När efterfrågan har vuxit till oöverträffade nivåer har branschen blivit mycket volatil. Premierna stiger, det finns fler regler om vad som är och inte omfattas och miniminormer har införts för företag som vill vara försäkrade. Detta kan verka som dåliga nyheter för företag, men i slutändan finns det flera positiva saker.
Ibland tror folk att cybersäkerhet är en mörk värld. I verkligheten är den fysiska och digitala verkligheten mycket mer lika än man kan tro. För 30 år sedan tänkte företag som ville skydda sina tillgångar först och främst på försäkring mot brand och stöld. Idag är riskerna mer digitala. Enligt Veeam Data Protection Trends Report 2024, tre av fyra organisationer har drabbats av minst en ransomware-attack under det senaste året, och en av fyra har blivit attackerad mer än fyra gånger under samma period.
Det är inte konstigt att cyberförsäkring har blivit ett allt populärare val för många organisationer – förväntas växa med 24% att bli en industri på 84,62 miljarder dollar år 2030. Men eftersom antalet företag som köper och kräver försäkring har ökat, har dess kostnader också stadigt vuxit, med premierna stigande under de senaste tre åren. Detta har inte varit den enda förändringen av försäkringsbolag som vill hålla cyberskydd lönsamt: mer meningsfull riskbedömning, införande av minimisäkerhetsstandarder och minskad täckning har blivit vanlig praxis de senaste åren.
Cyberförsäkring har blivit ett kontroversiellt ämne nyligen, vilket mestadels kokar ner till miljondollarfrågan om ransomware: att betala eller inte betala? Även om många avvisar tanken att försäkrade företag är mer benägna att betala lösensummoren 2023 års rapport på offer fann att 77 % av lösensummor betalades av försäkring. Men många försäkringsbolag försöker sätta stopp för denna situation. Samma rapport fann att 21 % av organisationerna nu uttryckligen utesluter ransomware från sina policyer. Vi såg också andra uttryckligen utesluta lösenbetalningar från sina försäkringar: de täcker driftstopp och skadekostnader, men inte utpressningskostnader.
Enligt min mening är det senare tillvägagångssättet det bästa. Att betala lösen är ingen bra idé och det är inte vad försäkringen ska användas till. Det är inte bara en fråga om etik och underblåsning av kriminalitet, utan om att betalning av lösensumman inte omedelbart löser problemet och ofta skapar nya. Först spårar cyberbrottslingar vilka företag som betalar så att de kan komma tillbaka för en andra attack eller dela denna information med andra organisationer.
En studie visade att 80 % av företagen som betalade en lösensumma drabbades en andra gång. Men även innan man kommer till denna punkt är det sällan lätt att återhämta sig genom att betala lösen. Återställning med dekrypteringsnycklar som tillhandahålls av angripare tar lång tid, ofta avsiktligt, eftersom vissa grupper tar betalt för varje nyckel för att påskynda processen. Så länge dekrypteringen fungerar betalar vart femte företag en lösensumma och misslyckas med att återställa den egna datan.
Så att betala lösensummor genom försäkringar håller som tur är långsamt att försvinna. Men det är inte det enda som har förändrats. Företag som kräver cyberförsäkring måste i allt högre grad uppfylla minimistandarder för säkerhet och motståndskraft mot ransomware. Detta kan inkludera att använda krypterade, oföränderliga säkerhetskopior och implementera bästa praxis dataskyddsprinciper, såsom minsta privilegium (att ge tillgång endast till de som behöver det) eller fyra ögon (kräver att ändringar eller betydande förfrågningar godkänns av två personer). Vissa policyer kräver också att företag har solida planer för att säkerställa systemtillgänglighet, inklusive processer för återställning av brunnkatastrofer defiför att förhindra driftstopp på grund av en ransomware-attack. När allt kommer omkring, ju längre ett system är nere, desto högre blir kostnaden för stillestånd och därmed kostnaden för en försäkringsskada.
Företag bör fortfarande ha alla dessa element. Om försäkringen åtföljs av slarviga dataskydds- och återställningsprocesser, kommer försäkringsutbetalningarna endast att täcka bristerna. Införandet av minimistandarder är goda nyheter för företag. Det kommer inte bara att sänka kostnaderna för premier på lång sikt, utan de säkerhetsprinciper de kräver kommer att vara mer värdefulla för företagen än vad försäkringen var från början. Cyberförsäkring är inte en absolut garanti, men det kan vara ett fördelaktigt inslag i en bredare cyberresiliensstrategi. Båda är användbara, men om du tvingas välja bara en, skulle motståndskraft alltid vara det bästa valet. Lyckligtvis håller försäkringsbolagen med, eftersom oskyddade företag blir för olönsamma för att täcka.
Cyberförsäkring, särskilt när det gäller ransomware, går mot en värld där försäkrade företag har stark cybermotståndskraft, väletablerade katastrofåterställningsplaner definited och använder försäkring endast för att mildra effekterna av attacker och kostnaden för driftstopp medan de återställer genom oföränderliga säkerhetskopior. Det här är en värld som är mycket mer motståndskraftig mot ransomware än en där företag enbart förlitar sig på försäkringar.
BlogInnovazione.it
Att utveckla finmotorik genom färgläggning förbereder barn för mer komplexa färdigheter som att skriva. Att färglägga…
Marinesektorn är en sann global ekonomisk makt, som har navigerat mot en marknad på 150 miljarder...
I måndags tillkännagav Financial Times ett avtal med OpenAI. FT licensierar sin journalistik i världsklass...
Miljontals människor betalar för streamingtjänster och betalar månatliga prenumerationsavgifter. Det är en allmän uppfattning att du...
