När medvetenheten om att ett företag kan göra stora förluster till följd av en IT-incident som t.ex. intrång i företagets datasystem eller manipulation av dess data, så flyttas intresset för en effektiv riskhantering allt högre upp i ledningsstrukturerna.

Stora böter kan utdömas för de som inte följer lagen.

– När den nya dataskyddslagen GDPR träder i kraft i maj 2018 blir det ännu mer konkret för många företag att dessa frågor måste adresseras då stora böter kan utdömas för de som inte följer lagen, konstaterar Marek Stanislawski, Cyber Practice Leader på Allianz i Norden.

Han har jobbat länge med dessa frågor och berättar att många av de tuffare kraven på informationssäkerhet och datahantering har sitt ursprung från USA där de sedan länge har haft en motsvarighet till GDPR.

 

Olika sätt att hantera cyberrisker

 

En strukturerad hantering av cyberrisk inleds ofta med en kartläggning av befintlig verksamhet och IT-infrastruktur, sedan görs en djupgående analys för att förstå vilken typ av risk varje del av verksamheten kan vara utsatt för. Därefter upprättas en handlingsplan med åtgärder för att hantera de olika riskerna.

– Men sedan ett par år finns ytterligare ett verktyg tillgängligt som kan hjälpa företagen i hanteringen av sina cyberrisker, och det är att överföra delar av risken till en tredje part via försäkring. Dessa cyberriskförsäkringar ger omfattande skydd vid en IT-incident.

En av fördelarna med en försäkringslösning är att effekterna av en IT-incident kan begränsas.

En av fördelarna med en försäkringslösning är att effekterna av en IT-incident kan begränsas. Försäkringsbolaget kan hjälpa till med krishanteringen genom att ge tillgång till en panel av experter. Då det är viktigt att agera snabbt vid en IT-incident ger det en stor fördel att företaget slipper gå ut och söka experter vid incidenten.  Risk finns då även för högre kostnader då priserna sätts i samband med en akut krissituation.

– Den aspekten kan vara extra viktig för små och medelstora företag som inte har ett internt krishanteringsteam utan måste ta in hjälp utifrån vid en allvarlig IT-incident, förklarar Marek Stanislawski.

 
SPONSRAD VIDEO
Innovate Security erbjuder ett visuellt och enkelt verktyg som hjälper dig att få kontroll på informationssäkerhet och regelverk som GDPR och FFFS2014:5 där ISO-27.000 är integrerat. Besök vår hemsida för en test.

 

Från början var det mest tillverkningsindustrin som var bekymrade av cyberriskerna då de var oroade för produktionsstopp i samband med IT-incidenter. Men numera är alla företag exponerade för olika typer av cyberrisker, och det är snarast en fråga om när och inte om de kommer att drabbas av en IT-incident.

– Det är en naturlig följd av den ökade digitaliseringen. Ju mer beroende vi blir av digital teknik och molnlösningar, desto mer exponeras vi för cyberrisker.

 

Ökat intresse för försäkringslösningar

 

Intresset för cyberriskförsäkringar har hittills varit lågt. En förklaring kan vara att det är en relativt ny försäkringsform som inte prövats på bred basis, att det kan finnas en viss osäkerhet kring vad den omfattar och hur den fungerar. Dessutom finns i många företag och organisationer fortfarande en låg medvetenhet och förståelse av omfattningen och effekterna av de cyberrisker de utsätts för, och de har därför oftast inte budgeterat för en försäkringslösning.

Det är svårt för företag att vara experter på allt.

– Men det är på väg att ändras nu när riskerna blir allt mer tydliga, inte minst som en följd av allt fler utpressningsattacker som slås upp stort i media, samt införandet av GDPR. Det är svårt för företag att vara experter på allt, och även tungt att bära kostnaderna relaterade till en IT-incident själva, så här ser jag att försäkring kan spela en viktig roll, avslutar Marek Stanislawski.