Kan cyber-risiko forsikres?

Like dokumenter
Cyberforsikring for alle penga?

Cyberforsikring Når lønner det seg?

Cyber-forsikring til hvilken pris?

Kost-nytte innen sikkerhet: Hva er prisen, hva er verdien, og hvordan prioritere blant tiltak?

Når bør cyberrisiko forsikres?

Cyberspace og implikasjoner for sikkerhet

NSM NorCERT og IKT risikobildet

ISO Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

Følger sikkerhet med i digitaliseringen?

Agenda. Hva er cybersikkerhet? Hackeren, trusselbilde og sårbarheter Eksempler på angrep: masseproduserte og målrettede.

Cyber Risk Mapping Kartlegging av cyberrisiko

Informasjonssikkerhet og personvern:

Tilsyn med IKT-sikkerhet i boreprosesskontroll, støttesystemer innen petroleumsnæringen

Aggregering av risikoanalyser med hensyn til etterlevelse

Cyberforsvaret. - Forsvarets nye «våpengren» Cybertrusselen Nye sikkerhetsutfordringer i cyberspace. Gunnar Salberg

Digital Grid: Powering the future of utilities

Risikovurdering av cybersystemer

Måling av informasjonssikkerhet. Håkon Styri Seniorrådgiver Oslo,

Tradisjonelt har næringslivet gruppert sin verdiskapning i 3 distinkte modeller:

Norsk Arkivråds jubileumsseminar 27 oktober Jan-Hugo Marthinsen Vice President Offshore Energy Claims

April Hvitvasking Hvor kommer pengene fra? Granskning og Forensic Services

Sikkerhet, risikoanalyse og testing: Begrepsmessig avklaring

Modelldrevet risikoanalyse med CORAS

Fremtidens trusler hva gjør vi? PwC sine fokusområder innen CyberSikkerhet og hvordan vi jobber inn mot internasjonale standarder

Aggregering av risiko - behov og utfordringer i risikostyringen

Hva er cyberrisiko? Bjørnar Solhaug. Seminar om cyberrisk, SINTEF, Technology for a better society 1

Litt om meg selv. Helhetlig risikostyring en utfordring. Willy Røed. PhD i risikoanalyse. Konsulent risikoanalyse Forskning og utvikling Brannsikring

FREMTIDENS SIKKERHETS- UTFORDRINGER

Et fungerende og trygt Norge

Helsedata i skyen og personvern på viddene? Helge Veum, avdelingsdirektør H-dir arbeidsseminar om skyteknologi Kongsvinger 10.

CYBER-TRUSSELEN. Finans Norge seminar om operasjonell risiko 5. September Morten Tandle, daglig leder FinansCERT Norge AS/Nordic Financial CERT

Hvordan gjennomføre og dokumentere risikovurderingen i en mindre bank

DIGI-universet. Hvordan blir fremtiden? Bente Sollid Storehaug, CEO ESV Digital, Nordic

Software Innovation med Public 360 Online. Odd-Henrik Hansen, Salgsdirektør og partneransvarlig Oktober 2014

STYRKEN I ENKELHET. Business Suite

Det digitale trusselbildet Sårbarheter og tiltak

HVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN?

Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS

VEDLEGG A UTKAST TIL LEVERANSEBESKRIVELSE

Lovlig bruk av Cloud Computing. Helge Veum, avdelingsdirektør Cloud Inspiration Day, UBC

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) Susanne Helland Flatøy Markedssjef Digital Kvalitet

Innebygd informasjonssikkerhet hvordan ivareta sikkerhet i prosjekter?

Hva kjennetegner god Risikostyring?

Lovlig bruk av Cloud Computing. Helge Veum, avdelingsdirektør Difi, Oslo

Fremtidsstudien: Hva mener millennials i Norge at næringslivet bør bidra med i samfunnet? Sammendrag av norske resultater, februar 2016

Styremøte Helse Midt-Norge Presentasjon rapport evaluering internrevisjonen

SIKKERHET OG TILLIT FRA ET TVERRFAGLIG PERSPEKTIV

FORSIKRINGSBRANSJENS FORVENTNINGER TIL OFFENTLIGE MYNDIGHETERS FOREBYGGING OG BEREDSKAP. Terje Haug

HVORDAN RAPPORTERE KLIMARISIKO?

Sikkerhetshendelse hos Kartverket i Oppfølging på kort og lang sikt. Pål Asmund Røste Seksjonsleder IT Applikasjonsdrift- 10/04/2019

Sætter de eksisterende forvaltningsretlige regler fornuftige rammer for den digitale forvaltning?

University College of Southeast Norway

Det handler om å vite Christopher Kiønig KAM (ISO27001 LI)

Måling av informasjonssikkerhet ISO/IEC 27004:2016. Håkon Styri Seniorrådgiver Oslo,

Sikring mot terror og andre villede handlinger rettet mot de nasjonale transportaktørene (jern- og tunnelbane)

Informasjon om håndtering av IKT-sikkerhetshendelser

Verdivurdering også for næringslivet! NSR Sikkerhetskonferansen 2009 Dagfinn Buset Seksjon for analyse og tilsyn Nasjonal sikkerhetsmyndighet

7 tegn på at dere bør bytte forretningssystem

Vår digitale sårbarhet teknologi og åpne spørsmål

7 tegn på at dere bør bytte forretningssystem

Digitalisering. Fra frykt til praksis. Research and Education Network seminar BI, Nydalen 15. februar Espen Andersen

VI BYGGER NORGE MED IT.

Måling av sikringskultur

Agenda. Nordisk finansnæring kan møte cybertrusselen sammen. Morten Tandle, daglig leder Nordic Financial CERT

Strategi for informasjonssikkerhet i helse- og omsorgssektoren

Kapittel 1 Hva er datasikkerhet? Dagens situasjon Datasikkerhet Ledelse... 27

Vår digitale sårbarhet teknologi og åpne spørsmål

Informasjonssikkerhet i kommunene. Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU

Hvor er fremtidens arbeidsplasser? Paul Chaffey, Abelia

Spørreundersøkelse om informasjonssikkerhet

Datasikkerhet og skyløsninger øverst på prioriteringslisten hos IT-folk i Europa. Pressemelding

Bærekraftige investeringer Fra eksklusjoner til "impact"

Angrepet mot Helse Sør-Øst. Norsk sykehus- og helsetjenesteforening

BESKYTT FORRETNINGENE UANSETT HVOR DE ER. Protection Service for Business

IKT-sårbarhet i norsk kraftforsyning. Janne Hagen Forsker (PhD) og medlem av Lysne-utvalget

Hva er et styringssystem?

Usikkerhetsstyring. Morten Skodbo Rambøll Management Consulting

Digitalisering, robotisering og datasikkerhet. Espen Opedal,

Retningslinje for risikostyring for informasjonssikkerhet

Frokostmøte HADELANDSHAGEN

KUNNSKAPSBYGGING, ERFARINGSOVERFØRING OG LÆRING. NÆRING FOR LÆRING 27. November 2013 Bodil Sophia Krohn

Om kartlegging av digital sikkerhetskultur

HMS og IKT-sikkerhet i integrerte operasjoner

Av Inger Anne Tøndel, Maria B. Line, Gorm Johansen og Martin G. Jaatun, SINTEF IKT

Vi har ikke identifisert avvik men det er et forbedringspunkt i forhold til varslingsplikt.

Forhold knyttet til salg av virksomhet

Rollebasert tilgang til pasientjournaler på tvers av journalsystemene nødvendige forutsetninger. Lillian Røstad SINTEF IKT/NTNU 1.

November Internkontroll og styringssystem i praksis - Aleksander Hausmann

Med hjertet på Internett

Om evaluering av norsk bistand

SPISSKOMPETANSE GIR BEDRE INTERNREVISJON

Oversikt over metodar og teknikkar for å beskrive truslar. Mass Soldal Lund SINTEF IKT

Transkript:

Kan cyber-risiko forsikres? Hva er kost-nytte av å overføre sikkerhetsrisiko til en tredjepart? Aida Omerovic SINTEF IKT Sikkerhet og Sårbarhet Mai 2015 Teknologi for et bedre samfunn

Informasjonssikkerhet i SINTEF Fagområder Risikoanalyse Programvaresikkerhet Nettverkssikkerhet Informasjonskontroll Personvern som vi anvender innen Nettsky og programvareutvikling Helse- og velferdsteknologi Integrerte operasjoner olje and gass Kritisk infrastruktur kraftsektoren, luftfart, Teknologi for et bedre samfunn 2

Eksistert siden 2012 Oppdaget 3. april 2014 UK CYBER SECURITY -- THE ROLE OF INSURANCE IN MANAGING AND MITIGATING THE RISK; MARCH 2015; Marsh Ltd Lucian Constantin. New York Times computer network breached by Chinese hackers http://www.computerworld.com/s/ article/9236400/new_york_times_computer_network_breached_by_ Chinese_hackers_paper_says Teknologi for et bedre samfunn 3

Hvordan forholde seg til cyber-trusler? Forhindre Håndtere Spare Forsikre Akseptere Teknologi for et bedre samfunn 4

A special report on cyber-security: Defending the digital frontier. The Economist, 12th July 2014 Teknologi for et bedre samfunn 5

Cyberforsikring the transfer of financial risk associated with network and computer incidents to a third party [1] 1. Böhme, B & Schwartz, G. Modeling Cyber-Insurance: Towards A Unifying Framework (2010) Teknologi for et bedre samfunn 6

Cyberforsikring den raskest voksende nisjeforsikringen [1] 31% av alle bedrifter har, 39% planlegger å kjøpe i nær fremtid [2] "Insurers can t afford not to be in this thing [3] 1. Future Tense (2014): The $10 Million Deductible: Why the cyberinsurance industry is a mess. 2. The Wall Street Journal (2013): Cyberinsurance: A Buyer s Guide 3. New York Times (2014): Cyberattack Insurance a Challenge for Business Teknologi for et bedre samfunn 7

Teknologi for et bedre samfunn 8

Cyber-forsikring som risikotiltak Krever forståelse av de økonomiske aspektene ved sikkerhet Hva bør prisen være for å overføre risiko til en tredjepart? Erstatningsbeløp? Teknologi for et bedre samfunn 9

Security economics a) Kostnad preventive tiltak b) Kostnad reaktive tiltak (>a) c) Tap (c>>a+b) d) Kostnad forsikring (d>a+b) e) Erstatning (e<c) a) Kostnad for angrep b) Gevinst (b>>a) c) Straff (c<<a+b) Teknologi for et bedre samfunn 10

Cyberforsikring 100 % 90 % 80 % 70 % 60 % 50 % 40 % 30 % Gjenværende risiko Forsikret Tiltak Identifisert 20 % 10 % 0 % Trusselbilde Håndtering Teknologi for et bedre samfunn 11

[2015, Pondteam] Teknologi for et bedre samfunn 12

Når bør bedrifter ha cyber-forsikring? Når det er billigere enn å sikre 100% Når usikkerheten er stor Når konsekvensen potensielt er katastrofal Når man ikke har kapasitet til selv å håndtere konsekvensene Teknologi for et bedre samfunn 13

Cyber-forsikring Eksempler Dekning av og kostnad for cyber-forsikring varier veldig mye mellom selskaper Elementer som ofte kan dekkes: Juridisk ansvar og kostnad for sikkerhetsbrudd Programmeringsfeil Gjeninnsetning eller gjenoppbygging av data Avbruddstap (business interruption losses) Økte driftskostnader PR-utgifter Kundehåndtering "Cyber policies are still the Wild West of insurance policies" Selena Linde (forsikringsjurist) www.darkreading.com/operations/10-things-it-probably-doesnt-know-about-cyber-insurance/d/did/1316862 Teknologi for et bedre samfunn 14

UK CYBER SECURITY -- THE ROLE OF INSURANCE IN MANAGING AND MITIGATING THE RISK; MARCH 2015; Marsh Ltd Teknologi for et bedre samfunn 15

Utfordringer med cyberforsikring Teknologi for et bedre samfunn 16

Forholdet mellom forsikringsbransje og bedrifter Manglende innsikt i hva som gjør et IT-system sikkert Problemer med å definere krav til kunder Manglende innsikt i hva som gjør et IT-system sikkert Ikke gode til å dokumentere tiltak Future Tense (2014): The $10 Million Deductible: Why the cyberinsurance industry is a mess. Teknologi for et bedre samfunn 17

Kost-nytte for sikkerhet er ikke som en vanlig investeringsanalyse Teknologi for et bedre samfunn 18

Endring, uforutsigbarhet Teknologi for et bedre samfunn 19

Prismodeller og usikkerhet Teknologi for et bedre samfunn 20

Når og hvordan si ifra? Til hvem? De fleste angrep skjer etter at en sårbarhet har blitt oppdaget, hvordan si ifra uten at det blir kjent at man har en sårbarhet? Skal man melde ifra til forsikringsselskapet før man vet om det har vært noe angrep? Teknologi for et bedre samfunn 21

Utfordringer for øvrig Manglende språkstandard for måling Åpenhet om risikoer Avdekning av insidenter Modenhetsevaluering ift. sikkerhet Beslutningsstøtte for kost-nytte evaluering Teknologi for et bedre samfunn 22

Viktige forskningsspørsmål Hvordan karakterisere IT-systemer med hensyn til krav til cybersikkerhet, og hvordan vurdere i hvilken grad slike krav er oppfylt? Hvordan kvantifisere og måle sikkerhet og cyberrisiko for å beregne og evaluere kostnad? Hva slags beslutningsstøtte og informasjon trengs for vurdering av cyberforsikring? Teknologi for et bedre samfunn 23

Oppsummering Cyberrisiko innebærer ofte finansiell risiko for bedrifter Cyberforsikring er å overføre denne finansielle risikoen til en tredjepart Relativt nytt produkt, trenger modning Positive effekter, bl.a. bedre evaluering og kompetanseoverføring Utfordringer rundt felles språk, rapportering og risikoevaluering Behov for teknikker for å sette verdi på risiko og aktiva evaluere kost-nytte Teknologi for et bedre samfunn 24

aida.omerovic@sintef.no In $ ecurance www.sintef.no/insecurance Teknologi for et bedre samfunn 25