Cyberforsikring dækker ikke af sig selv, og mange opdager det for sent
En cyberforsikring er i dag blevet en naturlig del af mange virksomheders risikostyring på lige fod med andre forsikringer. Det er helt naturligt da et cyberangreb på få timer kan lamme driften, eller låse data måske det der er værre.
Men en cyberforsikring er ikke nødvendigvis en garanti for dækning. I praksis ser vi, at mange virksomheder slet ikke er klar over at, der er tekniske, og organisatoriske krav der skal være på plads før man kan sikre fuld dækning hvis uheldet en dag skulle være ude.
Forsikringen dækker – men kun hvis betingelserne er opfyldt
En cyberforsikringspolice indeholder i dag meget konkrete og fair sikkerhedsforholdsregler, som virksomheden selv har ansvaret for at overholde.
Det kan f.eks. være, at virksomheden skal kunne dokumentere, at man:
- tager regelmæssig backup og kan gendanne data.
- Nogle vil have backup hver 5. dag andre hver 7. dag – det er derfor vigtigt at læse betingelserne godt igennem.
- anvender stærke adgangskoder og relevante tekniske kontroller.
- Nogle selskaber kræver 8 tegn, mens andre kræver 12-14 tegn for at opfylde betingelserne.
- installerer sikkerhedsopdateringer inden for fastsatte tidsfrister
- udfaser systemer, der ikke længere understøttes
- har klare aftaler, hvis IT-driften er outsourcet.
Hvis disse krav ikke er opfyldt – eller ikke kan dokumenteres – har forsikringsselskabet i nogle tilfælde mulighed for helt eller delvist at afvise dækning.
Det er sjældent viljen – men dokumentationen – der mangler
I langt de fleste virksomheder gør man allerede “meget af det rigtige”. Der bliver taget backup. IT-leverandøren patcher systemer. MFA er slået til.
Men når vi gennemgår virksomhedernes faktiske setup op mod forsikringsvilkårene, ser vi ofte at:
- backup er ikke dokumenteret i forhold til frekvens, opbevaring og gendannelsestest
- adgangskrav gælder ikke alle brugere og konti – især gamle eller tekniske konti
- opdateringer udføres, men uden dokumenteret proces og tidsfrister
- leverandøraftaler indeholder ikke de krav, som policen forudsætter.
I forsikringsmæssig forstand tæller det, der kan dokumenteres – men ikke altid det, man “har styr på”.
Cyberforsikring handler også om adfærd før skaden
Cyberforsikringer stiller ikke kun krav før en hændelse, men også efter.
Ved en cyberhændelse forventer forsikringsselskabet bl.a., at virksomheden:
- anmelder hændelsen rettidigt
- samarbejder med udpegede eksperter
- kan fremlægge dokumentation for overholdelse af sikkerheden
- kan redegøre for hændelsesforløb, adgangsveje og patch status.
Mangler denne dokumentation, kan det i nogle tilfælde få betydning for både dækningens omfang og sagsbehandlingen.
Hos Beierholm tilbyder vi at lave et Cyberforsikringstjek
Et Cyberforsikringstjek er en målrettet gennemgang af din virksomheds efterlevelse af cyberforsikringens vilkår. Det er ikke en teknisk test og ikke en klassisk IT-revision. Det er en praktisk og struktureret vurdering og overblik af:
- om virksomhedens nuværende praksis lever op til policens krav
- hvor der kan være risiko for afvisning eller reduceret dækning
- hvilke mangler, der primært handler om dokumentation
- hvad der bør være på plads inden næste policerevision
De fleste virksomheder mangler ikke flere systemer og sikkerhedsprodukter – de mangler klarhed, struktur og dokumentation. Små justeringer kan gøre en stor forskel:
- formalisering af eksisterende praksis
- afklaring af leverandørroller
- dokumentation, der matcher policens ordlyd.
Det er ofte de sidste 10 %, der afgør, om forsikringen dækker – eller ej.
Få klarhed før skaden sker
Cybertruslen mod Danske virksomheder udvikler sig hurtigt, og forsikringsselskaberne skærper derfor også løbende deres krav. Det betyder, at det, der var tilstrækkeligt sidste år, ikke nødvendigvis er det i dag. En gennemgang kan give jer overblik og klarhed før uheldet rammer og sikrer, at forsikringen også holder i praksis.
Ræk ud til din revisor i Beierholm eller bestil et cyberforsikringstjek her. Du kan roligt klikke på knappen nedenfor, hvor du får mere info.
