Cyberforsikring Når lønner det seg?

Transkript

1 Trondheim, 11. Mai 2016 Cyberforsikring Når lønner det seg? Marie Moe, PhD, Forsker ved SINTEF IKT, Avdeling for Systemutvikling og Sikkerhet SINTEF IKT 1

2 Hva er din cyberrisiko? SINTEF IKT

3 3

4 4

5 Cyberforsikring Hva kan typisk dekkes? Datalekkasjer pga uhell eller datainnbrudd DDoS-angrep Utpressing Løsepengevirus Trusler om DDoS Trusler om sverting av omdømme Driftsavbrudd pga nedetid SINTEF IKT

6 Når lønner det seg å forsikre? a) Kostnad preventive tiltak b) Kostnad reaktive tiltak (>a) c) Tap (c>>a+b) d) Kostnad forsikring (d>a+b) e) Erstatning (e<c) a) Kostnad for angrep b) Gevinst (b>>a) c) Straff (c<<a+b) SINTEF IKT 6

7 Anta at du blir utsatt for datalekkasje Estimert gebyr fra datatilsynet N*10 Hendelseshåndtering N kunder N =??? Timer brukt til håndtering internt Konsulentbistand Google 250 NOK 50 = 500 NOK Endringer i brannmur Talkmore 7.5 NOK per kunde 500 = 5,000 NOK Bedre logging/deteksjon Max 900,000 NOK 5,000 = 50,000 NOK Patching SINTEF IKT

8 Risikobehandling Akseptere Redusere Overføre Unngå SINTEF IKT 8

9 Kost-nytte analyse av risikobehandling Hva er våre aktiva? Hva er de uønskede hendelsene, og årsakene? Hvor ofte oppstår hendelsene, hva er konsekvensen? Hva kan vi akseptere? Hva er tiltakene? SINTEF IKT 9

10 Cyberforsikring som risikobehandling 100% 90% 80% 70% 60% 50% 40% 30% Gjenværende risiko Forsikret Tiltak Identifisert 20% 10% 0% Trusselbilde Håndtering SINTEF IKT 10

11 Kost-nytte analyse: Risiko som forventet årlig tap ALE Consequence / SLE R Acceptance Likelihood / ARO R SLE: Single loss expectency Størrelsen på skaden til en uønsket hendelse ARO: Annual rate of occurrence Årlig frekvens av uønsket hendelse ALE: Annualized loss expectency Årlig tap gitt ved SLE x ARO SINTEF IKT 11

12 Hva kan vi akseptere? Unauthorized data modification [5:1y, Medium] Consequence / SLE R Likelihood / ARO SINTEF IKT 12

13 Kost-nytte-analyse av tiltak Consequence / SLE T2 Treatment effect R Likelihood / ARO SINTEF IKT 13

14 Kost-nytte-analyse av tiltak Consequence / SLE T2 Treatment cost Treatment effect R Likelihood / ARO SINTEF IKT 14

15 Kost-nytte-analyse av tiltak ALE Consequence / SLE T2 T1 R Acceptance Likelihood / ARO R T1 T2 Treatment Risk SINTEF IKT 15

16 Hva karakteriserer cyberforsikring som risikobehandling? Cyberforsikring er et behandlingstiltak for å overføre cyberrisiko Effekten er primært at risikokonsekvensen reduseres, men ikke hyppigheten Kost-nytte analyse av risikobehandlingstiltak kan brukes for å vurdere når cyberrisko bør forsikres Lett å estimere kost av cyberforsikring, men vanskelig å estimere nytten SINTEF IKT 16

17 Kost-nytte-analyse av tiltak og cyber-forsikring ALE Consequence / SLE T1 T2 T3 Treatment cost R Treatment effect Acceptance Likelihood / ARO R T1 T2 T3 Insurance Treatment Risk SINTEF IKT 17

18 Utfordringer med cyberforsikring Fastsettelse av premie regnes som en av de største utfordringene Relativt nytt marked, trenger modning Kundene er usikre på hva som dekkes Tilgang til data om hvilke tiltak som fungerer for å hindre sikkerhetshendelser Vurdere kostnad/effekt for sikkerhetstiltak (røykvarsler eller sprinkleranlegg?) Stadig endring i trusselbilde og teknologi Avhengigheter på tvers av landegrenser med forskjellig lovgiving SINTEF IKT 18

19 Manglende språkstandard Cyber policies are still the Wild West of insurance policies Selena J. Linde, Perkins Coie LLP Chickowski, E. 10 Things IT Probably Doesn't Know About Cyber Insurance, InformationWeek, Oct 2014 SINTEF IKT 19

20 Forholdet mellom forsikringsbransje og bedrifter Manglende innsikt i hva som gjør et IT-system sikkert Problemer med å definere krav til kunder Manglende innsikt i hva som gjør et IT-system sikkert Ikke gode til å dokumentere tiltak Future Tense (2014): The $10 Million Deductible: Why the cyberinsurance industry is a mess. SINTEF IKT 20

21 Gyldighet i tid ~400 dager dager? dager SINTEF IKT 21

22 Når og hvordan si ifra? Til hvem? SINTEF IKT 22

23 Noen gode nyheter Forsikringen kan bli billigere avhengig av implementerte tiltak Forsikringsselskapene kan være med på å flytte minimumsstandarden oppover! Ved å fylle ut egenerklæringsskjema/bli intervjuet om sin cyberrisikohåndtering vil også bevisstheten øke Mange bedrifter har allerede dekking for cyberhendelser over sin vanlige forsikring uten at man er klar over det! SINTEF IKT 23

24

25 25

26 Hva blir effekten av nye EU-direktiv? NIS-direktivet pålegger rapportering Personvernforordningen åpner for store bøter, hele 4% av global omsetning! Rettferdiggjør at man bør bruke minst 4% på cyberrisikoreduserende tiltak? SINTEF IKT 26

27 InSecurance prosjektet InSecurance er et uavhengig forskningsprosjekt finansiert av SINTEF Vi ønsker å snakke med flere aktører i bransjen og rekrutterer intervjuobjekter Hjelp oss ved å fylle ut et kort spørreskjema på vår stand! In $ ecurance SINTEF IKT 27

28

29 Følg bloggen vår infosec.sintef.no 29 twitter.com/sintef_infosec SINTEF IKT