Trondheim, 11. Mai 2016 Cyberforsikring Når lønner det seg? Marie Moe, PhD, Forsker ved SINTEF IKT, Avdeling for Systemutvikling og Sikkerhet SINTEF IKT 1
Hva er din cyberrisiko? SINTEF IKT
http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/ 3
http://dbtv.no/2740106204001#bedriftens_hemmeligheter_laa_aapent_paa_nett 4
Cyberforsikring Hva kan typisk dekkes? Datalekkasjer pga uhell eller datainnbrudd DDoS-angrep Utpressing Løsepengevirus Trusler om DDoS Trusler om sverting av omdømme Driftsavbrudd pga nedetid SINTEF IKT
Når lønner det seg å forsikre? a) Kostnad preventive tiltak b) Kostnad reaktive tiltak (>a) c) Tap (c>>a+b) d) Kostnad forsikring (d>a+b) e) Erstatning (e<c) a) Kostnad for angrep b) Gevinst (b>>a) c) Straff (c<<a+b) SINTEF IKT 6
Anta at du blir utsatt for datalekkasje Estimert gebyr fra datatilsynet N*10 Hendelseshåndtering N kunder N =??? Timer brukt til håndtering internt Konsulentbistand Google 250 NOK 50 = 500 NOK Endringer i brannmur Talkmore 7.5 NOK per kunde 500 = 5,000 NOK Bedre logging/deteksjon Max 900,000 NOK 5,000 = 50,000 NOK Patching SINTEF IKT
Risikobehandling Akseptere Redusere Overføre Unngå SINTEF IKT 8
Kost-nytte analyse av risikobehandling Hva er våre aktiva? Hva er de uønskede hendelsene, og årsakene? Hvor ofte oppstår hendelsene, hva er konsekvensen? Hva kan vi akseptere? Hva er tiltakene? SINTEF IKT 9
Cyberforsikring som risikobehandling 100% 90% 80% 70% 60% 50% 40% 30% Gjenværende risiko Forsikret Tiltak Identifisert 20% 10% 0% Trusselbilde Håndtering SINTEF IKT 10
Kost-nytte analyse: Risiko som forventet årlig tap ALE Consequence / SLE R Acceptance Likelihood / ARO R SLE: Single loss expectency Størrelsen på skaden til en uønsket hendelse ARO: Annual rate of occurrence Årlig frekvens av uønsket hendelse ALE: Annualized loss expectency Årlig tap gitt ved SLE x ARO SINTEF IKT 11
Hva kan vi akseptere? Unauthorized data modification [5:1y, Medium] Consequence / SLE R Likelihood / ARO SINTEF IKT 12
Kost-nytte-analyse av tiltak Consequence / SLE T2 Treatment effect R Likelihood / ARO SINTEF IKT 13
Kost-nytte-analyse av tiltak Consequence / SLE T2 Treatment cost Treatment effect R Likelihood / ARO SINTEF IKT 14
Kost-nytte-analyse av tiltak ALE Consequence / SLE T2 T1 R Acceptance Likelihood / ARO R T1 T2 Treatment Risk SINTEF IKT 15
Hva karakteriserer cyberforsikring som risikobehandling? Cyberforsikring er et behandlingstiltak for å overføre cyberrisiko Effekten er primært at risikokonsekvensen reduseres, men ikke hyppigheten Kost-nytte analyse av risikobehandlingstiltak kan brukes for å vurdere når cyberrisko bør forsikres Lett å estimere kost av cyberforsikring, men vanskelig å estimere nytten SINTEF IKT 16
Kost-nytte-analyse av tiltak og cyber-forsikring ALE Consequence / SLE T1 T2 T3 Treatment cost R Treatment effect Acceptance Likelihood / ARO R T1 T2 T3 Insurance Treatment Risk SINTEF IKT 17
Utfordringer med cyberforsikring Fastsettelse av premie regnes som en av de største utfordringene Relativt nytt marked, trenger modning Kundene er usikre på hva som dekkes Tilgang til data om hvilke tiltak som fungerer for å hindre sikkerhetshendelser Vurdere kostnad/effekt for sikkerhetstiltak (røykvarsler eller sprinkleranlegg?) Stadig endring i trusselbilde og teknologi Avhengigheter på tvers av landegrenser med forskjellig lovgiving SINTEF IKT 18
Manglende språkstandard Cyber policies are still the Wild West of insurance policies Selena J. Linde, Perkins Coie LLP Chickowski, E. 10 Things IT Probably Doesn't Know About Cyber Insurance, InformationWeek, Oct 2014 SINTEF IKT 19
Forholdet mellom forsikringsbransje og bedrifter Manglende innsikt i hva som gjør et IT-system sikkert Problemer med å definere krav til kunder Manglende innsikt i hva som gjør et IT-system sikkert Ikke gode til å dokumentere tiltak Future Tense (2014): The $10 Million Deductible: Why the cyberinsurance industry is a mess. SINTEF IKT 20
Gyldighet i tid ~400 dager 2-600 dager? dager SINTEF IKT 21
Når og hvordan si ifra? Til hvem? SINTEF IKT 22
Noen gode nyheter Forsikringen kan bli billigere avhengig av implementerte tiltak Forsikringsselskapene kan være med på å flytte minimumsstandarden oppover! Ved å fylle ut egenerklæringsskjema/bli intervjuet om sin cyberrisikohåndtering vil også bevisstheten øke Mange bedrifter har allerede dekking for cyberhendelser over sin vanlige forsikring uten at man er klar over det! SINTEF IKT 23
24 http://www.insurancejournal.com/news/national/2016/04/12/404881.htm 24
http://krebsonsecurity.com/2016/01/firm-sues-cyber-insurer-over-480k-loss/ 25
Hva blir effekten av nye EU-direktiv? NIS-direktivet pålegger rapportering Personvernforordningen åpner for store bøter, hele 4% av global omsetning! Rettferdiggjør at man bør bruke minst 4% på cyberrisikoreduserende tiltak? SINTEF IKT 26
InSecurance prosjektet InSecurance er et uavhengig forskningsprosjekt finansiert av SINTEF Vi ønsker å snakke med flere aktører i bransjen og rekrutterer intervjuobjekter Hjelp oss ved å fylle ut et kort spørreskjema på vår stand! In $ ecurance www.sintef.no/insecurance SINTEF IKT 27
28 http://www.sintef.no/globalassets/sintef-ikt/kst/insecurance/sintef-a27298-insecurance-2015.pdf 28
Følg bloggen vår infosec.sintef.no 29 twitter.com/sintef_infosec SINTEF IKT