Embed Size (px)
Citation preview
CYBERFORSIKRINGNårlønnerdetseg?MarieMoe,ForskervedSINTEFIKT
@MarieGMoe @SINTEF_Infosec
Skandinaviasstørsteuavhengigeforskningsorganisasjon
70Nasjonaliteter
3800Kunder
2000Ansatte
3,2MRDNOKOmsetning
500MILLNOKInternasjonaltsalg
3
http://e24.no/digital/forsikringer/sikkerhetsekspert-norske-bedrifter-ligger-langt-bakpaa/23768067
HVORFORINVESTERER IKKENORSKEBEDRIFTERICYBERFORSIKRINGSOMRISIKOREDUSERENDETILTAK?
4
• InSecurance eretuavhengigforskningsprosjektomcyberforsikringfinansiertavSINTEF
• Viharintervjuetforsikringstilbydere,forsikringsmeglereogkundersomharkjøptellervurdereråkjøpecyberforsikring
• Meromprosjektet:www.sintef.no/insecurance
5
$Inecurance
Hvordankancyberforsikring inngåirisikobehandling?
Akseptere Redusere
Overføre Unngå
6
Risikobehandling
• Hvaervåreaktiva?
• Hvaerdeuønskedehendelsene,årsakene?
• Hvorofte oppstårhendelsene,hvaerkonsekvensen?
• Hvakanviakseptere?
• Hvaertiltakene?
Cyberforsikringsomrisikobehandling
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
Trusselbilde Håndtering
GjenværenderisikoForsikretTiltakIdentifisert
Kost-nytteanalyse:Risikosomforventetårligtap
9
Conseq
uence/S
LE
Likelihood/ARO
R
ALE
Acceptance
R
• SLE:Singlelossexpectency – Størrelsenpåskadentilenuønskethendelse
• ARO:Annual rateof occurrence – Årligfrekvensavuønskethendelse
• ALE:Annualized lossexpectency – ÅrligtapgittvedSLExARO
Hvakanviakseptere?
10
Conseq
uence/S
LE
Likelihood/ARO
R
Unauthorized datamodification [5:1y,Medium]
Kost-nytteanalyseavtiltak
11
Conseq
uence/S
LE
Likelihood/ARO
R
TreatmenteffectT2
Kost-nytteanalyseavtiltak
12
Conseq
uence/S
LE
Likelihood/ARO
R
Treatmentcost
T2
Treatmenteffect
Kost-nytteanalyseavtiltak
13
T1
T2
Conseq
uence/S
LE
Likelihood/ARO
R
ALE
Acceptance
R T1 T2
Treatment
Risk
Nårbørcyberrisikoforsikres?
• Cyberforsikringkaninngåsometavflererisikobehandlingstiltak
• Cyberforsikringredusererrisikokonsekvens,menikkehyppighet
• Ikost-nytteanalysenerdetlettåestimerekostavcyberforsikring,menvanskeligåestimerenytten
14
Kost-nytteanalyseavtiltakogcyberforsikring
15
T1
T2
T3
Conseq
uence/S
LE
Likelihood/ARO
R
Treatmenteffect
Treatmentcost
ALE
Acceptance
R T1 T2 T3
Insurance
Treatment
Risk
Utfordringermedcyberforsikring
• Umodentmarked
• Kundeneerusikrepåhvaproduktenedekker
• Vurderingavkost-nytte
• Tilgangtildataomhendelseroghvordanforhindrede
• Stadigendringitrusselbildeogteknologi
16
• Manglendedataogerfaringmedcyberrisiko
• Problemermedådefinerekravtilkunder
• Manglendeforståelseavegencyberrisiko
• Ikkegodenokpåådokumentereogmåleeffektavtiltak
17
Forholdetmellomforsikringsbransjenogbedrifter
👎 Usikkerhetsmomenter
• Serikkebehovet
• Forlavdekning
• Produktetmantrengerfinnesikke
• Vanskeligåforståproduktet
👍 Ønsker
• Dekningforlangsiktigekonsekvenser
• Skreddersyddprodukt
• Cyberinnsomdelaveksisterendedekning
18
Hvasierkundene?
Hvordantenkerforsikringsselskapene?
Keyriskfactors
Constraints
Makingcompro-mises
• Keyinformationtocollect• Keymeasurestomonitor• Accumulatedrisk• Catastrophiceventrisk
• Efficientprocessesvstrustindata• 3rdpartiesvsin-housecapacity• Baselinerequirementsvssales
• In-housecompetence• Availabledata• Buildingcustomerbase
http://www.imia.com/wp-content/uploads/2016/09/IMIA-Working-Group-Paper-9816-Cyber-Risks-Rev-A002-16-09-20161.pdf
Noengodenyheter
• Forsikringenkanblibilligereavhengigavimplementertetiltak• Forsikringsselskapenekanværemedpååflytteminimumsstandardenoppover!• Vedåfylleutegenerklæringsskjema/bliintervjuetomsincyberrisikohåndteringvilogsåbevissthetenøke
• Mangebedrifterharallerededekningforcyberhendelseroversin“vanlige”forsikringutenatmanerklaroverdet!
21
http://www.insurancejournal.com/news/national/2016/04/12/404881.htm
23 http://www.bbc.com/news/technology-30575104
Cybersikkerhetsometøkonomiskproblem
• Sikkerheteret”fellesgode”,manglendeinsentivforinvestering
• Vanskeligåvurderekvalitetpåcybersikkerhets-produkter(”marketforlemons”)
• Desomrammesavkonsekvensererofteikkedesomsammesombetalerforsikkerheten
24
HvablireffektenavnyeEU-direktiv?
• NIS-direktivetpåleggerrapportering
• Personvernforordningenåpnerforstorebøter,hele4%avglobalomsetning!• Rettferdiggjøratmanhellerbørbruke4%påcyberrisikoreduserendetiltak?
25
Spørsmål?
26
• Meland,PerHakon,IngerAnneTondel,ogBjornar Solhaug."Mitigating Riskwith Cyberinsurance." IEEESecurity&Privacy 6(2015):38-43.
• Tøndel,IngerAnne,etal."UsingCyber-InsuranceasaRiskManagementStrategy:KnowledgeGapsandRecommendationsforFurtherResearch."(2015).SINTEFA27298.
• Tøndel,IngerAnne,etal."Differentiatingcyberriskofinsurancecustomers:theinsurancecompanyperspective,”CD-ARES2016.
27
Publikasjoner
Takk foroppmerksomheten!
marie.moe @sintef.no
www.infosec.sintef.no
www.sintef.no/insecurance
@MarieGMoe @SINTEF_Infosec
Teknologi foretbedre samfunn
