Dyrere og vanskeligere for industribedrifter å tegne cyberforsikring

Når industrielt utstyr kobles sammen med driftssystemer og it-løsninger, blant annet som følge av økt digitalisering, blir det også flere punkter hvor hackere kan få innpass. Forsikringsselskapene gjennomgår nå vilkårene sine, og for å unngå store utbetalinger setter mange opp premiene og samtidig som de reduserer dekningsgraden.

For industribedrifter kan det dermed bli både dyrere og vanskeligere å tegne ny forsikring, og de som allerede har forsikring bør lese vilkårene nøye siden de kan ha blitt endret. Dessverre skjer det også at selskaper ikke får tegne cyberforsikring. Men det er håp selv om det krever litt internt arbeid og gode forberedelser.

Her er fire spørsmål forsikringsselskaper ofte stiller som avgjør hvor dyr cyberforsikringen din blir: 

1. Har du full oversikt over all maskinvare og programvare i virksomheten?

I cyberverdenen gjelder mottoet «du kan ikke beskytte det du ikke kan se». For industribedrifter handler det ikke bare om å kjenne til alle it-enheter og koblinger, men også OT-endepunkter (Operational Technology). Disse er ofte vanskeligere å oppdage, er mindre sikre, og hvis hackere kommer inn på den veien kan de gjøre stor skade. Det kreves total oversikt over it-inventaret for å identifisere alle sårbarheter, avhengigheter og sammenhenger i virksomheten. Målet er å finne hvor i systemet risikoen for angrep er størst, hvordan et innbrudd kan påvirke virksomheten og prioritere risikoene. Jo bedre oversikt, jo mer omfattende dekning er forsikringsselskapene villige til å tilby og det kan også bidra til lavere premier.

2. Har du effektiv nettverkssegmentering?

Nettverkssegmentering innebærer å dele nettverket inn i avgrensede soner med tydelig autoriserte brukere, applikasjoner og enheter for hver sone. Forskning fra it-konsulentfirmaet Dragos viser at dårlig nettverkssegmentering var en faktor i over 75 prosen av kundeservicehandlingene deres.

Dårlig segmentering gjør det lettere for nettkriminelle å bevege seg usett rundt i systemer og finne områder hvor de kan gjøre enda mer skade. Å ha en lagdelt nettverksstrategi, som Purdue Enterprise Reference Architecture, med tilstrekkelige sikkerhetstiltak for å beskytte nivåene 0 til 3.5 som styrer industrielle systemer, signaliserer til forsikringsselskapene at det er mulig å begrense potensiell skade fra cyberangrep.

3. Er sikkerhetsprosessene automatiserte?

Du kan ikke stole på flaks eller e-post for å bli varslet om nye risikoer. En viktig del av en effektiv cybersikkerhetsstrategi er å raskt innhente informasjon og reagere på allment kjente trusler. En bedrift som er avhengig av manuelle tiltak for å finne ut om virksomheten kan være angrepet og om det kreves rask handling, risikerer å miste avgjørende tid. Automatisering er svaret. Ved å jevnlig sjekke selskapets inventar mot en database over eksisterende trusler, som NISTs National Vulnerability Database, får du umiddelbart beskjed dersom du er sårbar for nye kjente trusler.

 4. Er du forberedt på et cyberangrep?

Jo lengre tid det tar et selskap å reagere på et angrep, jo større blir skaden. Derfor krever mange forsikringsselskaper, samt det nye europeiske NIS2-direktivet som trer i kraft i 2024, at rapportering skal skje innen en viss tid etter en hendelse.

Det betyr for det første at alle ansatte må bli gode på it-sikkerhet, vite hvordan de skal opptre hvis de tror en hendelse har skjedd og hvem de skal melde fra til. For det andre må bedrifter forberede seg på worst case scenario med konkrete handlingsplaner, forretningskontinuitetsplaner og fullstendige sikkerhetskopier lagret i databaser andre steder og ha kjente grunnlinjekonfigurasjoner for å kunne gjenopprette systemer.

 Alt dette høres kanskje omfattende ut, men har du svarene på disse fire spørsmålene står bedriften bedre både i diskusjoner med forsikringsselskaper og er lang bedre rustet ved et cyberangrep.