Vil ikke utbetale forsikring etter dataangrep fra statlig aktører
Bransjeledende forsikringsorganisasjon krever at forsikringsselskaper slutter å utbetale penger når en statlig aktør står bak dataangrep.
Forsikringsforbundet Lloyds of London har nylig publisert en oppdatering der de ber alle sine medlemmer om å ikke lenger dekke cyberangrep der statlige aktører står bak. Lloyds er verdens ledende organisasjon for forsikringsselskaper og setter standarden for gjeldene praksis i bransjen. Derfor er det sannsynlig at de nye føringene også får konsekvenser for norske virksomheter.
Sikkerhetsforsker i Cisco Talos, Martin Lee, tror den nye praksisen kan føre med seg store utfordringer
Det kan være svært vanskelig å avgjøre om det faktisk er en statlig aktør som står bak et angrep.
– Det kan være svært vanskelig å avgjøre om det faktisk er en statlig aktør som står bak et angrep. Derfor tror jeg denne endringen kan bli en kilde til store konflikter og saftige advokathonorarer, sier sikkerhetsforskeren.
I prosessen med å finne gjerningspersonene bak et dataangrep sammenligner man bevisene fra angrepet med tidligere angrep. Forsikringselskapene gjør så en vurdering på om angrepet er «i samsvar med» metodene til en gitt hackergruppe, eller om det er «svært sannsynlig», «sannsynlig» eller «mulig» at en gitt hackergruppe står bak.
Ikke nok å finne gruppe
– Det er et stort spenn i hva som regnes for statlig innblanding. De kriminelle gruppene kan være under alt fra direkte statlig kontroll, til at myndighetene hjelper dem eller bare tolererer dem. Det er også kriminelle grupperinger som utgir seg for å være statlige, uten at det egentlig er noen forbindelse, forklarer Martin Lee.
I dag er det vanlig at kostnader relatert til krig og alvorlige uroligheter ikke dekkes av forsikringsselskapene.
– At tap som følge av cyberkrig heller ikke dekkes kan sees på som en naturlig videreføring av disse begrensningene. Utfordringer ligger i bevisførselen. Det er sjelden bevisene er klare i slike saker, derfor er det svært viktig med klare kjøreregler
– Sikkerhetssjefene i virksomheter bør nå ta initiativ overfor sine forsikringsselskap om å bli enige om akkurat hva som utgjør en statlig aktør. De bør også bruke denne endringen til å gå gjennom sine forsikringsvilkår, råder Lee.