Cybercrime web

Forsikring

Russiske cyberangreb udstiller virksomheders sårbarhed. Men forsikringsselskaber øjner muligheder

Trods adskillige advarsler fra efterretningstjenesterne gennem flere år er danske virksomheder fortsat meget sårbare over for cyber- og hackerangreb fra især russiske grupper. Det kan koste virksomhederne flere penge, men ironisk nok kan forsikringsselskaber spinde guld på den russiske cybertrussel. Både politiker og sikkerhedsekspert maner til besindighed.

Alt for mange danske virksomheder er sårbare over for cyberkriminalitet og hackerangreb, og det kan koste dem dyrt på pengepungen.

Så kontant lyder beskeden fra flere it- og cybersikkerhedseksperter i kølvandet på de omfattende angreb, som flere danske virksomheder og myndigheder oplevede sidst i februar.

”Det undrer mig, at der tilsyneladende er så mange virksomheder, som ikke har været gode nok til at implementere stærke og solide it-sikkerhedsløsninger,” siger Peter Kruse, mangeårig ekspert i cybersikkerhed og nu ansvarlig for it-sikkerhed i ladeoperatøren Clever.

Det var en prorussisk aktivistgruppe kaldet NoName57, der i et såkaldt DDoS-angreb (forkortelse for distributed denial of service), hvor man overbelaster en bestemt internetadresse, fik flere danske virksomheders hjemmesider til at gå ned.

I en besked offentliggjort på beskedtjenesten Telegram skrev gruppen, at angrebene skete som gengæld for, at den danske regering har lovet Ukraine økonomisk støtte i 10 år i landets kamp mod Rusland.

En anden gruppe med russiske forbindelser kaldet Zyndicate stod bag et omfattende hackerangreb på it-selskabet Netcompany og fik i den forbindelse fingrene i fortrolige data. For it-firmaet resulterede angrebet i et foreløbigt tab i aktieværdien på 1,25 milliarder kroner.

Peter Kruse vurderer, at der vil komme flere angreb af den kaliber i fremtiden, og at angrebene kun vil tage til i størrelse og intensitet, i takt med at krigen mellem Rusland og Ukraine udvikler sig.

”Russisk it-kriminalitet og cyberangreb har været under udvikling gennem mange år, og det er også det land, hvorfra der har været mest digital kriminalitet. Når man så står i en krig, hvor Danmark kommer til at spille en aktiv part, så vil responsen fra den kant selvfølgelig blive intensiveret,” siger Peter Kruse.

Voksende marked for cyberforsikringer

Den stigende cybertrussel fra Rusland er også noget, som forsikringsbranchen holder nøje øje med. Og paradoksalt nok kan cybertrusler mod virksomheder vise sig at være en vækstmotor for forsikringsselskaberne.

En analyse, som er udarbejdet af den britiske forsikringsgigant Lloyd’s, estimerer, at den globale præmievolumen for cyberforsikringer vil kunne udgøre mellem 13 og 25 milliarder dollar i 2025. Sidste år blev denne præmievolumen opgjort til omkring 9 milliarder dollar.

Søren Carl Stryger, der er ansvarlig for cyberforsikringsområdet i rådgivningsselskabet Aon, uddyber til InsideBusiness, at selv om cyberforsikringer er et relativt nyt marked for forsikringsselskaberne, er det i kraftig vækst og forventes at vokse yderligere de kommende år.

Han peger på en spørgeskemaundersøgelse gennemført af Aon, der specifikt udpeger cyberangreb og datalæk som nummer 1 på listen over risici, som virksomheder står overfor. Det forventes, at cybertruslen vil blive ved med at beholde førstepladsen frem til 2026, konkluderer undersøgelsen.

Med den forventede vækst følger samtidig et stort potentiale for både kunder og forsikringsselskaber at tage stilling til forsikringspolitikken på området, herunder at tilbyde relevante cyberforsikringsprodukter.

”Vi skal som forsikringsindustri finde en balance, hvor cyberforsikringsprodukterne både er relevante og stadig er rentable i lyset af trusselsbilledet, der hele tiden udvikler sig. Det er en dialog, der er i gang i markedet nu, og som kommer til at fortsætte i fremtiden,” siger Søren Carl Stryger.

Aon ser i 2024 ind i et marked, hvor forsikringsselskaberne igen tilbyder mere kapacitet og fleksible prisvilkår, såfremt man som virksomhed er i stand til at præsentere en fornuftig risiko. Det kommer på baggrund af længere tids udfordringer, hvor især 2021 og 2022 var svære år for cyberforsikringsmarkedet på grund af de anmeldte skader som følge af ransomwareangreb.

Det er for Søren Carl Stryger en indikation på, at virksomhederne har vænnet sig til de risici, der er forbundet med cyberhændelser, men også et udtryk for, at ens cyberforsikringspolitik skal komplementere ens it-sikkerhedsstrategi og ikke erstatte den.

“Vi har været igennem nogle turbulente år, og forsikringsmarkedet er nu i en stabiliserende periode, hvor selskaberne efterhånden har fundet en måde, hvor de komfortabelt kan imødegå cybertruslen på en måde, hvor de både kan servicere kunderne og gøre det til et rentabelt marked, på trods af at vi igen ser et stigende trusselsbillede,” siger han.

De lette dage er slut nu

Trusselsbilledet suppleres af de danske efterretningstjenester.

I flere år har de nemlig advaret om, at truslen om cyberkriminalitet og -angreb fra udenlandske aktører vil blive større, og at danske virksomheder og myndigheder i højere grad vil blive et mål.

Efterretningstjenesterne udpeger især Rusland og grupper, som er mere eller mindre tilknyttet den russiske stat, som aktører, der vil være villige til at rette det digitale skyts mod Danmark.

Center for Cybersikkerhed skrev således sidste år i en rapport, at prorussiske cyberaktivister i stigende grad fokuserer deres angreb mod Nato-lande, herunder Danmark, og at det er sandsynligt, at hackergrupper tilknyttet udenlandske stater vil forberede sig på at udføre destruktive angreb målrettet danske virksomheder og myndigheder.

Også Forsvarets Efterretningstjeneste skriver i seneste trusselsvurdering fra i år, at det er ”meget sandsynligt, at Rusland i de kommende år vil forsøge at udfordre internationale normer og regler ved at anvende sine militære kapaciteter i handlinger, Rusland vurderer ligger under tærsklen for krig.”

Peter Kruse mener, at det på den baggrund ikke er godt nok, at Danmark på trods af efterretningstjenesternes mange advarsler stadig på mange måder er så sårbar over for udenlandske cyberangreb.

Derfor skal virksomheder nu til at tage situationen seriøst og investere i cybersikkerhed, hvilket i hans optik også kan indebære cyberforsikringer.

Alternativet kan nemlig ende med at blive meget dyrt – både penge- og omdømmemæssigt.

”Virksomhederne bliver tvunget i arbejdstøjet nu og skal nu gå ud på markedet for at købe nogle løsninger, der bedst kan beskytte og forsikre dem. De dage, hvor erhvervslivet kunne tage let på it- og cybersikkerheden, er slut nu,” siger Peter Kruse.

Gælder forsikringer i krigstid?

Spørgsmålet er dog, om kunderne stadig kan få gavn af forsikringerne, hvis Ukraine-krigen eskaleres. De fleste forsikringer har indbygget en såkaldt krigsundtagelse, der betyder, at eventuelle tab ikke kan dækkes af forsikringsselskaber i tilfælde af krig.

Hvis Danmark i værste tilfælde bliver en aktiv part i Rusland-Ukraine-krigen, kan det potentielt betyde, at virksomheder, der bliver udsat for cyberangreb, ikke kan få deres tab dækket. Og ifølge en person med indgående kendskab til emnet er det ikke utænkeligt.

”I det tilfælde er virksomheden faktisk lidt på den, for så har de ikke længere en forsikringsdækning for en skade, der kan have utrolig stor betydning for virksomheden,” siger Allan Kvist-Kristensen, advokat og partner med speciale i cyberområdet i Ark Advokatpartnerselskab.

Han forklarer, at Danmark og danske virksomheder faktisk ikke behøver at være i direkte krig, før skader er undtaget forsikringsdækning. Hvis en virksomhed eksempelvis bliver angrebet af russere, og det kan bevises, at de har tilknytning til den russiske stat samt gjorde det på grund af Danmarks opbakning til Ukraine, kan skaden i værste tilfælde være undtaget forsikringen.

Det skyldes i bund og grund, at forsikringsselskaberne har svært ved at indregne risici relateret til krig i forsikringsprodukterne, og i tilfælde af cyberangreb er den udfordring endnu større. I Allan Kvist-Kristensens optik er der altså potentielt et kæmpe hul i cyberforsikringsmarkedet, hvis Danmark skulle ende i krig mod Rusland.

“Hvis du har et forsikringsmarked, der ikke kan samle krigsskader, som er forårsaget af cyberangreb, op, har du i praksis ikke mulighed for at forsikringsafdække dig mod disse typer angreb,” siger han.

Sikkerhedsansvarlig i Aon Søren Carl Stryger er dog ikke så bekymret over krigsundtagelserne på nuværende tidspunkt. Selv om det førhen har været uklart, hvordan krigsundtagelserne skulle fortolkes på cyberforsikringerne, og det globale forsikringsmarked derfor har måttet tage mere aktiv stilling på området, er det hans overbevisning, at de fleste skader forårsaget af cyberangreb vil kunne dækkes.

”Generelt er det vores opfattelse, at cyberforsikringer indtil nu har responderet tilfredsstillende på de anmeldte skader på trods af krigsundtagelser, men da både trusselsbilledet og vilkår ændrer sig hele tiden, er det selvfølgelig væsentligt at holde sig opdateret på sine dækninger helt generelt, herunder hvordan krigsundtagelsen virker,” siger Søren Carl Stryger.

Må bevare det kølige overblik

Uanset hvad, bør virksomhederne lade være med at gå i panik over de mange cyberangreb og truslen fra Rusland.

Det mener Martin Kofoed, tidligere efterforsker i cyberkriminalitet hos Rigspolitiet. I dag er han partner for cybersikkerhedsafdelingen i selskabet itm8, der leverer it- og cybersikkerhedsløsninger til en række virksomheder.

Han understreger, at man bestemt ikke skal underkende risikoen for cyberangreb og cyberkriminalitet, som efterretningstjenesternes trusselsvurderinger også beskriver. Dog er det vigtigt at huske på, at DDoS-angreb som dem, der blev udført af NoName, normalvis ikke vil forvolde virksomhederne store skader, og at hjemmesiderne hurtigt vil kunne komme op at køre igen.

”De her angreb har ét formål fra gerningsmændenes side, nemlig at skabe utryghed og frustration. Så selvfølgelig skal man som virksomhed ikke tage let på dem, men man skal heller ikke gå i panik,” siger Martin Kofoed.

Han kan sagtens forestille sig, at flere virksomheder vil tegne cyberforsikringer, og flere af itm8’s kunder og samarbejdspartnere begynder også at udvise interesse for den type produkter. Man skal blot huske på, at en cyberforsikring aldrig kan være en sovepude, og at man derfor stadig bør overholde sin basale it-hygiejne såsom at opdatere sine systemer og aldrig anvende det samme password til flere systemer.

Derudover bør man være opmærksom på, at en cyberforsikring ligesom en hvilken som helst forsikring også har bestemte vilkår og forudsætninger, der skal opfyldes fra virksomhedens side, før den kan træde i kraft.

Hvis en virksomhed ikke har været opmærksom nok i sit cyberforsvar og er kommet til at åbne for en kattelem, som kriminelle kan udnytte til at komme ind i systemerne, kan det blive let for forsikringsselskabet at afvise skaden.

Derfor bør man som virksomhed både gennemgå sine forsikringspolicer grundigt samt sine forholdsregler på cyberområdet.

”I bund og grund bør virksomhederne lave en risikovurdering og finde ud af, hvor man er mest sårbar. Hvis man er meget afhængig af sin hjemmeside, og at den er i fare for at gå ned på grund af et overbelastningsangreb, bliver man selvfølgelig nødt til at gøre mere for at minimere risikoen,” siger Martin Kofoed.

Socialdemokratisk forsvarsordfører: Cyberforsvar må styrkes

Også blandt det største regeringsparti opfordres der til at forholde sig i ro.

Forsvarsordfører og formand for Finansudvalget Simon Kollerup (S) fortæller, at selv om cybertruslen er reel og skal tages med den dybeste alvor, er det vigtigt for ham at skelne mellem de destruktive typer af hackerangreb, hvor vigtige dele af infrastrukturen kan ødelægges, og DDoS-angreb, der i det store billede kan betegnes som ”at kaste æg på virksomhedernes facader”.

Det er især den førstnævnte type angreb, der lige nu bør have både erhvervslivets og Christiansborgs fokus.

”Det fylder selvfølgelig meget for erhvervslivet, men det er nødvendigt at tæmme frygten samt køligt og strategisk løfte vores cyberforsvar mod de mere alvorlige angreb, hvis vi skal være trygge i en fremtid, der byder på hybride angreb via internettet,” siger Simon Kollerup til InsideBusiness.

Derfor kommer Socialdemokratiet til også at fokusere på cyberområdet som en del af de kommende forhandlinger om forsvarsforliget, der skal give et nødvendigt løft af det danske forsvar til at stå imod truslen fra Rusland, fortæller Simon Kollerup.

Hvad angår virksomhederne, er forsvarsordføreren mest bekymret over de små og mellemstore virksomheder, der ikke nødvendigvis har de nødvendige ressourcer og afdelinger internt til at håndtere angreb, som store virksomheder har. Derfor er det også nødvendigt at give især de mindre selskaber de rette rådgivningsindsatser for at sikre, at de også er klædt på til at imødegå de nye tider med cybertrusler fra fremmede aktører.

I første omgang er det for Socialdemokratiet dog vigtigt, at Danmark styrker sit forsvar mod den russiske trussel – især på cyberområdet.

”Vi må forvente en udvikling i hyppigheden og intensiteten af angreb, i takt med at statslige aktører begynder at involvere sig mere i cyberkrig end tidligere. Derfor er det vigtigt at have et stærkt forsvar mod de dybdegående hackerangreb, samtidig med at vi ikke lader frygten styre os, når det kommer til overbelastningsangreb,” siger Simon Kollerup.

Læs mere

Kære statsminister, du er så sent ude med budskabet om oprustning, at det er pinligt

Gigantisk afkastpotentiale i forsvarsindustrien. Men vejen er vanskelig for investorer og pensionskasser

Hybridkrig rammer cyberforsikring på kritisk tidspunkt

Ukraine-krig ændrer forsikringsbilledet totalt. Pris på cyberforsikringer skyder i vejret

Risikoen for cyberangreb undervurderes – og forsikringssummerne skal op