News

Cyberrisk i försäkringsbranschen

November 21, 2019

Cyberrisk idag är för många något svårt och odefinierat både vad gäller orsak och effekt. Hotlandskapet är dynamiskt och växer mycket snabbt när det gäller aktörer, motiv och metoder. Vi verkar i en värld där vi varken äger systemen vi använder eller kontrollerar den data vi är beroende av. Medvetenheten om de största hoten som ett företag utsätts för, samt hur hot påverkar en organisation är relativt låg och ägarskapet till riskerna är därför oklart. Flera faktorer/drivkrafter formar cybersäkerhetslandskapet – affär, teknik, audit och compliance samt den förändrade hotbilden.

Cyberrisk är inte bara en teknisk risk, den är mycket mer komplex än så och den måste därför hanteras i enlighet därmed.
International Association of Insurance Supervisors (IAIS) uttalar följande om cyber risk; “Any type of risk emanating from the use of technology tools as the Internet and telecommunications networks”.

Vad är cyberrisk?

Vi börjar med att först definiera vad en cyberattack är. Det är ett försök, framgångsrikt eller inte, att få åtkomst till obehörig information eller informationssystem för att stjäla eller ändra information eller blockera informationssystem. Cyberrisk är kombinationen av sannolikheten för att en cyberattack inträffar, med de skador som en cyberattack kan ha orsakat.

Utmaningar vi ser idag

Vanliga utmaningar idag kring cyberrisk inom de flesta branscher är bland annat att;

  • riskaptit inte är etablerad eller förstådd av verksamheten,
  • styrelse och ledning har en begränsad överblick av konsekvenserna av cyberrisker,
  • säkerhetsstrategin är inte förankrad i vare sig affärsmål eller riskaptit,
  • otydligt ägarskap och ansvar kring cyberrisker och
  • kontroller är designade för att hantera efterlevnad och inte själva cyberrisken.

Försäkringsbranschen

Försäkringsbolagen hanterar känsliga mängder av den finansiella informationen för sina olika kunder. Ur ett säkerhetsperspektiv medför detta att branschen blir en potentiell riskgrupp vad avser cyberhot och risker. Det är därför av yttersta vikt att få kontroll över sin situation.

Cyberrisk ger försäkringsbranschen en växande utmaning och en som tillsynsmyndigheterna måste ta itu med. Cybersäkerhetsincidenter kan skada förmågan att driva affärer, äventyra skyddet av kommersiell- och persondata och undergräva förtroendet för branschen. Försäkringsgivare/-bolag samlar in, lagrar och hanterar betydande volymer konfidentiell personlig och kommersiell information. På grund av dessa reservoarer av data riskerar försäkringsgivare att vara cyberbrottslingars främsta mål. De söker information som senare kan användas för ekonomisk vinning genom utpressning, identitetsstöld eller annan kriminell verksamhet.

Eftersom försäkringsbolag är betydande aktörer inom den globala finansiella sektorn kan avbrott i försäkringssystemen på grund av cybersäkerhetsincidenter dessutom ha långtgående konsekvenser. På grund av den ökande frekvensen och svårighetsgraden av cybersäkerhetsincidenter hos alla kommersiella enheter, måste cyberresiliens uppnås av alla försäkringsbolag, oavsett storlek, specialitet, hemvist eller geografisk räckvidd.

IAIS har utvecklat och publicerat flera ”Application papers”, eller standarder, som vidare utforskar cyberrisk, cybersäkerhet och cyberresiliens och ger vägledning för tillsynspraxis för försäkringsbranschen. (Issues Paper on Cyber Risk to the Insurance Sector, August 2016 and Application Paper on Supervision of Insurer Cybersecurity, November 2018).
Med tanke på utvecklingen av cybersäkerhetsramverk och praxis är standarden från november 2018 avsett att ge ytterligare vägledning till övervakare/auditörer som försöker utveckla eller förbättra sin strategi i förhållande till cyberrisker, cybersäkerhet och cyberresiliens.

Standarden härrör från olika cybersäkerhetsramverk och vägledning utvecklade internationellt, nationellt och tillsammans med branschorganisationer, både från offentlig och privat sektor. Framför allt bygger den på vägledning från G7 2017 som följer de åtta grundläggande elementen (G7FE).

Reglering och övervakning av cyberrisker

De åtta grundläggande elementen för att hantera cyberrisker i finanssektorn, inklusive försäkrings-¨supervisors¨ identifieras av G7FEA och utgör grundläggande element för effektiv bedömning av cybersäkerhet inom finanssektorn.

Dessa element består av;

  1. Cyberksäkerhetsstrategi och ramverk;
  2. Styrning;
  3. Risk- och kontrollbedömning;
  4. Övervakning;
  5. Respondering;
  6. Återhämtning;
  7. Informationsdelning; och
  8. Kontinuerligt lärande.

 

De grundläggande elementen utgör de områden som identifierats som de mest effektiva att granska vid en bedömning av cybersäkerheten. I Application Paper beskriver man själva analysen av varje element och på vilket sätt varje grundläggande element överensstämmer med försäkringsbranschens kärn-principer (ICP: er). Vidare ges det en serie rekommendationer och bedömningar gällande önskvärda resultat för varje element, vilka är baserade på G7FEA´s önskvärda resultat som en mogen verksamhet troligen kommer att visa och som mindre mogna verksamheter bör sträva efter.

Summering

IAIS Application Paper vänder sig i första hand till ¨supervisors” inom försäkringsbranschen/auditörer och presenterar riktlinjer vilka kan vara en hjälp i att utveckla eller stärka sitt cybersäkerhetsramverk. Det bidrar också till att öka sin möjlighet att bli än mer framgångsrik i sitt arbete med efterlevnad av de förväntade resultaten av cybersäkerhet. Man behöver planera och utforma effektiva granskningsprogram för att utföra en cybersäkerhetsbedömning och det rekommenderas att använda sig av de bedömningskomponenter som G/FEA tagit fram för försäkringsövervakare såsom;

  • Upprätta tydliga utvärderingsmål och kommunicera dessa till försäkringsbolagen
  • Etablera och kommunicera metodik och förväntningar
  • Underhålla/förvalta verktyg och process
  • Rapportera tydliga resultat och konkreta förväntningar
  • Se till att bedömningarna är pålitliga och rättvisa.

Inom Transcendent Group arbetar vi med olika kunder och deras cyberresiliens. Det är oerhört viktigt för en verksamhet att ha en bra överblick över sina hot och risker samt hur man på bästa sätt kan hantera dessa.  I första hand bör man identifiera och skydda sin kritiska informationstillgångar/”Crown jewels” och det är essentiellt att få till ett riskarbete som kontinuerligt följs upp av verksamhetens ledning.  En hög attention på dessa frågeställningar är en del i det strategiska arbetet för en verksamhet.

Artikeln är skriven av Christine Axentjärn

Related news