Ettersom etterspørselen har vokst til enestående nivåer, har industrien blitt svært volatil. Premiene øker, det er flere regler om hva som dekkes og ikke, og det er innført minimumsstandarder for virksomheter som ønsker å være forsikret. Dette kan virke som dårlige nyheter for bedrifter, men til syvende og sist er det flere positive sider.
Noen ganger tror folk at cybersikkerhet er en mørk verden. I virkeligheten er fysisk og digital virkelighet mye mer like enn du kanskje tror. For 30 år siden tenkte selskaper som ønsket å beskytte sine eiendeler først og fremst på forsikring mot brann og tyveri. I dag er risikoen mer digital. I følge Veeam Data Protection Trends Report 2024, tre av fire organisasjoner har vært utsatt for minst ett ransomware-angrep det siste året, og én av fire har blitt angrepet mer enn fire ganger i samme periode.
Det er ikke rart at cyberforsikring har blitt et stadig mer populært valg for mange organisasjoner – forventet å vokse med 24 % til å bli en industri på 84,62 milliarder dollar innen 2030. Men ettersom antallet virksomheter som kjøper og krever forsikring har økt, har kostnadene også vokst jevnt, med premiene økende de siste tre årene. Dette har ikke vært den eneste endringen av forsikringsselskaper som ønsker å holde cyberbeskyttelse lønnsom: mer meningsfull risikovurdering, innføring av minimumssikkerhetsstandarder og redusert dekning har blitt vanlig praksis de siste årene.
Cyberforsikring har blitt et kontroversielt tema nylig, som for det meste koker ned til million-dollar-spørsmålet om løsepengevare: å betale eller ikke å betale? Selv om mange avviser ideen om at forsikrede selskaper er mer sannsynlig å betale løsepenger, Un 2023-rapport på ofre fant at 77 % av løsepengene ble betalt av forsikring. Imidlertid prøver mange forsikringsselskaper å få slutt på denne situasjonen. Den samme rapporten fant at 21 % av organisasjonene nå eksplisitt ekskluderer løsepengevare fra sine retningslinjer. Vi så også andre eksplisitt ekskludere løsepenger fra sine forsikringer: de vil dekke nedetid og skadekostnader, men ikke utpressingskostnader.
Etter min mening er sistnevnte tilnærming den beste. Å betale løsepenger er ikke en god idé og er ikke det forsikringen skal brukes til. Det er ikke bare et spørsmål om etikk og næring til kriminalitet, men om at det å betale løsepenger ikke umiddelbart løser problemet og ofte skaper nye. For det første sporer nettkriminelle hvilke selskaper som betaler, slik at de kan komme tilbake for et nytt angrep eller dele denne informasjonen med andre organisasjoner.
En studie fant at 80 % av selskapene som betalte løsepenger ble rammet en gang til. Men selv før du kommer til dette punktet, er det sjelden enkelt å komme seg tilbake ved å betale løsepenger. Gjenoppretting med dekrypteringsnøkler levert av angripere tar lang tid, ofte med vilje, ettersom noen grupper tar betalt for hver nøkkel for å fremskynde prosessen. Så lenge dekrypteringen fungerer, betaler én av fem bedrifter løsepenger og klarer ikke å gjenopprette egne data.
Så det å betale løsepenger gjennom forsikring forsvinner heldigvis sakte. Men det er ikke det eneste som har endret seg. Selskaper som krever cyberforsikring er i økende grad pålagt å oppfylle minimumsstandarder for sikkerhet og løsepengevaremotstand. Dette kan inkludere bruk av krypterte, uforanderlige sikkerhetskopier og implementering av databeskyttelsesprinsipper for beste praksis, for eksempel minste privilegium (bare å gi tilgang til de som trenger det) eller fire øyne (som krever at endringer eller betydelige forespørsler godkjennes av to personer). Noen retningslinjer krever også at selskaper har solide planer for å sikre systemtilgjengelighet, inkludert gjenopprettingsprosesser for brønnkatastrofer defifor å forhindre nedetid på grunn av et løsepengeprogram. Tross alt, jo lenger et system er nede, desto høyere blir kostnadene for nedetid og dermed også kostnadene for et forsikringskrav.
Bedrifter bør fortsatt ha alle disse elementene. Hvis forsikringen er ledsaget av slurvete databeskyttelses- og gjenopprettingsprosesser, vil forsikringsutbetalinger bare avklare feilene. Innføringen av minimumsstandarder er gode nyheter for bedrifter. Ikke bare vil det redusere premiekostnadene i det lange løp, men sikkerhetsprinsippene de krever vil være mer verdifulle for bedrifter enn forsikringen var til å begynne med. Cyberforsikring er ikke en absolutt garanti, men den kan være et fordelaktig element i en bredere cyberresiliensstrategi. Begge er nyttige, men i tilfelle du blir tvunget til å velge bare én, vil spenst alltid være det beste valget. Heldigvis er forsikringsselskapene enige, da ubeskyttede virksomheter blir for ulønnsomme til å dekke.
Cyberforsikring, spesielt når det gjelder løsepengevare, beveger seg mot en verden der forsikrede selskaper har sterk cyberresiliens, veletablerte katastrofegjenopprettingsplaner definited og bruker forsikring kun for å redusere virkningen av angrep og kostnadene ved nedetid mens de gjenoppretter gjennom uforanderlige sikkerhetskopier. Dette er en verden som er mye mer motstandsdyktig mot løsepengevare enn en der bedrifter utelukkende er avhengige av forsikring.
BlogInnovazione.it
Sist mandag kunngjorde Financial Times en avtale med OpenAI. FT lisensierer sin journalistikk i verdensklasse...
Millioner av mennesker betaler for strømmetjenester og betaler månedlige abonnementsavgifter. Det er vanlig oppfatning at du...
Coveware by Veeam vil fortsette å tilby responstjenester for cyberutpressing. Coveware vil tilby kriminaltekniske og utbedringsmuligheter...
Prediktivt vedlikehold revolusjonerer olje- og gasssektoren, med en innovativ og proaktiv tilnærming til anleggsledelse...
