Cyberrisker i en föränderlig värld

 

“We are at the beginning of a revolution that is fundamentally changing the way we live, work, and relate to one another. In its scale, scope and complexity, what I consider to be the fourth industrial revolution is unlike anything humankind has experienced before.”

Introduktion

Citatet ovan kommer från Klaus Schwab, grundare och ordförande av World Economic Forum som 2016 publicerade boken ”Den fjärde industriella revolutionen”. Boken är resultatet av en kollektiv insats där Schwab har sammanfattat tankar och åsikter från många olika håll i kombination med sina egna. Budskapet som boken bär fram är att vi står inför ett teknologiskt skifte som sker med en hastighet, ett omfång och en systempåverkan som människan tidigare inte har skådat. Denna revolution anses väsentligt komma att påverka samhället, hur vi lever, gör affärer och interagerar.[1]

De tre tidigare revolutionerna medförde omvälvande förändringar i ekonomi och samhälle. Dessa revolutioner har genom bl.a. teknik och organisation eliminerat stora delar av människans fysiska begränsningar. Den första revolutionen introducerade ångmaskinen och järnvägen. Den andra revolutionen gav oss elektricitet, massproduktion och löpande band. Den tredje revolutionen gav oss primärt elektronik, datorer och internet. Den fjärde industriella revolutionen bygger på den tredje och innebär en fusion av teknologier och system: fysiska, biologiska och digitala.[2] Detta medför att vi nu än mer än tidigare också kommer övervinna många av människans mentala begränsningar.

Intelligent produktion i industrin och affärslivet kommer kombineras med med ny teknik, molntjänster och ”big data”. Detta innebär inte bara ett teknikskifte utan kommer påverka hur vi lever, verkar och interagerar som människor. Att överleva i denna nya digitala era kommer kräva nya affärsmodeller och nytänkande då gamla strukturer inte längre kommer vara hållbara. Artificiell intelligens (AI) och självkörande bilar är en realitet, vi kommer få se nya former av energilagring och det experimenteras med kvantdatorer. Internet of things (IoT) gör att allt mindre ”saker” kopplas upp och ser till att den fysiska och digitala världen nu kan mötas. Inom bioteknik sker banbrytande utveckling vilket kommer att påverka människors beteendemönster, hälsa, matproduktion och djuruppfödning.[3]

Nya risker och cyberförsäkring

Ett så omvälvande klimat medför följaktligen att nya risker uppkommer och måste hanteras. Detta är särskilt relevant för cyberrisk, dvs. en risk för ekonomisk förlust, störning eller skada på ett företags rykte grundat i ett intrång eller fallissemang av ett IT-system. Cyberförsäkring är idag en global produkt som spänner över många olika discipliner, ibland med ett överlappande skydd, i många fall täckande helt nya risker. Produkten är proaktiv snarare än reaktiv, vanligen skalbar och har ofta ett antal tjänster knutna till sig.

De produkter som har växt fram erbjuder vanligen krishantering och hjälp inom IT, juridik, PR och vid utpressning om en incident inträffar. Utöver krishantering eller  ”First response” ger cyberförsäkringen skydd för skador som kan inträffa i den egna verksamheten såsom avbrott (täckningsbidragsbortfall), kostnader för att återskapa data och kostnader vid utredningar. Försäkringen täcker också skadestånd till tredje man eller i vissa fall viten. Traditionell försäkring fångar ofta inte upp alla dessa nya risker och försäkringsskyddet måste på något sätt kompletteras. Dessutom går det att också att köpa skydd för fel och misstag som leder till ett avbrott och kostnader härför, t.ex. vid en serverkrasch som inte beror på obehörig påverkan. Det har varit kostsamma incidenter inom flygindustrin med avbrottskostnader för flera hundra miljoner kronor på grund av detta.

Som en följd av den snabba tekniska utvecklingen kommer också ny (och ofta strikt) lagstiftning som ställer krav på hur data ska hanteras (t.ex. GDPR och NIS).[4] En cyberförsäkring blir därför inte bara ett verktyg för att skydda balansräkningen utan också ett bra komplement till det tekniska skyddet och stöd för personalen. Det blir ett hjälpmedel för företag att vara compliant. Till följd av detta har också en skyldighet att hålla försäkring för cyberrisker letat sig in i kontraktskrav inför tecknade av avtal jämte de traditionella försäkringsformerna.

Insikter genom analys av stora mängder data har snabbt blivit och kommer förbli ”det nya guldet”. Den som också förstår de kriminellas tankemönster och strategier kommer kunna förebygga och identifiera, hantera och reducera risk på bäst sätt. Detta är nu på intet sätt nya tankar. Den kinesiska militärstrategen Sun Tzu’s ord från ca 550 år f.Kr. är högaktuella även för cyberrisker. I “Art of War” skrev han de berömda orden;

“If you know the enemy and know yourself, you need not fear the result of a hundred battles. If you know yourself but not the enemy, for every victory gained you will also suffer a defeat. If you know neither the enemy nor yourself, you will succumb in every battle”

Utmaningen

Försäkring kommer vara ett viktigt verktyg för att hantera cyberrisker. Företag kommer värdesätta och vilja jobba med de partners som kan bidra med bra analyser och andra lösningar som är skadereducerande, t.ex. ovan nämnd analys eller utbildningar för personalen. Det tål dock att upprepas vad jag citerade inledningsvis, dvs att skiftet vi står inför sker med en hastighet, ett omfång och en systempåverkan som människan tidigare inte har skådat. Det tog tjugotvå år för femtio miljoner människor att få färg-TV i USA från och med lanseringen i slutet av femtiotalet. Som jämförelse tog det nitton dagar för femtio miljoner människor att ladda hem mobilspelet Pokemon Go när det lanserades 2017. Digitaliseringen har medfört en helt ny ekonomi och plattform för att göra affärer. Det går att distribuera varor och tjänster mycket snabbt och effektivt, något som såklart även kriminella utnyttjar. 

Att hantera risk innebär en kontinuerlig resa och måste gå hand i hand med teknikutvecklingen. Samtidigt måste vi människor få rätt utbildning i det förändrade landskapet. Detta kommer fortsatt vara en rejäl utmaning för företag i alla branscher och av alla storlekar. Risk Management-processen bör vara genomtänkt och robust och för företag gäller det att säkerställa rätt basskydd som skydd mot cyberrisker. Detta är en balansgång mellan risk, behov och kostnad. Företagen måste säkerställa att de har rätt teknik och processer på plats vilket blir svårare och svårare då komplexiteten ökar för varje år (t.ex. säkerställa att man har en uppdaterad ”business continuity plan”, ”disaster recovery plan”, se över patch-process av mjukvara, ha bra och uppdaterade brandväggar, antivirusprogram, rätt konfigurerarde behörigheter osv.). För cyberrisker är det extra viktigt att ha en fungerande kommunikations- och responsplan om en incident inträffar. En cyberförsäkring ger bra hjälp för detta. Företaget bör också veta vilken information de hanterar och huruvida den är känslig och veta hur man påverkas vid ett avbrott om kritiska tjänster eller nätverk fallerar – både för sitt eget nätverk och för tjänsteleverantörer. Det gäller att parera både interna och externa hot.

Att allt fler tredjepartsleverantörer också får access till företags nätverk (moln- eller outsourcingtjänster) bidrar starkt till att komplexiteten ökar. Att hantera risk har också traditionellt varit kostsam i mantimmar, processen varit kvalitativ och ”periodisk” till naturen och svår att skala upp. Exempelvis är kvalitativ analys såsom ett penetrationstest av en IT-miljö förvisso bra, men det sker under en begränsad tid och kanske av ett system som inte kan hantera den ökande mängden av leverantörer och tjänster som ett företag kan komma att behöva i framtiden.[5]

Teknik som hjälpmedel – och hot

Den fjärde industriella revolution kommer medföra att riskanalys och processer till stor del kommer att behöva automatiseras. Människans mentala begränsningar gör att vi behöver stöd för att hantera de alltmer komplexa miljöerna och att sovra i en överväldigande mängd av data. S.k. machine learning används redan för att analysera och hantera ostrukturerad data och hjälpa till att se mönster och trender. Ett annat exempel på teknisk innovation är att stöldmärka sin information. Istället för att reaktivt hantera en stöld av exempelvis ett kreditkortsnummer först när det missbrukas, kommer en automatisk varning gå ut redan i den stund informationen hamnar på villovägar (t.ex. på Darknet). Ett tredje exempel är system som upptäcker anomalier i ett nätverk, t.ex. om en anställd obehörigen laddar upp information till en molntjänst eller om det sker datatrafik utanför det som anses normalt.

Samtidigt är de kriminella också kreativa och snabbfotade. Det tillkommer över en miljon nya eller varianter av malware/virus varje dygn![6] Inte bara kan datavirus spridas mycket snabbt och numera utan hänsyn till geografiska gränser eller branscher, virusen kan vara skräddarsydda eller helt nya vilket gör de svårare att upptäcka eller skydda sig mot. De kriminella ändrar också vanligen sin s.k. attackvektor (metod för att hacka sig in).[7] Världen har de senaste åren fått se ett stort antal virusattacker som skapat enorma skador och kostnader för samhälle och företag. Det är samtidigt inte svårt att hitta standardprodukter eller ”ransomware-as-a-service” för gemene man att köpa på nätet. Open source-verktyg är det som flest hackers använder vid sina attacker.[8]

Inom industri- och produktionsbolag är det en stor utmaning att koppla ihop industrinätet med mer användarvänlig molnteknik. Detta är ofta grundat i det naturliga kravet från ledningen att kunna övervaka och mäta processer på ett nytt sätt. Även om förståelsen finns för att ny teknik måste introduceras är det inte friktionsfritt. Den i många fall statiska miljö som funnits i årtionden och med mycket kompetent personal måste snabbt sätta sig in i helt nya miljöer och tjänster som de inte är utbildade för. Detta skapar en alltmer svårnavigerad miljö som blir svårare att överblicka och att skydda. Det är också ofta svårt eller omöjligt att enkelt byta ut de gamla miljöerna.

Cyberattackerna ökar i frekvens och omfattning

Cyberattacker har varit överrepresenterade inom den finansiella sektorn tätt följt av kommunikation och media och retail/detaljhandel. Även advokater, revisorer och företag inom hälsosektorn har drabbats hårdare. Energi- och infrastruktur har likaså sett en ökad frekvens av attacker. Genom fler uppkopplade föremål (IoT) har världen också sett massiva överbelastningsattacker (Ddos-attacker) där exempelvis webkameror utnyttjats för distribution. Den vanligaste incidenten under 2017 och 2018 har varit en hackerattack kopplat till utpressning. Dock är det ackumulationen av risk som kan förväntas leda till storskador.[9] Vad händer om en stor molntjänst går ned och påverkar många försäkringstagare samtidigt? Det är en inte helt lätt risk att överblicka och kommer kräva hjälp av teknik för att hinna agera i tid.

Hackerattacker utförs av enskilda såväl som från mer strukturerade grupperingar. Attackerna kan också vara riktade såväl som oriktade. De kan utföras med allmänt tillgängliga produkter såväl som vara skräddarsydda. Några av de mest sofistikerade och riktade attackerna anses ha militärt eller statligt ursprung (jfr Stuxnet-viruset från 2009/2010 eller cyberattacken på Bangladesh centralbank 2016). Lika allvarligt eller värre kan vara attacker som drabbar företag som egentligen inte var en måltavla initialt (jfr ransomware-attackerna WannaCry och NotPetya från 2017 som drabbade ett flertal företag mycket hårt och med stora ekonomiska konsekvenser).

Hur ser det ut framöver?

Som alltid med ny teknik skapas glapp eller gråzoner där det inte finns givna svar. Detta kommer även för cyberförsäkring kräva att produkten fortsätter utvecklas. Det kan vara så att ett villkor saknar vägledning för en situation eller så är en skrivning oklar eller ger utrymme för tolkning. Några intressanta frågeställningar som har diskuterats i branschen de senaste åren är t.ex;

1) Är GDPR-böter försäkringsbara? [10];

2) Täcker en cyberförsäkring cyberattacker med militärt ursprung? [11];

3) Om en förarlös bil krockar, vem är ansvarig? Är det tillverkaren av bilen eller den som har skapat mjukvaran i bilen om det är den som fallerar (eller blir hackad)?;

4) När produkter och tjänster blir svårare att separera från varandra (t.ex. hårdvara och mjukvara) är det försäkringen för allmänt ansvar och produktansvar eller försäkringen för ren förmögenhetsskada som blir tillämplig?

En del frågor kommer kräva att lagstiftare eller domstolar ger vägledning, ibland kan det räcka med att förtydliga ett villkor. Helt klart är att skyddet kommer behöva fortsätta utvecklas. Samtidigt förväntas också behovet se olika ut från företag till företag. Säkerligen kommer marknaden att erbjuda en bred palett av produkter – den differentieringen syns redan. Dels kommer det fortsatt att finnas ”smala” produkter för små- och medelstora företag, t.ex. som tillägg till en kombinerad företagsförsäkring eller som en egen försäkring med begränsat skydd i omfattning och försäkringsbelopp. Vissa (ofta större företag) kommer se ett värde i att bygga på befintliga lösningar inom t.ex. egendoms-, ansvars- eller transportförsäkring. Andra företag kommer se värdet i en helt separat cyberförsäkring då den täcker en risk som annars inte skulle fångas upp och som har en dedikerad försäkringskapacitet som inte äventyrar andra produkter för det fall att en stor skada skulle inträffa.

Det finns inget Harry Potters trollspö eller silverkula att köpa som löser alla utmaningar i ett svep för alla företag, utan detta måste föregås av sedvanlig behovsanalys och ett kontinuerligt arbete för att skydda sin IT-miljö och balansräkning och se till att man hela tiden har tillgång till rätt information och rätt beslutsunderlag.

Ronnie Wallén

 

[1] Klaus Schwab, ”The Fourth Industrial Revolution”, World Economic Forum, 2016.

[2] En bra skrift om den fjärde industriella revolutionen släpptes 2017 av David Frydlinger, Lindahl Advokatbyrå; ”Den fjärde industriella revolutionen, Innebörd och konsekvenser för Sverige och svenska företag”: https://www.lindahl.se/media/1847/lindahl_white_paper_fir_2017.pdf

[3] Jfr t.ex. Elon Musks bolag Neuralink som vill koppla ihop datorer med den mänskliga hjärnan.

[4] “General Data Protection Regulation” och “The Directive on security of network and information systems”

[6] Privacy Rights Clearing House Symantec (2016) Internet Security Threat Report, hämtad från www.symantec.com/security-center

[7] Som exempel ändrar 29 % av hackers verktyg eller metod vid varje attack och ytterligare 37 % inom 1-2 månader (Nuix, Black Report 2018, s. 27).

[8] Nuix, Black Report 2018, s. 26.

[9] AIG – Behind the numbers: Key drivers of cyber insurance claims (2016). Se även t.ex. “Lloyds – Closing the gap report (2016).

[10] Se en intressant genomgång i ”Vad kan försäkras?” –En utredning av det försäkringsrättsliga begreppet lagligt intresse, med fokus på administrativa sanktionsavgifter, examensarbete av av Anton Holmgren, Juridiska Fakulteten vid Lunds universitet (2018)

[11] Jfr. undantag för ”hostile or warlike operations” eller liknande i många villkor.