Illustration som visar på ökande krav från försäkringsbolag på organisationer som vill ha cyberförsäkring.

Ökade krav i cyberförsäkringar

I medier och på LinkedIn florerar det rapporter om att ett försäkringsbolag nekat en drabbad organisation i enlighet med en tecknad försäkring mot cyberbrottslighet. Detta på grund av att kundföretaget inte implementerat MFA på ett adekvat sätt. Faktum är att detta inte är ett helt nytt fenomen.

Gunnebo råkade i augusti 2020 ut för ett omfattande och uppmärksammat cyberangrepp där försäkringsgivaren, Trygg Hansa, helt eller till del nekade ersättning just till följd av bristfällig implementation av MFA.

Det senaste, och även det ordentligt uppmärksammade fallet avser staden Meridian i USA där försäkringsbolaget Travelers Insurance nekat ersättning på grund av bristfällig implementation av MFA.

Sätter man frågan i ett lite vidare perspektiv är det egentligen ingenting som sticker ut och är konstigt i förfarandet. Om du renoverar badrummet i ditt hus eller lägenhet och inte följer branschstandarder i form av tätskikt och VVS-installationer så kommer försäkringsbolaget att neka eller kraftigt dra ner ersättningen om du råkar ut för en vattenskada. Detta också helt oavsett om det faktum att branschstandarderna åsidosatts haft något med vattenskadan att göra eller inte.

I sammanhanget måste man alltid ha klart för sig att ett försäkringsbolag är den part som ensidigt sätter villkoren. Och i fall så som vattenskada, brand och cyberbrottslighet finns det i regel ingen drulleförsäkring att lägga till i stil med ”hoppsan, jag råkade missa att bara en behörig elektriker får koppla in det nya spabadet” eller ”hoppsan, jag råkade helt missa att slå på MFA på administratörskontona”.

Skälet att ha en cyberförsäkring ska vara denna: Även om du vidtagit alla rimliga åtgärder för att minska risken för cyberangrepp – så som MFA på alla konton, phishing-resistant MFA på administrativa konton, utbildning, övervakning & monitorering, XDR-skydd på enheter och så vidare så är risken att drabbas fortfarande inte noll. Du försäkrar dig alltså mot den återstående risken. Det är naturligtvis inte rimligt att ett försäkringsbolag ska försäkra mot hela den initiala risken helt utan viktiga säkerhetsåtgärder.

Läs mer:

Mattias Sjödin

Jag arbetar till vardags som CISO inom finansvärlden med bakgrund både som CISO inom IT-branchen och som konsult inom informations- och cybersäkerhet, med bevisad kompetens och erfarenhet i ryggen genom bland annat CISA- och CISSP-certifieringar. Privat grottar jag gärna ner mig i hemautomation och allt som hör till. Jag kör Home Assistant (supervised), och blandar friskt mellan enheter som kör Zigbee, Z-Wave, 433MHz och Wi-Fi. Att leka med microcontrollers som kör ESPhome och Tasmota är hur kul som helst.

Kommentarer, frågor, funderingar?

Denna webbplats använder Akismet för att minska skräppost. Lär dig om hur din kommentarsdata bearbetas.