Experten: Här är sakerna du måste ha koll på innan du tecknar en cyberförsäkring

– För fyra år sedan frågade försäkringsbolagen ”Har du backuper?” eller ”Har du en incident response-retainer med något företag?”. Nu är frågorna betydligt mer tekniska och går mycket djupare, säger Petter Glenstrup, Nordenchef på Arctic Wolf.

Han berättar om ett företag som tvingades svara på 78 frågor kopplade till sitt säkerhetsarbete innan de fick teckna en försäkring.

– För några år sedan kanske försäkringsbolaget nöjde sig med ett ja-svar på frågan ”Använder ni multifaktorautentisering?”. Nu frågar de i stället ”Exakt hur använder du MFA?”, ”Har du verkligen MFA på alla system?” och företagen tvingas visa exakt hur de använder MFA i praktiken.

Även om frågorna blir allt mer tekniska är det typiskt nog inte it-chefen som ansvarar för att teckna försäkringen.

– Cyberförsäkringsbolagen och deras mäklare pratar bara med vd:ar och cfo:er. De pratar inte med it-chefer eller säkerhetschefer. Och sanningen är att många vd:ar och cfo:er inte har koll på vilka frågor de borde ställa.

Vad innebär det?

– Jag vet att det är provocerande att säga, men särskilt bland små och medelstora företag ser jag hur man tänker: ”Jag behöver bara en försäkring, så jag svarar ja, ja och ja på alla kontrollfrågor – så är jag skyddad.”

– Det skapar en falsk trygghet hos ledningen. Du tror att du är skyddad, men så utsätts du för en attack och det visar sig att försäkringen inte gäller.

I takt med att attackerna ökar blir även premierna allt högre.

– Jag pratade med ett bolag med drygt 200 anställda. De gick till en mäklare för att få jämföra offerter på cyberförsäkringar. Bara ett försäkringsbolag svarade – och de erbjöd en premieökning på 300 procent. Det är i praktiken ett sätt att säga ”Vi vill inte ha er som kund.”

Arctic Wolf gör årligen en rapport där bolaget frågar företagsledare världen över vad de är mest oroade för – och för första gången någonsin toppar inte längre ransomware-attacker listan över största hot.

– Nu är det AI som toppar. Egentligen är AI i sig självt ännu inte ett hot. Attackytan är fortfarande ransomware eller phishing-mejl. Däremot använder angriparna AI för att förbättra sina angrepp.

– Förr var det ganska svårt att göra ett angrepp på svenska. Om du fick ett mejl kunde du snabbt se att grammatiken var fel. Men med AI blir phishing-attackerna tyvärr mycket bättre. Hotet är inte AI i sig – utan att de traditionella attackerna blivit mer effektiva.

Den genomsnittliga lösensumman efter en ransomware-attack är enligt bolaget 600 000 dollar.

– En oroväckande trend vi ser är att många försäkringsbolag hellre betalar lösensumman än kostnaden för att återställa it-miljön. De gör det för att notan blir större om man gör rätt än om man gör fel.

– Vi ser också att vi i regel kan hjälpa till att förhandla ner lösensumman med 64 procent. Så vår uppmaning är: Betala inte lösen – och gör det definitivt inte innan ni tagit hjälp för att förhandla.

Måste jag som bolag ha en cyberförsäkring?

– Ja. Du måste mitigera din risk. Dessutom kommer det allt oftare upp som krav i olika kunddialoger. Om du och ditt bolag inte kan säga till kunderna: ”Vi har en cyberförsäkring, vi har riskmitigerat och vår försäkring håller hög kvalitet” – då kommer kunderna att vända sig till andra leverantörer.

– Kunderna vill inte göra affärer med bolag som utgör en risk. Det kommer bara bli tydligare med NIS2 och med DORA.

Petter Glenstrup är positiv till de nya lagkraven men understryker att riskmitigering är nytt för många.

– Att ha en cyberförsäkring är bara en av fyra komponenter kopplade till riskmitigering. Du måste ha teknik, du måste ha talang, du måste ha garantier och du måste ha försäkring.

– Jag har mycket hellre sämre teknik med de bästa talangerna än bästa teknik med de sämsta talangerna. Om ni som bolag kan säga: ”Jag har sämre teknik, men jag har de bästa människorna, jag har ett bra garantiprogram som täcker processerna – och jag har riskmitigerat genom en cyberförsäkring” – då har ni en bra setup.