Af Imran Ahmad
Partner, Miller Thomson LLP
Tidligere på sommeren, hvor University of Calgary var offer for et ransomware-angreb, sagde den offentligt, at den cyberforsikring, den havde købt, viste sig at være uvurderlig i håndteringen af nedfaldet af angrebet. Ingen tvivl om, at organisationer i stigende grad kigger på at få forsikringer, der kan hjælpe dem i tilfælde af en cyberhændelse. Ifølge en nylig PwC rapport, er cyberforsikringsmarkedet sat til at tredobles til $7,5 milliarder i 2020.
Skal din organisation med den baggrund få cyberforsikring? Hvis det er tilfældet, hvordan skal du lave business casen, og hvilke skridt skal tages for at sikre, at din organisation får en politik, der passer bedst til dens behov?
Før de køber cyberforsikring, bør organisationer som minimum foretage følgende trin for at sikre, at de får det rigtige produkt baseret på deres faktiske behov. Denne vurdering bør omfatte følgende trin:
Evaluer interne politikker og protokoller relateret til menneskelig, fysisk og netværkssikkerhed, privatliv og beredskab til cyberhændelser.
Identificer potentiel eksponering. Dette kan gøres på en række forskellige måder, herunder for eksempel ved at føre et risikoscorecard over virksomhedens divisioner/afdelinger, udføre en gap-analyse af virksomhedens politikker og protokoller for cyberhændelser og udvikle et risikokort, der identificerer og Evaluering af vigtige privatlivs- og informationssikkerhedsrisici.
Overvej de forskellige scenarier for cyberhændelser (fra milde“ til katastrofale) og benchmark omkostningerne forbundet med hvert scenarie baseret på sammenlignelige brancher.
Gennemgå virksomhedens nuværende forsikringer for at afgøre, hvad der er dækket, og hvad der ikke er.
Baseret på denne vurdering vil virksomheden være godt positioneret til at bestemme de typer af cyberrisici, den er villig til at søge forsikring for (f.eks. privatliv og netværkssikkerhed, regulatorisk ansvar, krisehåndtering, netværksafbrydelse, dækning af informationsaktiver, afpresning osv. ). Disse trin vil også demonstrere over for forsikringsselskabet, at organisationen har taget skridt til at forstå sin cyberprofil og kan også hjælpe med at reducere præmierne forbundet med enhver cyberpolitik.
Cyberforsikring vil som hovedregel give dækning for førstepartstab og tredjepartsansvar. Dækning af førstepartstab vil omfatte følgende:
Dette dækker omkostningerne ved at undersøge en cyberhændelse, underrette regulatorerne, berørte kunder og levere kreditovervågning.
Dækning for at reagere på en hackers krav om penge til gengæld for at låse op eller ikke beskadige en virksomheds data eller netværk. Det mest almindelige eksempel er et ransomware-angreb — som er steget markant i 2016.
Dækning for eksperter til at gendanne eller gendanne data tabt efter en -hændelse.
Refusion af tabte indtægter eller udgifter forbundet med genoprettelse af driften, når din virksomhed går ned. Med hensyn til tredjepartsansvar , vil cyberforsikring typisk tilbyde følgende typer dækninger:
Dækning til forsvar og skadesløsholdelse af retssager for uagtsomhed i forbindelse med en cyberhændelse.
Forsvar og skadesløsholdelse af retssager fra parter, der hævder et brud på privatlivets fred på grund af et databrud.
Dækning for retssager fra en part for beskadigelse af sit netværk som følge af en cyberhændelse.
Dækning for regulatoriske handlinger, der opstår som følge af en cyberhændelse.
En organisations størrelse, branche, den opererer i, type data, den har, potentielle risikoeksponeringer og andre overvejelser vil påvirke omfanget af den cyberansvarsdækning, de søger. En klar forståelse af, hvor den står på cyberrisikospektret, vil være afgørende for at sikre, at en virksomhed får den rette cyberansvarsdækning. Denne øvelse vil informere organisationer, når de forhandler præmier og de tjenester, der bør inkluderes i cyberpolitikken.
Selvom standard kommercielt generelt ansvar (CGL), fejl og udeladelser (E&O) og politikker for direktører og embedsmænd (D&O) muligvis allerede giver nogle af disse dækninger, kan der være ekskluderinger af cyberbrud i disse politikker, hvis en organisation ikke er forsigtig. kan begrænse den type assistance, der kræves for effektivt at håndtere en cyberhændelse.
Cyberforsikring bør være en del af enhver organisations risikoreduktionsstrategi. Når det er sagt, er ikke alle cyberpolitikker lige, og en organisation bør først vurdere sine specifikke behov, risikoeksponering og derefter forhandle sig frem til den bedste cyberforsikringsdækning.
*Imran Ahmad er partner hos advokatfirmaet Miller Thomson LLP i Toronto og har specialiseret sig inden for cybersikkerhedslovgivning. Han kan kontaktes på iahmad@millerthomson.com.