cybercrimefoto Georges Kyrillos Dreamstime

Forsikring

Advokat advarer: Cyberangreb kan sætte krigsforsikring ud af spil

Krigsforsikringen kan blive sat ude af kraft, hvis Danmark bliver angrebet af russsiske hackere i forbindelse med Rusland-Ukraine-krigen, frygter advokat med speciale på området. Brancheforening opfordrer virksomheder til at have is i maven – og opfordrer samtidig politikerne til at tage truslen alvorligt.

I værste fald kan virksomheders forsikringer mod cyberangreb ende med at være værdiløse, hvilket kan ende med at koste selskaberne dyrt.  Det kan ske ved et cyberangreb fra fra den russiske stat. Stadig mere tyder på, at vi allerede befinder os i en hybridkrig mod Rusland pga. vores støtte til Ukraine, så hvis cyberangreb ikke allerede er sket, er det efterhånden et meget sandsynligt scenarie.

Det mener Allan Kvist-Kristensen, advokat og partner i Ark Advokatpartnerselskab.

”Jeg er meget usikker på, om den krigsforsikring, der følger af lovgivningen, faktisk dækker cyberangreb. For det, der har været fundamentet for krigsforsikringen, har været skader på fast ejendom og indbo. Og cyber- og hackerangreb er noget immaterielt,” siger Allan Kvist-Kristensen.

Han henviser til loven om krigsforsikring af fast ejendom og løsøre, der blev indført i 1969. Loven lægger op til, at staten kan forsikre skader på visse bygninger og ejendele, i tilfælde af at Danmark skulle komme i krig mod fremmede magter, og det private forsikringsmarked skulle bryde sammen.

Det er dog usikkert, om cyberområdet hos virksomheder vil kunne gå ind under ’fast ejendom’ eller ’løsøre’, som loven står skrevet nu. Dermed er der en risiko for, at staten ikke har mulighed for at dække omfattende skader på virksomheder forårsaget af cyberangreb, hvis det har relation til krigsførelse, mener Allan Kvist-Kristensen.

“Som det ser ud nu, kan staten godt gå ind og dække skader på materielle ting i ejendomme og løsøre såsom facader, mursten, møbler, maskiner og andet inventar. Men hvis det er immaterielle ting som data eller andet it-materiale, er der ikke noget at gøre,” siger han.

Et dystert, men muligt scenario

Som InsideForsikring beskrev tidligere på ugen, er danske virksomheder stadig meget udsatte mod cyberangbreb fra aktivistgrupper og kriminelle.

Især grupper med prorussiske sympatier og mere eller mindre tilknytning til den russiske stat nævnes i flere af efterretningstjenesternes trusselsvurderinger som sandsynlige ophavsmænd til omfattende cyber- og hackergrupper mod danske virksomheder og myndigheder.

Allan Kvist-Kristensen understreger, at Danmark ikke er i krig mod Rusland, og ”forhåbentlig kommer vi aldrig nogensinde i krig”. Derfor bliver diskussionen om krigsforsikring af cyberangreb også hypotetisk, da krigsforsikringen først træder i kraft i tilfælde af krig, samt at Danmark aldrig har stået i sådan en situation.

Det ændrer dog ikke ved, at cybertruslen mod danske virksomheder er reel, og at Danmark lige pludseligt kan stå midt i en moderne, hybrid form for krigsførelse, hvor cyberangreb vil spille en afgørende rolle. Dermed kan danske virksomheder blive ramt af omfattende angreb, der kan lamme virksomhederne og resultere i store tab.

Hvis det sker – og Danmark befinder sig i en krig mod en fremmed magt som Rusland – kan virksomhedernes muligheder for at få dækket cyberskader være begrænsede. Derfor bliver selskaberne nødt til at tage deres forholdsregler, styrke deres cyberforsvar markant og forberede sig på, at forsikringerne muligvis kan ende med at være værdiløse.

“Det kan virke dystert, men som virksomhed bliver man nødt til at forholde sig til det og erkende, at både forsikringsselskaberne og staten kan få svært ved at samle de risici op,” siger Allan Kvist-Kristensen og kommer samtidig med et opråb til Christiansborg og i særdeleshed Erhvervsministeriet om at tage problemet alvorligt.

“Politikerne bliver nødt til at tage stilling til, om definitionen på krigsforsikring skal udvides til også at omfatte cyber.”

Det har ikke været muligt at få en kommentar fra erhvervsminister Morten Bødskov (S) inden deadline.

Problemet stikker dybere

At det kan være svært at dække skader forårsaget af cyberangreb som følge af krig, er ikke en ny diskussion – især ikke for forsikringsbranchen.

Et notat om de forsikringsmæssige konsekvenser af situationen i Ukraine udarbejdet i 2022 af WTW (tidligere Willis Towers Watson) beskriver, at bygnings-, løsøre- og driftstabsforsikringen hos et givent forsikringsselskab som udgangspunkt undtager skader opstået i forbindelse med krig, krigshandlinger, neutralitetskrænkelse og lignende.

I samme notat står der specifikt om cyberforsikringer, at de ”som oftest undtager alle tab eller krav, der opstår som følge af krigshandlinger, uanset om krig er erklæret eller ej – herunder invasioner og krigslignende handlinger.”

Netop det forhold kan ende med at blive et problem for forsikringsselskaberne set i lyset af den aktuelle cybertrussel, mener Allan Kvist-Kristensen, da Danmark ifølge ham altså ikke engang behøver at være i en direkte krig mod Rusland, for at forsikringsselskaber kan undtage cyberskader fra dækning.

Spørgsmålet bliver så, om forsikringsselskaberne har appetit på alligevel at forsøge at forsikre kunderne mod mulige destruktive cyberangreb i direkte eller indirekte krigstid. Det tvivler Allan Kvist-Kristensen på, da der potentielt er tale om store risici – og dermed også store pengesummer.

”Forsikringsselskaberne har ingen chance for at indtegne den risiko, for man kan simpelthen ikke beregne risikoen for krig. I det tilfælde kan selskaberne få svært ved at tegne de rigtige præmier og bære den risiko,” siger Allan Kvist-Kristensen.

Forsikringsselskab: Cyberforsikringer bliver ikke irrelevante

Selv om de ikke vil svinge sig op på niveau med Allan Kvist-Kristensens frygt, ser også det internationale forsikringsselskab QBE med bekymring på den voksende trussel for cyberkrig og -kriminalitet på tværs af landegrænser, og hvordan det stiller forsikringsselskaberne.

I en mail til InsideForsikring skriver Simon Højmark, der er financial lines portfolio manager i QBE, at udenlandsk cyberkriminalitet er blevet en milliardindustri, hvor hackere for blot 10 dollar kan købe et DDoS-angreb (distributed denial of service) på ’det mørke internet’, som kan lægge en virksomheds hjemmeside ned i længere tid.

Dog påpeger han, at cyberforsikringer ikke er anderledes end andre forsikringsprodukter, hvor krigsundtagelser gælder, og at disse undtagelser derfor ikke gør cyberforsikringerne irrelevante.

Cyberforsikringer vil derfor i hans optik hjælpe virksomhederne i den nuværende kontekst, hvor cybertruslen mod virksomhederne er blevet større. Det vil også gælde, selv om angrebene skulle være statssponsorerede og skulle ske i forbindelse med krig.

”Der er selvfølgelig vilkår og betingelser, og mæglere spiller en afgørende rolle i at hjælpe virksomheder med at forstå, hvilke typer policer der matcher deres behov. I bund og grund handler det om at vurdere dine risici, udvælge den rette beskyttelse mod disse risici og forstå din forsikringspolice,” skriver Simon Højmark.

Brancheforening maner til ro, men også til politisk opmærksomhed

Hos brancheorganisationen Forsikring & Pension (F&P) forklarer underdirektør Pia Holm Steffensen, at det afgørende i diskussionen om krigsforsikring er, om et cyberangreb kommer fra den russiske stat, og om Danmark er i krig med Rusland. I det scenario har hun svært ved at forestille sig, at forsikringsselskaberne kan afvise skaderne med hensyn til krigsundtagelser.

Desuden mener hun ikke, at det er realistisk at forestille sig, at krigsundtagelserne i forsikringsselskabernes cyberforsikringer skulle være så vidtrækkende, at de ikke dækker, selv hvis ikke der er erklæret krig.

Pia Holm Steffensen mener derfor, at de private forsikringsselskaber med deres nuværende dækningsgrader godt kan indtegne, beregne og dække risici vedrørende cyberangreb fra udenlandske hackere – uanset om Danmark er i krig eller ej.

Når det er sagt, er F&P opmærksom på truslen og forsøger at sige til både virksomhederne og politikerne, at de skal tage situationen alvorligt og sørge for, at cyberforsvaret bliver styrket. Det er nemlig ikke kun store internationale virksomheder som Mærsk, der er et potentielt mål – cyberangreb kan ramme alle, især de små og mellemstore virksomheder.

I den henseende er hun enig med Allan Kvist-Kristensen i, at Folketinget bør forholde sig til, om krigsforsikringen på fast ejendom og løsøre bør udvides til cyberområdet.

”Det kunne være fordelagtigt at have en tydelighed fra politisk hold om, hvorvidt en krigsforsikring skal kunne udvides til også at have immaterielle skader med – jo før, jo bedre. Ikke kun på grund af den voksende cybertrussel, men især fordi meget er sket siden 1969,” siger Pia Holm Steffensen.

Læs mere

Russiske cyberangreb udstiller virksomheders sårbarhed. Men forsikringsselskaber øjner muligheder

Kære statsminister, du er så sent ude med budskabet om oprustning, at det er pinligt

Dankort har klar fordel i tilfælde af større krisesituation

Krig- og krisefrygt spreder sig med lynfart i dansk nærområde

Forsikringspriser kommer til at fylde meget i 2024