Det här är en opinionstext. Åsikter som uttrycks är skribentens egna.
Bland de attackerade företagen blev 39 procent deras produktionsdata krypterad eller förstörd och endast 55 procent av företagens förstörda data kunde återställas efter en attack. Dagens risker innebär att företag snabbt behöver investera i ny eller skala upp sin cybersäkerhet och modernisera sitt dataskydd. Men det räcker inte att företag investerar i ett proaktivt skydd och sedan håller tummarna för att de inte ska bli attackerade via kidnappningsprogram.
Cyberförsäkringar har blivit en alltmer populär metod för riskhantering mot cyberrisker. Dessa kan spela en avgörande roll för att mildra de förluster cyberincidenter innebär, och kan användas för att stärka motståndet mot cyberhot. Försäkringarna kompletterar en organisations övergripande cybermotstånd och bör integreras i dess dataskyddsstrategi. Företag måste dock komma ihåg att denna typ av försäkring endast mildrar effekten av förlusten monetärt – men förhindrar inte din data från att ha blivit komprometterad. Försäkringsföretagen är intresserade av alla aktiviteter som sänker cyberriskerna, men de kan inte vara det enda verktyget en organisation har för cyberskydd.
Allt fler väljer att försäkra sig
En cyberförsäkring kan täcka alla eller en del av kostnaderna i samband med dataintrång, kidnappningsprogram och andra cybersäkerhetsincidenter. Dessa kostnader kan komma från såväl utredningen av incidenten, som återställningen och återhämtningen av data. En av de främsta fördelarna med en cyberförsäkring är att en sådan inte bara hjälper företag att återhämta sig ekonomiskt från en cyberattack, den kan också indirekt skydda företagets data innan ett intrång inträffar. Detta genom att försäkringen tvingar företaget att formulera en mer omfattande dataskyddsplan. Det motstånd, skydd och den säkerhetskopiering som bör ingå i en modern dataskyddsstrategi är nyckeln till att säkerställa en snabb återhämtning efter en cyberattack. Detta gör det nämligen möjligt att helt ta bort eller mildra de ekonomiska konsekvenserna i samband med dataintrång och cyberattacker. Och konsekvenserna är inte endast monetära, då detta också kan innebära kostnader i form av försämrad varumärkesbild och förlorade kunder, eller kostnaden av data som inte går att återhämta.
Att en cyberförsäkring mildrar den direkta ekonomiska effekten av en cyberattack är tydligt, men den fråga som företag behöver kunna besvara är egentligen inte huruvida de behöver en cyberförsäkring eller inte, utan hur stor försäkringen ska vara och vilka typer av cyberincidenter den ska täcka. Urvalet av cyberförsökringar växer dagligen och det finns redan rapporter som pekar på att branschen för cyberförsäkringar förväntas växa till 29,2 miljarder USD till 2027.
Det går inte att försäkra bort riskerna med ransomware
En cyberförsäkring är bara en del av pusslet för att stärka ett företags motstånd mot cyberhot. Det en cyberförsäkring inte klarar av att göra är att förhindra att verksamhetskritisk data sprids i samband med en attack. Och om organisationen dessutom inte har valt rätt cyberförsäkring, kanske företaget inte täcks för alla kostnader som uppstår som en konsekvens av attacken.
Även om företag har en cyberförsäkring är de inte immuna mot ransomware-attacker. De måste fortfarande införa rutiner för god cyberhygien och ha en heltäckande och modern strategi för dataskydd- och återställning. Medan försäkringsbolag kan stödja företag då de drabbats av en cyberattack, kan och kommer försäkringen inte skydda ett företag mot allt. Ansvaret för dataskydd vilar på dataägaren och kan inte överlåtas till försäkringsföretaget.
Det är viktigt att varje organisation fortfarande har en omfattande infrastruktur för dataskydd som ger full synlighet och kontroll över data – inklusive skydd mot dataintrång och nedtid – och att företaget har god översikt över vad som händer med deras data, så att de förhoppningsvis slipper använda sig av cyberförsäkringen. Dessutom kan inte ett företag få ut det stöd som de flesta cyberförsäkringar erbjuder om företaget har misskött sin hantering av data på företaget. De flesta försäkringsbolag ställer höga krav på att kunden måste ha ett fullgott cybersäkerhetsskydd, samt tillräckligt hög förmåga till dataåterställning vid en cyberincident. Sköter inte kunden sitt dataskydd tillräckligt bra kan försäkringsbolaget till och med neka kompensation i samband med en cyberincident.
Det viktigaste är att säga nej
Även om det förebyggande skyddet är det viktigaste i ett företags dataskyddsstrategi, och trots att det alltid kommer vara billigare att undvika än att hantera en cyberattack, är det också orealistiskt att förvänta sig att ett företag ska klara av att förhindra alla attacker. Det kommer aldrig gå att kunna undvika alla cyber- och ransomware-attacker helt och hållet. Däremot kan företaget uppnå en position i sin strategi för dataskydd där det är så pass skyddade att de inte behöver betala de cyberkriminellas kravsummor även vid en framgångsrika cyberattacker. Företag borde ha som mål att uppnå en position där de kan säga nej till utpressningsförsök utan att behöva oroa sig för konsekvenserna.
Det viktigaste är att återhämtning- och återställningsprocesserna finns på plats. Detta inkluderar den moderna 3-2-1-1-0-regeln: tre kopior av data, på två olika typer av media, med en kopia lagrad externt, en lagrad offline, fysiskt åtskild (air-gapped) eller oföränderlig (immutable) kopia. Detta är vad som ger företag det förtroende de behöver för att kunna avvärja cyberattacker, ha en robust dataåterställning på plats, och kan strunta i utpressningskrav från cyberkriminella helt och hållet. När det kommer till en katastrof – och ransomware i synnerhet – kan en organisation bokstavligen leva eller dö baserat på dess förmåga att snabbt återställa all sin data och återgå till sin verksamhet. Det är denna förmåga som både kan innebära att man inte behöver någon cyberförsäkring alls – eller att man får en cyberförsäkring på förmånliga villkor.
Nyheterna är fulla av berättelser om kända varumärken och myndigheter som drabbats av driftstopp på grund av en cyberattack, eftersom de inte har haft förmågan att återhämta sig direkt. Organisationer som attackeras men som är i drift igen i god tid skapar sällan rubriker. Detta är säkerligen något som såväl företag, myndigheter och deras försäkringsbolag vill uppnå.
