I 2016 lærte virksomheder verden over et nyt begreb at kende: ransomwareangreb. Det er en form for hackerangreb, hvor hackere tiltvinger sig adgang til en virksomheds computersystemer, lukker dem ned, krypterer dem og forlanger en løsesum for at lukke dem op igen.

Siden er hyppigheden af ransomewareangreb steget dramatisk. Og det har kostet forsikringsselskaber, som udbyder cyberforsikringer, og som har undervurderet risikoen, kæmpesummer. I de sidste par år er priserne på cyberforsikring derfor steget betragteligt – især for store virksomheder.

Det fortæller leder af cyberenheden hos Nordens største forsikringsselskab, If, som er en af de nordiske forsikringsselskaber, der satser mest på cyberforsikring, og som har en af de største porteføljer af cyberforsikrede industrivirksomheder.

”For 3-5 år siden var cyberforsikringer alt for billige. De var underprissat i forhold til den reelle risiko.”

”Den gennemsnitlige stigning på præmierne har oversteget enhver anden form for forsikring de sidste par år. Den har ifølge flere studier været mellem 50 og 80 procent. I nogle tilfælde er det endnu mere. Det er primært for de store industrivirksomheder, men det gælder også de mindre virksomheder,” siger Mikko Peltonen, Head of Digital Risks & Cyber hos IF.

Han tilføjer, at IF selv har brændt nallerne på cyberforsikring og skruet op for priserne som konsekvens.

”Ransomwareangreb kan forårsage voldsomme tab og lange nedlukninger af driften. Det har ændret vores måde at risikovurdere markant.”

”Vi har haft nogle tilfælde af ransomwareangreb blandt vores kunder, som jeg ikke kan komme nærmere ind på. Men vi har haft nogle alvorlige tab på den konto.”

Forkert risikovurdering drevet af globale spillere

At prisstigningerne er en global tendens bakkes op af en nyere rapport fra Governmental Accountability Office, som er et rådgivningsorgan for den amerikanske kongres. Rapporten fastslår, at amerikanske forsikringsselskaber har oplevet en fordobling i omkostningerne ved cyberangreb mellem 2016 til 2019, og præmierne derfor er steget betragteligt.

Af samme årsag har en række forsikringsselskaber reduceret sine dækningsgrænser eller øget præmierne for organisationer og industrier med højere risiko såsom akademiske institutioner eller sundhedsvæsenet og den offentlige sektor, noteres det i rapporten.

Mikko Peltonen fra IF fortæller, at priserne også har været for lave under vores himmelstrøg. Men det var de største globale spillere, som risikovurderede forkert i første omgang, og de nordiske spillere fulgte derefter trop for at være konkurrencedygtige, indskyder han.

”Cyberforsikring var et hot emne for få år tilbage, og alle ville med på vognen. Det var et blødt marked. (udtryk for et marked, hvor antallet af sælgere overstiger antallet af købere, red.) Og hvis alle sælger en forsikring for 7 euro, og din pris er 12 euro, så vil du være ret alene med dit produkt. Så det var en markedstendens, og den var drevet af de globale spillere som AIG, Zürich og andre globale giganter. Også i det nordiske marked.”

Så det var de globale spillere, der foretog en forkert risikovurdering, og de nordiske selskaber fulgte derefter med for at konkurrere med dem?

”Ja, men i forsvar for de globale spillere var tilfældet, at markedet og truslen udviklede sig så hurtigt, at det næsten var umuligt prissætte ud fra risikoen. Det er en meget abstrakt risiko og svært at forudsige, at russiske og kinesiske hackere pludselig finder nye sårbarheder over natten. Det så man ikke komme.”

Mikko Peltonen forklarer, at cybertruslen, før ransomewareangreb blev en realitet, primært bestod af såkaldte malwareangreb. Det er en virus, kreeret af hackere, som inficerer en lille del af et computersystem og prøver at distribuere sig selv derfra.

”Det lukkede ikke et helt system ned. Så forstyrrelsen var ikke lige så stor. Og i de fleste tilfælde kunne man køre en virusscanner og eliminere virussen,” fortæller han og tilføjer, at ransomewareangreb i modsætning til malwareangreb lukker hele virksomhedens system ned, og at det derfor er væsentligt dyrere at afbøde.

”Skadesudbedringen involverer typisk at fjerne virussen, genoprette alle virksomhedens systemer og data fra backups og sørge for, at et lignende angreb aldrig kan finde sted igen. Det er både dyrt at afbøde angrebet og genoprette systemerne. Nedlukningen af virksomhedens drift, mens angrebet står på, er selvsagt også meget dyrt.”

Det var netop et ramsomwareangreb, der ramte 7-Eleven for nyligt i en grad, der gjorde, at butikskæden måtte lukke samtlige af sine butikker i en periode.

Ekstremt vigtigt at have en backup

På grund af risikoen for ransomwareangreb analyserer IF i dag enhver potentiel kundes sårbarhed minutiøst, før man udsteder policer, siger Mikko Peltonen.

”Vi kigger på forskellige ting vedrørende kunderne, når vi risikovurderer. Vores underwritere analyserer ret omhyggeligt, hvor godt de er beskyttet, og hvad for nogle sikkerhedsforanstaltninger de har på plads for at afbøde risikoen. Og sammen med vores risikoingeniører vurderer de, om kunden har en moden tilgang til cybertruslen, eller om de har nogle mangler, som vi bliver nødt til at prissætte i vores tilbud.”

Han fortæller videre, at nutidens kryptering er så kraftig, at det er umuligt at genoprette et system, der er krypteret, uden krypteringsnøglen. Derfor er det vigtigste fokuspunkt, når IF risikovurderer en kunde, der vil cyberforsikres, hvorvidt virksomheden har en backup på plads.

”Det er ekstremt vigtigt at have en backup. Den største faktor i vores risikovurdering er at vurdere, hvor solid en backup virksomheden har. For det er kun backuppen, der fjerner behovet for at betale de kriminelle, hvilket vi alle vil undgå.”

Var der mange virksomheder, der ikke havde backup på plads, da ransomwareangreb blev introduceret?

”Ja, det var der.”

Vi har kun set begyndelsen

Og det er derfor, at de her angreb har været så dyre?

”Korrekt. Og computersystemer er så komplekse og består af tusindvis af computere og servere, der befinder sig overalt på kloden, så det er hverken simpelt at lave backups eller at genoprette sådan et system, hvis der findes en backup. Selv hvis backuppen er på plads, kan prisen på en total genopretning være virkelig, virkelig dyr, hvis man har tusindvis af computere, og de allesammen er inficeret.”

På trods af, at IF har lidt alvorlige tab, satser selskabet stadigvæk på cyberforsikring, siger Mikko Peltonen. For behovet for at være cyberforsikret vil vokse så langt øjet rækker, og det bliver nemmere at risikovudere i takt med at tiden går, mener han.

”Vi tror, at cyberforsikringsmarkedet vil vokse ret meget. Vi har kun set begyndelsen.”

”Manglen på data er altid problematisk i forsikring, da prissætningen altid er baseret på data vedrørende skadeshistorik. Og historien er så kort, og udviklingen angående risiko har været så volatil, at det har været svært at risikovurdere. Men vi bliver mere komfortable ved at arbejde med de data, vi har, de tab, vi har set osv. Så tiden gør sit arbejde.”

Forsikringsselskaber er klar til kamp om fremtidigt kæmpemarked

Cybertruslen mod finanssektoren vokser

Nu melder forsikringsselskaber klart ud: Cyberangreb fra Rusland kan dækkes af hypet forsikring