Erfa-møde - Nov2017

1. Cyber –
risk management
og forsikring

2. Program
Cyber
• Introduktion
• Eksponering
• Eksempler
• Konsekvenser
• Risk management
• Forsikring
| 2

3. Giraffen!
3
Klaus har beskæftiget sig med finansielle risici og forsikringer på
strategisk og operationelt niveau i mere end 17 år.
Erfaring
• Partner og Financial Lines Manager, RiskPoint
• Partner og Underdirektør, Willis
• Financial Lines Manager, AIG Danmark
• Regional Underwriting Manager, AIG Europe
Udgivelser
• ”Ledelsesansvar og ledelsesansvarsforsikring”, Karnov 2011
• ”Forsikring af bestyrelsesansvar”, Karnov 2001
• ”Corporate governance”, R&R 2/2001
Uddannelse
• Cand. Jur

4. 4
RiskPoint – hvem er vi?
Underwriting agentur
Repræsenterer 25 forsikringsselskaber
Partnerejet A/S
Norden + Tyskland
Præmie 2016: DKK 425.000.000
Antal ansatte: 75+Klaus har beskæftiget sig med FINEX risici
og forsikringer på strategisk og operationelt
niveau i mere end 13 år. Han er desuden
forfatter til bøgerne ”Ledelsesansvar og
ledelsesansvarsforsikring” og ”Forsikring af
bestyrelsesansvar”

5. Internet of Things IOT / Pervasive IT
| 5

6. Hvorfor hacke?
| 6

7. Trusselsbillede FE - 2017
Cyberspionage mod offentlige og private mål udgør fortsat den alvorligste cybertrussel mod
Danmark. Der er tale om en meget aktiv trussel mod danske interesser. Truslen kommer især fra
fremmede stater.
 Truslen fra cyberspionage mod danske myndigheder og private virksomheder er MEGET HØJ.
Cyberkriminalitet er stigende i omfang og kompleksitet, bl.a. fra organiserede kriminelle.
Cyberkriminelle ydelser sælges også via internettet. Ransomware og DDoS er blandt de mest
benyttede angrebsmetoder.
 Truslen fra cyberkriminalitet mod danske myndigheder og private virksomheder er MEGET HØJ.
Der er ikke mange eksempler på cyberaktivisme mod danske myndigheder og virksomheder. Dog kan
truslen fra cyberaktivisme ændre sig pludseligt for en virksomhed, myndighed eller person, der
kommer i aktivisters søgelys af politiske eller ideologiske årsager.
 Truslen fra cyberaktivisme mod danske myndigheder og private virksomheder er MIDDEL.
Kendte terrorgrupper har på nuværende tidspunkt ikke den fornødne kapacitet til at gennemføre
egentlige cyberterror angreb via internettet med død eller voldsom ødelæggelse til følge.
 Truslen fra cyberterror mod danske myndigheder og private virksomheder er LAV
| 7

8. Eksponering - tal
| 8

9. Eksponering - hvem udfører / hvordan ?
| 9
*Netdiligence 2016 report

10. Eksempler
Danmark - Generelt
• Ransomware (Virksomheder = 201 ud af 300, og Kommuner = 47 ud af 54 besvarende)
• Social Engineering Fraud (President og Vendor)
• Spionage (økonomisk og geo-politisk)
• Hacktivism (politisk og ideelt)
Danmark - Målrettede angreb (pharming, (spear-)phishing, smishing og spyware)
• Mærsk, Novozymes, CSC, CMR, RKI-registeret, Statens IT samt Søfartsstyrelsen og
Erhvervsministeriet, KL, Århus Banegård, HK, 3F, TRYG, BEC
Internationale
• Deloitte, KoneCrane, Equifax, ”3”, Tesco bank, Merck, Cellebrite, Mossack-Fonseca,
Trump hotels, Nieman-Marcus, Target, Home depot, SONY, ICANN, Pentagon, Det Hvide
Hus, Amazon, SAS, Talk Talk, Sony, Target, SouthWest Airlines med flere…
| 10

11. Konsekvenser - tab
| 11
Erstatningskrav / godtgørelse
Omkostninger til krisestyring
Tab v/underretning
Afpresning
Omkostninger til genetablering
Konsulentbistand (jura, finans, it, PR)
• Utilfredse kunder / leverandør
• Negativ omtale / renommé
• Tab af data
• Andre tab / skader
• Ransomware
• Arbejde videre?
Ledelsesansvar?

12. Tabets størrelse – Analyser og overvejelser
Følgende skridt og
omkostningsposter bør
overvejes i forbindelse
med cyberskade:
• Begrænsning af skade
• Indsamling af
dokumentation og
support
• Reparation af system
• Genetablering af data
• Undersøgelse af skaden
• Opgradering af system
• Notifikation af
kunder/berørte personer
• Eventuel etablering af
call-centre
• Overvågning af kreditkort
• PR og medie-omtale
| 12
Forud for selve skaden bør man have
overvejet og vurderet følgende:
• Driftstab
• Ekstra omkostninger
• Tab af markedsandel
• Tab af persondata og kreditkort informationer
• Forhøjelse af virksomhedens gæld
• Ekspert omkostninger

13. Risikooverblik
| 13
Ledelsen
IT
Jura &
compliance
Ansatte
Risk
management
• Generel forståelse
• Økonomisk forståelse
• Hard-/Software
• Sikkerhedsniveau
• Beredskabsplan
• Lovgivning
• Type data
• Information
• Træning
• Test
• Kontrol
• Forsikring
• CISO

14. Risikostyring
| 14
Analysér risikoen
Beskriv risikostrategien
Implementer risikoeliminering/-
minimering
Overvåg risikoen
Overfør risikoen

15. Klar, parat, start
Overordnede spørgsmål i forbindelse med identifikation og prioritering af IT-relaterede risici:
| 15
1. Dataklassifikation: Er der foretaget en opstilling af forretningskritiske data i prioriteret rækkefølge. Fx
kundeoplysninger, kreditkortoplysninger, forretningshemmeligheder mv.
2. Beskyttelse/backup: Hvordan beskyttes disse informationer? Tages der højde for forskellige niveauer af fortrolighed
ift adgang og beskyttelse?
3. Databrud: Hvad er konsekvenser og tab hvis disse informationer kompromitteres eller uberettiget/utilsigtet
offentliggøres?
4. Sikkerhedspolitik: Formuleret? Herunder; er den implementeret, opdateret og testet?
5. Medarbejdertræning: Træning i at overholde politikken? og hvordan sikres det at de arbejder ud fra retningslinjerne
heri? Sikkerhedskultur?
6. Strategi: Er sikkerhedstiltagene forankret i ledelsen og tages der ejerskab over opgaven i direktionen?
7. Risikokultur: Hvordan er kulturen i organisationen? Tages it-sikkerhed alvorligt?
8. Beredskab: Er der et beredskab ved cyber hændelser, der indebærer IT, jura, økonomi, kommunikation inklusive
aftaler med rådgivere?
9. Trusler: Hvem kan formodes at angribe ”kunden”? Hvad er deres motiver, metoder, placering mm.?
10. Samarbejdspartnere: Drøftelse med samarbejdspartnere, outsourcing partnere om deres sikkerhed, beredskab mm.
”If you think technology is the solution to your
cyber security risk, you neither understand
technology or your cyber security risk.”

16. Forsikring
En Cyberforsikring indeholder typisk dækning for:
• Erstatningskrav fra tredjemand (ansvar – tab og krænkelser)
• Omkostninger:
• Forsvar
• Advokat
• PR
• Notifikation/underretning
• Monitorering/Call centre
• Genetablering/genopretning
• Undersøgelse
• Driftstab og meromkostninger
• Løsepenge (afpresning)
• Elektronisk tyveri (netbank m.m.)
OBS: KRISEBEREDSKAB = HOTLINE
• Assistance når krisen sker, herunder it-konsulenter, juridisk
assistance og PR.
Hvad vil typisk ikke være dækket?
• Tidligere eller verserende krav
• Forbedringsudgifter / slid og ældre
• Personskader
• Sikredes misbrug af
forretningshemmeligheder
• Fysisk skade på netværket
• Skader der opstår som følge af
oprindelige fejl
• Forsyningssvigt
• Kontraktsretlige forpligtelser (med
mindre også ansvar uden for kontrakt)
• Interne krav
| 16

17. GAP-ANALYSE – CYBER FORSIKRING VS. TRADITIONELLE FORSIKRINGER
SKADE DÆKNING TRADITIONEL
LE POLICER
CYBER-
FORSIKRING
Databrud Omkostninger til at notificere berørte
personer
Ikke dækket Dækket
Databrud Erstatningsansvar overfor tredjemand pga.
data der er mistet eller uberettiget
offentliggjort.
Delvist Dækket
Tab af data Genetablering af data Ikke dækket Dækket
Skade på netværk Genoprettelse af netværk Ikke dækket Dækket
Ekstraomkostninger Omkostninger til undersøgelse af skade Delvist Dækket
Skade på renommé PR/mediedækning i forbindelse med en
skade
Ikke dækket Dækket
Cyberafpresning Løsesum + forhandlingsomkostninger Ikke dækket Dækket
Krisestyring Adgang til beredskab (It, Forensic, Legal) Ikke dækket Dækket
| 17

18. Processen vedrørende tegning af cyberforsikring
| 18
Analyse Drøfte risikoen
Indsamle
information
Forsikringsudbud
✓ Risk mapping
✓ Undersøgelse
af risikoen
✓ Intern tidslinje
✓ Adressere
risikoen og
overveje om
den kan
begrænses –
og i så fald i
hvor høj grad ?
Og hvor meget
skal forsikres?
✓ Udbud
✓ Tilbudsproces
✓ Sammenligning
✓ Forhandling
✓ Gap analyse
✓ Anbefaling
✓ Indsamle
information der
gør det muligt at
få et seriøst
forsikringstilbud,
der opfylder
jeres krav til
dækning og
omfang.

19. Forsikringssum
| 19
Fastsættelse af forsikringssum?
▪ Faktuel eksponering
▪ Oplevet eksponering
Rimelige præmie?
▪ Eksponering
▪ Skadehistorik – konkrete og portefølje
Benchmarking – sum og præmie
▪ Branche
▪ Aktiviteter og hvordan sælges (web)
▪ Størrelse
▪ Geografisk udbredelse
Katastrofesituation – hvor store krav rejses? DKK
1.) Omkostninger til stoppe hændelsen, oprydning og til
genetablering af drift samt underretning
xxx
2.) Meromkostninger ved løbende beredskab og
monitorering
xxx
3.) Driftstab xxx
4.) Erstatningsansvar og forsvarsomkostninger ”3. Mands
tab” og
x00.000+
= Samlede kravs størrelse i katastrofesituation (sum af
ovenståen
de)
0,00
20,00
40,00
60,00
80,00
Benchmarking
Limit per million of assets
Benchmarking data

20. | 20
Parametre
➢ Forretningsaktiviteter – nogle virksomheds-segmenter er naturlig i højere risiko end andre.
➢ Geografisk spredning – risikoen kan være meget forskellig afhængig af hvilken jurisdiktion
viksomheden befinder sig i.
➢ Niveauet af teknisk kontrol og cybermodenhed – Dette har indflydelse på hvordan virksomheden
beskytter sig selv mod cyberhændelser.
➢ Outsourcer risk management – brug af tredjeparter – f.eks. Outsourcing repræsenterer en potentiel
ny risiko i forhold til datatab og drifts-nedetid.
➢ Hvilken type data opbevares – og i hvilken størrelsesorden – Hvilke data? Eksempelvis
persondata, kreditkortinformationer, sundhedsdata m.m. ? Og hvor mange personers data
opbevares? I hvilke jurisdiktioner?
Præmiefastsættelse_______________________________________

21. Spørgsmål ?
Klaus Stubkjær Andersen
Partner, Financial lines
Tlf. +45 20743233
E-mail: klaus.andersen@riskpoint.eu
For yderligere information, kontakt:
| 21