Kan cyber-risiko forsikres?

Transkript

1 Kan cyber-risiko forsikres? Hva er kost-nytte av å overføre sikkerhetsrisiko til en tredjepart? Aida Omerovic SINTEF IKT Sikkerhet og Sårbarhet Mai 2015 Teknologi for et bedre samfunn

2 Informasjonssikkerhet i SINTEF Fagområder Risikoanalyse Programvaresikkerhet Nettverkssikkerhet Informasjonskontroll Personvern som vi anvender innen Nettsky og programvareutvikling Helse- og velferdsteknologi Integrerte operasjoner olje and gass Kritisk infrastruktur kraftsektoren, luftfart, Teknologi for et bedre samfunn 2

3 Eksistert siden 2012 Oppdaget 3. april 2014 UK CYBER SECURITY -- THE ROLE OF INSURANCE IN MANAGING AND MITIGATING THE RISK; MARCH 2015; Marsh Ltd Lucian Constantin. New York Times computer network breached by Chinese hackers article/ /new_york_times_computer_network_breached_by_ Chinese_hackers_paper_says Teknologi for et bedre samfunn 3

4 Hvordan forholde seg til cyber-trusler? Forhindre Håndtere Spare Forsikre Akseptere Teknologi for et bedre samfunn 4

5 A special report on cyber-security: Defending the digital frontier. The Economist, 12th July 2014 Teknologi for et bedre samfunn 5

6 Cyberforsikring the transfer of financial risk associated with network and computer incidents to a third party [1] 1. Böhme, B & Schwartz, G. Modeling Cyber-Insurance: Towards A Unifying Framework (2010) Teknologi for et bedre samfunn 6

7 Cyberforsikring den raskest voksende nisjeforsikringen [1] 31% av alle bedrifter har, 39% planlegger å kjøpe i nær fremtid [2] "Insurers can t afford not to be in this thing [3] 1. Future Tense (2014): The $10 Million Deductible: Why the cyberinsurance industry is a mess. 2. The Wall Street Journal (2013): Cyberinsurance: A Buyer s Guide 3. New York Times (2014): Cyberattack Insurance a Challenge for Business Teknologi for et bedre samfunn 7

8 Teknologi for et bedre samfunn 8

9 Cyber-forsikring som risikotiltak Krever forståelse av de økonomiske aspektene ved sikkerhet Hva bør prisen være for å overføre risiko til en tredjepart? Erstatningsbeløp? Teknologi for et bedre samfunn 9

10 Security economics a) Kostnad preventive tiltak b) Kostnad reaktive tiltak (>a) c) Tap (c>>a+b) d) Kostnad forsikring (d>a+b) e) Erstatning (e<c) a) Kostnad for angrep b) Gevinst (b>>a) c) Straff (c<<a+b) Teknologi for et bedre samfunn 10

11 Cyberforsikring 100 % 90 % 80 % 70 % 60 % 50 % 40 % 30 % Gjenværende risiko Forsikret Tiltak Identifisert 20 % 10 % 0 % Trusselbilde Håndtering Teknologi for et bedre samfunn 11

12 [2015, Pondteam] Teknologi for et bedre samfunn 12

13 Når bør bedrifter ha cyber-forsikring? Når det er billigere enn å sikre 100% Når usikkerheten er stor Når konsekvensen potensielt er katastrofal Når man ikke har kapasitet til selv å håndtere konsekvensene Teknologi for et bedre samfunn 13

14 Cyber-forsikring Eksempler Dekning av og kostnad for cyber-forsikring varier veldig mye mellom selskaper Elementer som ofte kan dekkes: Juridisk ansvar og kostnad for sikkerhetsbrudd Programmeringsfeil Gjeninnsetning eller gjenoppbygging av data Avbruddstap (business interruption losses) Økte driftskostnader PR-utgifter Kundehåndtering "Cyber policies are still the Wild West of insurance policies" Selena Linde (forsikringsjurist) Teknologi for et bedre samfunn 14

15 UK CYBER SECURITY -- THE ROLE OF INSURANCE IN MANAGING AND MITIGATING THE RISK; MARCH 2015; Marsh Ltd Teknologi for et bedre samfunn 15

16 Utfordringer med cyberforsikring Teknologi for et bedre samfunn 16

17 Forholdet mellom forsikringsbransje og bedrifter Manglende innsikt i hva som gjør et IT-system sikkert Problemer med å definere krav til kunder Manglende innsikt i hva som gjør et IT-system sikkert Ikke gode til å dokumentere tiltak Future Tense (2014): The $10 Million Deductible: Why the cyberinsurance industry is a mess. Teknologi for et bedre samfunn 17

18 Kost-nytte for sikkerhet er ikke som en vanlig investeringsanalyse Teknologi for et bedre samfunn 18

19 Endring, uforutsigbarhet Teknologi for et bedre samfunn 19

20 Prismodeller og usikkerhet Teknologi for et bedre samfunn 20

21 Når og hvordan si ifra? Til hvem? De fleste angrep skjer etter at en sårbarhet har blitt oppdaget, hvordan si ifra uten at det blir kjent at man har en sårbarhet? Skal man melde ifra til forsikringsselskapet før man vet om det har vært noe angrep? Teknologi for et bedre samfunn 21

22 Utfordringer for øvrig Manglende språkstandard for måling Åpenhet om risikoer Avdekning av insidenter Modenhetsevaluering ift. sikkerhet Beslutningsstøtte for kost-nytte evaluering Teknologi for et bedre samfunn 22

23 Viktige forskningsspørsmål Hvordan karakterisere IT-systemer med hensyn til krav til cybersikkerhet, og hvordan vurdere i hvilken grad slike krav er oppfylt? Hvordan kvantifisere og måle sikkerhet og cyberrisiko for å beregne og evaluere kostnad? Hva slags beslutningsstøtte og informasjon trengs for vurdering av cyberforsikring? Teknologi for et bedre samfunn 23

24 Oppsummering Cyberrisiko innebærer ofte finansiell risiko for bedrifter Cyberforsikring er å overføre denne finansielle risikoen til en tredjepart Relativt nytt produkt, trenger modning Positive effekter, bl.a. bedre evaluering og kompetanseoverføring Utfordringer rundt felles språk, rapportering og risikoevaluering Behov for teknikker for å sette verdi på risiko og aktiva evaluere kost-nytte Teknologi for et bedre samfunn 24

25 In $ ecurance Teknologi for et bedre samfunn 25