Når bør cyberrisiko forsikres?

Transkript

1 Når bør cyberrisiko forsikres? Fredrik Seehusen 14. April, Oversikt Innledning Hvorfor er cyberrisiko viktig? Hvordan håndtere cyberrisiko? Når bør cyberrisiko forsikres? Hvordan gjøre kost-nytte analyse av risikobehandlingstiltak generelt? Hvordan anvende dette på cyberforsikring? 2

2 Angrepsflaten er voksende [McAfee05] 3 Cyberrisikoen øker [NSM05] 4

3 Hva er cyberrisiko? En cyberrisko er en risiko som er forårsaket at en trussel som utnytter et cybersystem [Refsdal et.al. 05]. Cyberrisiko er vanskelig fordi: Trusselbildet endrer seg raskt Nesten umulig å utelukke sårbarheter i cybersystemer Avhenger av en angripers motivasjon/kompetanse Vanskelig å estimere konsekvens av en cyberrisiko 5 Hvordan håndtere cyberrisiko? Typer behandlinger Beholde risiko Redusere risiko Unngå risiko Overføre risiko Cyberforsikring er et behandlingstiltak for å overføre cyberrisiko Trend innenfor cybersikkerhet: Mer vekt på deteksjon og hendelseshåndtering 6

4 Når bør cyberrisiko forsikres? Hva koster det? Hva er nytten? Først skal vi se nærmere på kost-nytte-analyse i risikovurdering Deretter ser vi hvordan dette kan anvendes på cyber-forsikring 7 Kost-nytte analyse av risikobehandling Hva er våre aktiva? Hva er de uønskede hendelsene, og hva er årsakene? Hvor ofte oppstår hendelsene, og hva er konsekvensen? Hva kan vi akseptere? Hva er tiltakene? 8

5 Hva er våre aktiva? Hva er de uønskede hendelsene og hva er årsakene? Årsaker Uønskede hendelser Aktiva 9 Hvor ofte oppstår hendelsene, og hva er konsekvensen? High Medium Low 10

6 Hva kan vi akseptere? Unauthorized data modification [5:1y, Medium] Consequence / SLE R Likelihood / ARO 11 Hva er tiltakene? 12

7 Kost-nytte analyse: Risiko som forventet årlig tap Consequence / SLE SLE: Single loss expectency Størrelsen på skaden til en uønsket hendelse ARO: Annual rate of occurrence Årlig frekvens av uønsket hendelse ALE: Annualized loss expectency Årlig tap gitt ved SLE x ARO 13 Kost-nytte-analyse av tiltak Consequence / SLE 14

8 Kost-nytte-analyse av tiltak Consequence / SLE 15 Kost-nytte-analyse av tiltak Consequence / SLE 16

9 Hva karakteriserer cyberforsikring som risikobehandling Cyberforsikring er et behandlingstiltak for å overføre cyberrisiko. Effekten er primært at risikokonsekvensen reduseres, men ikke hyppigheten. Lett å estimere kost av cyberforsikring, men vanskelig å estimere nytten. 17 Eksempel: Cyber-forsikring som behandling av risiko 18

10 Kost-nytte-analyse av tiltak og cyber-forsikring ALE Acceptance R T1 T2 T3 Insurance Treatment Risk 19 InSecurance prosjektet InSecurance er et uavhengig internprosjekt på SINTEF Vi ønsker å snakke med aktører i bransjen. Ta gjerne kontakt! 20

11 Oppsummering Cyberrisko er viktig, men vanskelig å håndtere. Cyberforsikring et behandlingstiltak for å overføre cyberrisiko. Kost-nytte analyse av risikobehandlingstiltak kan brukes for å vurdere når cyberrisko bør forsikres. 21 Referanser [McAfee05] 2016 Threats Predictions, McAfee Labs, 2015 [NSM05] Risiko 2015, Nasjonal Sikkerhetsmyndighet, 2015 [Refsdal et.al. 05] Atle Refsdal, Bjørnar Solhaug, Ketil Stølen. Cyber-risk management. Springer,