Rett før påske ble det klart at store deler av internett hadde et stort problem. Heartbleed-feilen gjorde hundretusener av nettsider og selskaper sårbare for hackere, og brukeres passord og data kan ha kommet på avveie. Dette er en av mange alvorlige it-hendelser det siste året, og nå øker interessen for å sikre seg mot følgene.
- Vi jobber med å lage en datakriminalitetsforsikring fordi vi får et økende antall forespørsler fra kunder, sier Line Gjengedal Ruud, nordisk leder for produkt og pris på ansvarsforsikring i If.
Stort sett brenner det ikke
I USA har cyberforsikring vært vanlig i rundt ti år. De eneste som tilbyr slik forsikring i Norge nå er amerikanske selskaper, sier Ruud i If.
- Det er som huset ditt. Stort sett brenner det ikke, men det er greit å ha forsikring den dagen det smeller, mener Øystein Skagestad, avdelingsleder i AIG.
Men cyberforsikringer er ikke helt som forsikringer mot branner, kollisjoner og vannskader. For hvis huset ditt brenner er det stort sett ganske klart hva som er skjedd og hva som er skadet, men hva er det egentlig man kan få igjen, hvis hackere og virus har herjet selskapet ditt?
Skreller vekk «fluffy»
IT-sikkerhetsselskaper advarer ofte mot at alt fra forretningshemmeligheter til selskapets gode navn og rykte kan forsvinne ved hacking. Ikke alt er like lett å forsikre.
- Det er fullt mulig å lage et produkt på linje med andre forsikringer, men vi har prøvd å skrelle vekk fluffydekning, sier Ruud.
Med «fluffy» mener hun ting som er vanskelig å beregne og definere, særlig skader på selskapets omdømme, såkalt «gossipforsikring».
Hvis en hacker stikker av med alle forretningshemmelighetene bedriften din skal leve av de neste årene, er det heller ikke sikkert forsikringen hjelper stort.
– Å dekke alt slikt ville både vært dyrt og svært komplisert og det er ikke sikkert det er mulig å beregne skadene. Kunden skal vite konkret hva de betaler for, sier Ruud.
Omdømmeforsikring
AIG oppgir at deres forsikring gir beskyttelse av omdømme, men heller ikke de gir erstatning for ødelagt merkevare.
- Beskyttelsen av omdømme gjelder hjelp fra pr-eksperter, forteller Skagestad.
Forsikringen dekker også teknisk hjelp som skal bidra til å redusere konsekvensene.
- Mistenker man at det er personopplysninger på avveie kan man få hjelp hele døgnet dekket for de 48 første timene, sier han.
Vakttjeneste
Frykten for erstatningsansvar har trolig bidratt til at forsikringsmarkedet er stort i USA.
- I USA er fokuset større på erstatningsansvar. Her er det mer fokus på bistand. Vi har ikke sett de store erstatningssummene i Europa, sier Henrik Vignes Pettersen, produktansvarlig for cyberforsikring i AIG.
Han sier seg enig i at produktet deres på mange måter likner et abonnement på it-støtte for krisesituasjoner. Du betaler en årlig premie, fremfor å punge ut når det smeller.
Både If og AIG tror nye EU-regler for databeskyttelse vil øke interessen for forsikring. Reglene er ventet å gi krav om varsling hvis kundedata kan være tapt, og det er diskutert innføring av bøter for regelbrudd og datatap på inntil fem prosent av selskapenes globale omsetning.
Grovt uaktsomt
Forsikringen er slett ikke ment som et alternativ til å investere i it-sikkerhethet. Både AIG og If vil ha grundige gjennomganger av kundenes systemer for å kartlegge risikoprofilen.
- Hvis de ikke svarer tilfredsstillende må vi vurdere premien, sier Pettersen.
Mangel på rutiner, dårlig internkontroll, systemovervåking og dårlig oppdatert sikkerhet kan gi høyere premie. Det samme gjelder virksomhet i USA , der risikoen for erstatning er større.
Les også: Nesten hele Norge må bytte passord
Les også: Første Heartbleed-angrep rapportert (Vilkår)Copyright Dagens Næringsliv AS og/eller våre leverandører. Vi vil gjerne at du deler våre saker ved bruk av lenke, som leder direkte til våre sider. Kopiering eller annen form for bruk av hele eller deler av innholdet, kan kun skje etter skriftlig tillatelse eller som tillatt ved lov. For ytterligere vilkår se her.