förlust är några av de möjliga konsekvenserna.

Inget av de alternativen är särskilt attraktiva. Ungefär en av tre organisationer omfattas i dag av en cyberförsäkring. Och prognoser visar att försäkringspremierna kan komma att hoppa från 2,5 miljarder amerikanska dollar till över 8 miljarder under början av 2020-talet. Det, i sin tur, placerar försäkringstagarna i en svår sits där försäkringen kan komma att bli så dyr att försäkringen, eller andra delar i organisationen, behöver omvärderas.

Cyberförsäkringar i framtiden

Ju mer data som samlas, desto bättre kommer risker och faktorer att utkristalliseras för försäkringsgivarna. Det innebär förbättrad möjlighet för mer relevanta försäkringspolicyer och att försäkringstagare får just den täckning som de behöver.

Men om de olika problemen som finns för cybersäkerhetsförsäkringar inte åtgärdas så finns risken att cyberförsäkringar blir oattraktivt genom att antingen inte erbjuda tillräcklig täckning eller vara för dyra. Det kan vara en indikation på en framtid där endast storföretag rimligen har råd med cyberförsäkringar. Men allt eftersom hot blir fler, teknik utvecklas och innovation sker så förändras landskapet snabbt, så vad som de facto sker återstår att se.

Bättre modeller för försäkringar behöver utvecklas, och är på väg att utvecklas. Relevant lagstiftning, på samma sätt, behöver utvecklas för att möta de digitala trenderna. En försäkringsmodell publicerades i februari 2021. Där föreslås en via matematiska modeller ett bonus-malus-ramverk, alltså att premiekostnader förändras utifrån risk och incidenter. Författarna menar att det kan vara ett steg mot välutformade cyberförsäkringspolicyer som innebär lägre risk för försäkringsgivare. Läs hela artikeln här.

Säkrad eller försäkrad?

Ett vanligt men felaktigt antagande är att en cyberförsäkring kan ersätta it-säkerhet. Resonemanget är att försäkringen ersätter eventuella intrång och att det på så vis blir en form av reaktiv åtgärd som återställer eventuella skador.

Resonemanget om att skaffa en cyberförsäkring i stället för en gedigen säkerhetsgrund är bristande på minst två fronter. Dels så blir försäkringspremien dyrare om it-miljön har sämre skydd. Alltså ju bättre skydd som organisationen har, desto lägre pris har försäkringen. Och dels så är cyberförsäkringar ofta mycket dyra, även med ett skyddat utgångsläge. Det är summor som i stället hade kunnat läggas på att säkra miljön.

Samtidigt så är balansgången mellan säkerhet och försäkring ett av problemen som försäkringsgivare har, exempelvis gällande moraliska risker bland försäkringstagarna. Vare sig försäkringstagaren medvetet eller illvilligt utsätter sig för risk, eller på grund av bristande kunskap eller naivitet råkar ut för incidenter så kan bli dyrt för försäkringsgivaren, och i förlängningen påverka försäkringstagarens premie. I längden är det då antagligen både mer priseffektivt och tryggare för den potentiella försäkringstagaren att i stället utforska ett proaktivt säkerhetsskydd.

Slutsatsen bör därför vara att cyberförsäkringar bör betraktas som ett komplement för organisationens it-säkerhet. Det är omöjligt att vara skyddad från allt. En försäkring kan därför vara ett bra komplement när organisationer har en stabil säkerhetsbas, men vill vara extra trygga. Till exempel om de hanterar känsliga uppgifter eller inte kan riskera avbrott.

Vidare läsning

Vi rekommenderar något av följande inlägg som fortsatt läsning.

Läs vår uppskattade djupdykning om distansarbete här.

Här är vår artikel om licenser och licenshantering i Microsoft 365.

Ta en titt på vårt kundcase med Polygon Group här.

Magnus Roos

Magnus ansvarar för marknadsföringen och innehållet på EdgeGuide. Har du frågor eller kommentarer om något du läst? Skicka gärna ett mejl eller kontakta via LinkedIn.