Cyberforsikring Når lønner det seg?

Like dokumenter
Cyberforsikring for alle penga?

Når bør cyberrisiko forsikres?

Kan cyber-risiko forsikres?

Cyber-forsikring til hvilken pris?

Risikovurdering av cybersystemer

2015 GLOBAL THREAT INTELLIGENCE REPORT SAMMENDRAG

Digitalisering, robotisering og datasikkerhet. Espen Opedal,

Leverandøren en god venn i sikkerhetsnøden?

VI BYGGER NORGE MED IT.

MØRKETALLSUNDERSØKELSEN 2010

Cyberspace og implikasjoner for sikkerhet

Følger sikkerhet med i digitaliseringen?

Informasjonssikkerhet og personvern:

Det digitale trusselbildet Sårbarheter og tiltak

Private spesialisthelsetjenester - Omfang og utvikling

Næringslivets Sikkerhetsråd trusler, sårbarheter og kjenner vi vår risiko godt nok? Arne Røed Simonsen Seniorrådgiver

ECON1220 Høsten 2007 QUIZ

Hvordan finne og realisere riktig IT-sikkerhetsnivå i din virksomhet? Arild S. Birkelund

Hvordan kan vi utvikle og etablere sikrere løsninger? Kasus: for mobiltelefoner og nettbrett

INNGANGEN TIL KINESISKE FORBRUKERE

Norsk Arkivråds jubileumsseminar 27 oktober Jan-Hugo Marthinsen Vice President Offshore Energy Claims

Fremtidens trusler hva gjør vi? PwC sine fokusområder innen CyberSikkerhet og hvordan vi jobber inn mot internasjonale standarder

Med hjertet på Internett

Fagarbeiderkompetanse

Sak 02/06/18 Direktørs orientering. Drift og administrasjonsoppgaver. Besøksadresse Ringvegen Tromsø

Norwegian s erfaringer med dagens rutetilbud på Vigra, og nye muligheter i fremtiden. Lars Sande Sales direktør lars@norwegian.no

SIKKERHET SOM INVESTERING HVORDAN KONTROLLER SIKKERHETSKOSTNADENE?

Kvartalsrapport. 1. kvartal 2015

Kvartalsrapport. 1. halvår 2015

Dagens trusselbilde for IT-sikkerhetsbrudd og hvordan hanskes med det?

Nettbutikkenes trusler i det digitale rom. Thor M Bjerke, sikkerhetsrådgiver Virke.

Sikkerhet i virksomheter på Sørlandet. Nasjonal sikkerhetsdag 10. oktober 2017 Elisabeth Aarsæther

Datasikkerhet og skyløsninger øverst på prioriteringslisten hos IT-folk i Europa. Pressemelding

Fra BESTA-prosjektet til nå - Erfaringer vi kan ta med oss videre

Retningslinjer for scenariobasert trusseldokumentasjon, erfaringer fra praksis

Hvordan lykkes med Offshoring av IT- tjenester

DIGI-universet. Hvordan blir fremtiden? Bente Sollid Storehaug, CEO ESV Digital, Nordic

Risikoanalysemetodikk

NASJONAL SIKKERHETSMYNDIGHET

NASJONAL SIKKERHETSMYNDIGHET

Hvorfor er forskning viktig for norsk sjømatnæring?

Exense - vår kunnskap gir verdi. Presentasjon Exense Etter EOGF 15. desember 2005 Adm.dir. Roar Aasvang

Ny personvernforordning Hvordan reguleres informasjonssikkerhet

Dataangrep Hva er de faktiske kostnadene for din organisasjon? Risk:Value Report 2016

Exense - vår kunnskap gir verdi

Psykososialt IT-miljø

FORVENTNINGER TIL SIKKERHET I DET DIGITALE ROM

Hvor er fremtidens arbeidsplasser? Paul Chaffey, Abelia

Hva legges i begrepet Big Data Hvilke muligheter eller betydning vil dette ha for den enkelte virksomhet Bruksområder Oppsummering. Arild S.

Smart Grids og personvern

ANSVARSFORSIKRING Inspektørtreff

Et spørsmål om tid! Lars Hopland Nestås Software Security Architect

ISO Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

Styrets beretning pr

Cyber Risk Mapping Kartlegging av cyberrisiko

Forskning og innovasjon i samarbeid med privat og offentlig sektor.

Kvartalsrapport. 2. kvartal 2014

Tok ansvar for hvordan vi fremstår digitalt Men kommer aldri i mål

Produkt-/markedsmatrise

Sikkerhetshendelse hos Kartverket i Oppfølging på kort og lang sikt. Pål Asmund Røste Seksjonsleder IT Applikasjonsdrift- 10/04/2019

Model Description. Portfolio Performance

SPISSKOMPETANSE GIR BEDRE INTERNREVISJON

Attraktivitet, kompetanse og endringsvilje - og hvordan teknologi og innovasjon forandrer spillereglene. Paul Chaffey, Abelia

CYBER-TRUSSELEN. Finans Norge seminar om operasjonell risiko 5. September Morten Tandle, daglig leder FinansCERT Norge AS/Nordic Financial CERT

Steria as a Service En norsk skytjeneste Steria

MEDISINSK UTSTYR OG DIGITALE SÅRBARHETER

GDPR - PERSONVERN. Advokat Sunniva Berntsen

Fintech regulering. Liv Freihow IKT-Norge. Historien om det kompliserte ekteskapet mellom gründere og Finanstilsynet

Fornybar energi og miljøteknologi. Status og utvikling Creating Green Business together.

Psykososialt IT-miljø

Hvitvasking og MT-rapporter i forsikring. Tommy Christiansen Advokat

Beredskap og Kontinuitetsstyring

Hovedpunkter. Sikkerhetsrapport 2014 Prioriterte tiltak Endringer, trusselbildet nå. Trusselsituasjonen, fysisk utforming og sikring av NAV-kontor

Torsdag 18. oktober 2007 Kl Plenum (Liv Ullmann salen) Fremtiden er nå!, partnerskap for innovasjon. Morten A.

Competition. And here are the winners of the competition: SAVETY AT WORK

God og riktig konkurranse: Reglene må følges! Christine Meyer Konkurransedirektør. Anleggsdagene. Gardemoen 24. januar 2012

Helsesjekk. en input til usikkerhetsstyring

Mørketallsundersøkelsen 2008

Seminar om samarbeid forsikring og skadesanering. Oslo

Fra idé til marked Hvorfor elektronikk handler om mer enn kretskort

Sosial og digital kommunikasjon. En strategisk tilnærming for deltagelse i nettsamtalen

Innovasjonssenteret COIN Utvikling av attraktive bygg og anlegg i betong

Mellom nærvær og fravær bruken av permitteringer i norsk arbeidsliv.

Digitalisering, transformasjon, og workarounds

Narvik kommune Avklaring nr. 3 Vikartjenester Helse

Mørketallsundersøkelsen 2006

Vi blir "smartere og smartere", snart er nesten alt tilknyttet alt, alltid. Det stiller store krav til sikkerhet og personvern

NYFO- Nye forretningsmodeller for transportindustrien

Østnytt 21. mars 2012, NorDan Otta:

IS Introduksjon til informasjonssystemer

«Digitale fellesløsninger. Kostnad eller Gevinst?»

Norm for Informasjonssikkerhet i Helsesektoren. Tor Ottersen

Trusler og mottiltak Mike Andersen Dell SecureWorks

Information Services. Hvordan jobbe mer effektivt med virksomhetskritisk informasjon, få mer innsikt og bedre beslutningsgrunnlag?

Rapport it arena - kartleggingsprosjekt

VELKOMMEN TIL BRANSJEN FOR CYBERSIKKERHET. Protection Service for Business

Outsourcing i Posten - utfordringer og erfaringer med konkurranseutsetting av lønns- og personaltjenester

Bakgrunn. For ytterligere informasjon, se kontaktinformasjon på slutten av presentasjonen

Produktivitetstall til å stole på?!

Situasjonskartet i 2010.

Transkript:

Trondheim, 11. Mai 2016 Cyberforsikring Når lønner det seg? Marie Moe, PhD, Forsker ved SINTEF IKT, Avdeling for Systemutvikling og Sikkerhet SINTEF IKT 1

Hva er din cyberrisiko? SINTEF IKT

http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/ 3

http://dbtv.no/2740106204001#bedriftens_hemmeligheter_laa_aapent_paa_nett 4

Cyberforsikring Hva kan typisk dekkes? Datalekkasjer pga uhell eller datainnbrudd DDoS-angrep Utpressing Løsepengevirus Trusler om DDoS Trusler om sverting av omdømme Driftsavbrudd pga nedetid SINTEF IKT

Når lønner det seg å forsikre? a) Kostnad preventive tiltak b) Kostnad reaktive tiltak (>a) c) Tap (c>>a+b) d) Kostnad forsikring (d>a+b) e) Erstatning (e<c) a) Kostnad for angrep b) Gevinst (b>>a) c) Straff (c<<a+b) SINTEF IKT 6

Anta at du blir utsatt for datalekkasje Estimert gebyr fra datatilsynet N*10 Hendelseshåndtering N kunder N =??? Timer brukt til håndtering internt Konsulentbistand Google 250 NOK 50 = 500 NOK Endringer i brannmur Talkmore 7.5 NOK per kunde 500 = 5,000 NOK Bedre logging/deteksjon Max 900,000 NOK 5,000 = 50,000 NOK Patching SINTEF IKT

Risikobehandling Akseptere Redusere Overføre Unngå SINTEF IKT 8

Kost-nytte analyse av risikobehandling Hva er våre aktiva? Hva er de uønskede hendelsene, og årsakene? Hvor ofte oppstår hendelsene, hva er konsekvensen? Hva kan vi akseptere? Hva er tiltakene? SINTEF IKT 9

Cyberforsikring som risikobehandling 100% 90% 80% 70% 60% 50% 40% 30% Gjenværende risiko Forsikret Tiltak Identifisert 20% 10% 0% Trusselbilde Håndtering SINTEF IKT 10

Kost-nytte analyse: Risiko som forventet årlig tap ALE Consequence / SLE R Acceptance Likelihood / ARO R SLE: Single loss expectency Størrelsen på skaden til en uønsket hendelse ARO: Annual rate of occurrence Årlig frekvens av uønsket hendelse ALE: Annualized loss expectency Årlig tap gitt ved SLE x ARO SINTEF IKT 11

Hva kan vi akseptere? Unauthorized data modification [5:1y, Medium] Consequence / SLE R Likelihood / ARO SINTEF IKT 12

Kost-nytte-analyse av tiltak Consequence / SLE T2 Treatment effect R Likelihood / ARO SINTEF IKT 13

Kost-nytte-analyse av tiltak Consequence / SLE T2 Treatment cost Treatment effect R Likelihood / ARO SINTEF IKT 14

Kost-nytte-analyse av tiltak ALE Consequence / SLE T2 T1 R Acceptance Likelihood / ARO R T1 T2 Treatment Risk SINTEF IKT 15

Hva karakteriserer cyberforsikring som risikobehandling? Cyberforsikring er et behandlingstiltak for å overføre cyberrisiko Effekten er primært at risikokonsekvensen reduseres, men ikke hyppigheten Kost-nytte analyse av risikobehandlingstiltak kan brukes for å vurdere når cyberrisko bør forsikres Lett å estimere kost av cyberforsikring, men vanskelig å estimere nytten SINTEF IKT 16

Kost-nytte-analyse av tiltak og cyber-forsikring ALE Consequence / SLE T1 T2 T3 Treatment cost R Treatment effect Acceptance Likelihood / ARO R T1 T2 T3 Insurance Treatment Risk SINTEF IKT 17

Utfordringer med cyberforsikring Fastsettelse av premie regnes som en av de største utfordringene Relativt nytt marked, trenger modning Kundene er usikre på hva som dekkes Tilgang til data om hvilke tiltak som fungerer for å hindre sikkerhetshendelser Vurdere kostnad/effekt for sikkerhetstiltak (røykvarsler eller sprinkleranlegg?) Stadig endring i trusselbilde og teknologi Avhengigheter på tvers av landegrenser med forskjellig lovgiving SINTEF IKT 18

Manglende språkstandard Cyber policies are still the Wild West of insurance policies Selena J. Linde, Perkins Coie LLP Chickowski, E. 10 Things IT Probably Doesn't Know About Cyber Insurance, InformationWeek, Oct 2014 SINTEF IKT 19

Forholdet mellom forsikringsbransje og bedrifter Manglende innsikt i hva som gjør et IT-system sikkert Problemer med å definere krav til kunder Manglende innsikt i hva som gjør et IT-system sikkert Ikke gode til å dokumentere tiltak Future Tense (2014): The $10 Million Deductible: Why the cyberinsurance industry is a mess. SINTEF IKT 20

Gyldighet i tid ~400 dager 2-600 dager? dager SINTEF IKT 21

Når og hvordan si ifra? Til hvem? SINTEF IKT 22

Noen gode nyheter Forsikringen kan bli billigere avhengig av implementerte tiltak Forsikringsselskapene kan være med på å flytte minimumsstandarden oppover! Ved å fylle ut egenerklæringsskjema/bli intervjuet om sin cyberrisikohåndtering vil også bevisstheten øke Mange bedrifter har allerede dekking for cyberhendelser over sin vanlige forsikring uten at man er klar over det! SINTEF IKT 23

24 http://www.insurancejournal.com/news/national/2016/04/12/404881.htm 24

http://krebsonsecurity.com/2016/01/firm-sues-cyber-insurer-over-480k-loss/ 25

Hva blir effekten av nye EU-direktiv? NIS-direktivet pålegger rapportering Personvernforordningen åpner for store bøter, hele 4% av global omsetning! Rettferdiggjør at man bør bruke minst 4% på cyberrisikoreduserende tiltak? SINTEF IKT 26

InSecurance prosjektet InSecurance er et uavhengig forskningsprosjekt finansiert av SINTEF Vi ønsker å snakke med flere aktører i bransjen og rekrutterer intervjuobjekter Hjelp oss ved å fylle ut et kort spørreskjema på vår stand! In $ ecurance www.sintef.no/insecurance SINTEF IKT 27

28 http://www.sintef.no/globalassets/sintef-ikt/kst/insecurance/sintef-a27298-insecurance-2015.pdf 28

Følg bloggen vår infosec.sintef.no 29 twitter.com/sintef_infosec SINTEF IKT

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding