Hem / Säkerhet & GDPR / Cyberförsäkring för småföretag: vad kräver försäkringen?

Säkerhet & GDPR

Cyberförsäkring för småföretag: vad kräver försäkringen?

En cyberförsäkring är efterhandsstöd, inte ett skydd i sig. Här är vilka säkerhetsrutiner försäkringsgivare brukar vilja se på plats, och vad en försäkring generellt brukar och inte brukar täcka.

En cyberförsäkring köps ofta med hoppet att den ska täcka det mesta om något går fel, men det är lätt att missförstå vad den faktiskt gör. I grunden är en cyberförsäkring efterhandsstöd: den träder in efter att en incident redan har inträffat, inte som ett sätt att förhindra den. Det innebär också att försäkringsgivare vanligtvis vill se att vissa grundläggande säkerhetsrutiner redan finns på plats innan de tecknar avtal eller betalar ut ersättning. Den här texten går igenom vad det brukar handla om, utan att peka ut enskilda bolags villkor eller belopp, eftersom de skiljer sig åt mellan leverantörer och ändras över tid.

Direkt svar: vad en cyberförsäkring är till för

En cyberförsäkring är i första hand tänkt att täcka kostnader som uppstår efter att en incident redan skett: it-forensik för att förstå vad som hänt, hjälp med återställning av system och data, avbrottsersättning om verksamheten står stilla, och ibland juridisk rådgivning eller kostnader för att informera kunder och myndigheter. Den ersätter inte det grundläggande säkerhetsarbetet. De flesta försäkringsgivare förutsätter i stället att en verksamhet redan har vissa rutiner på plats, både när avtalet tecknas och när en skada regleras. Se därför cyberförsäkringen som ett komplement till säkerhetsarbetet, inte en ersättning för det.

Säkerhetsrutiner försäkringsgivare brukar vilja se

Innan ni börjar jämföra offerter är det värt att gå igenom vilka rutiner som brukar efterfrågas i en ansökan eller vid en skadereglering. Nationellt cybersäkerhetscenter (NCSC) lyfter fram grundläggande åtgärder som är relevanta oavsett om ni tecknar försäkring eller inte, och som ofta sammanfaller med det en försäkringsgivare frågar efter.

RutinVad den innebärVarför den är relevantKälla
SäkerhetskopieringRegelbunden backup som testas genom en faktisk återställning, inte bara skapasUtan en fungerande återställning blir avbrottet längre och skadekostnaden ofta högreNCSC
FlerfaktorsautentiseringMFA aktiverat på e-post, ekonomisystem och andra kritiska kontonMinskar risken att ett stulet lösenord ensamt räcker för att ta sig inNCSC
Uppdaterade systemSnabb installation av säkerhetsuppdateringar för program, tillägg och operativsystemOuppdaterad programvara är en vanlig väg in för angripareNCSC
Begränsade behörigheterBara de konton som faktiskt behöver tillgång till känsliga system eller data har denBegränsar hur mycket en angripare kan nå om ett enskilt konto komprometterasNCSC
Dokumenterad incidentplanEn skriven plan för vem som gör vad, i vilken ordning, vid en misstänkt attackGör att en incident hanteras snabbare och mer strukturerat, vilket syns i skadans omfattningNCSC

Vad en cyberförsäkring brukar täcka – och vad den ofta inte gör

Vad som ingår skiljer sig mellan bolag och avtal, men några mönster går att känna igen. Kostnader som ofta täcks, helt eller delvis, är den akuta hanteringen: att ta in extern hjälp för att kartlägga vad som hänt, återställa system och data, informera berörda kunder eller myndigheter, samt eventuell juridisk rådgivning i samband med incidenten. Vissa avtal ersätter också inkomstbortfall om verksamheten står stilla under en period.

Det som oftare begränsas eller undantas är sådant som kan kopplas till att grundläggande säkerhetsåtgärder saknades helt, eller skador som handlar om ett långsiktigt förtroendetapp snarare än en direkt kostnad. Böter och sanktionsavgifter hanteras också olika mellan avtal och kan i vissa fall vara svåra att försäkra bort. Eftersom det här varierar mellan leverantörer är den enda hållbara vägen att läsa villkoren i det specifika erbjudandet och ställa konkreta frågor om vad som gäller för just er verksamhet, i stället för att utgå från vad som är brukligt.

Frågor att ställa försäkringsgivaren innan ni tecknar

Eftersom villkoren skiljer sig mellan bolag och avtal går det sällan att slå fast något generellt om undantag, självrisk eller krav. Använd i stället frågorna nedan som utgångspunkt när ni jämför offerter eller läser igenom ett avtal:

  • Undantag: vilka situationer eller brister, till exempel avsaknad av MFA eller backup, gör att en skada helt eller delvis inte ersätts?
  • Självrisk: hur stor är den, och varierar den beroende på typ av skada eller om grundrutinerna var på plats?
  • Krav på rutiner: exakt vilka säkerhetsåtgärder måste finnas, och hur ofta behöver ni kunna visa att de följs?
  • Styrda leverantörer: måste specifika experter eller byråer anlitas vid en skada för att kostnaden ska täckas?
  • Anmälningstid: hur snabbt måste en skada anmälas, och kan ett dröjsmål påverka ersättningen?

Praktisk rutin för små team: förbered innan ni tecknar eller använder försäkringen

För ett mindre team behöver förberedelsen inte vara mer komplicerad än att sätta av en eftermiddag för att gå igenom rutinerna i tabellen ovan och dokumentera var ni står i dag. Notera vad som redan finns på plats, vad som saknas och vem som ansvarar för att täppa till de största luckorna. Dokumentationen är värdefull både när ni ansöker om försäkring och om ni någon gång behöver visa vad som gällde vid tidpunkten för en skada.

Spara helst bevis på rutinerna löpande, inte bara vid ansökningstillfället. Datummärkta skärmdumpar av att MFA är aktiverat, loggar från en testad backupåterställning (se backupstrategi för webbplats) och en lista över när säkerhetsuppdateringar installerades är exempel på sådant som är enkelt att glömma bort men svårt att återskapa i efterhand, om en skada inträffar och försäkringsgivaren vill se att rutinerna faktiskt följdes.

Om en incident väl inträffar är några saker viktiga att komma ihåg. Kontakta försäkringsgivaren tidigt, gärna innan ni gör större förändringar i drabbade system, eftersom vissa avtal kräver att specifika leverantörer eller experter anlitas för att kostnaden ska täckas. Bevara loggar och spår i stället för att direkt radera eller ominstallera, dokumentera en tidslinje för vad som upptäckts och när, och bedöm om personuppgifter berörts. Om det inte är osannolikt att en personuppgiftsincident medför risk för de registrerades rättigheter och friheter ska den anmälas till Integritetsskyddsmyndigheten (IMY) inom 72 timmar från att ni fick vetskap om den, oavsett vad försäkringen täcker. Vid osäkerhet om hur en pågående attack ska hanteras kan CERT-SE ge stöd och rådgivning.

Vänta inte med att kontakta försäkringsgivaren tills skadan är utredd. De flesta vill kopplas in tidigt i en pågående incident, både för att styra vilka experter som anlitas och för att bevara bevisning som annars kan gå förlorad.

Vanliga frågor

Ersätter en cyberförsäkring behovet av backup och tvåfaktor?

Nej. Säkerhetskopiering, flerfaktorsautentisering och liknande grundrutiner är förutsättningar för att försäkringen ska gälla som tänkt, inte något den ersätter. Saknas de helt kan det påverka både pris och ersättning vid en skada.

Vad brukar en cyberförsäkring täcka?

Ofta kostnader som uppstår efter en incident, till exempel it-forensik, återställning av system och data, avbrottsersättning och juridisk rådgivning. Vad som faktiskt ingår varierar mellan bolag och avtal, så villkoren behöver läsas i det specifika erbjudandet.

Måste vi anmäla till IMY även om vi har en cyberförsäkring?

Ja. Försäkringen ersätter inte den lagstadgade skyldigheten att anmäla en personuppgiftsincident till Integritetsskyddsmyndigheten inom 72 timmar, om det inte är osannolikt att den medför risk för de registrerades rättigheter och friheter.

När ska vi kontakta försäkringsgivaren vid en pågående incident?

Så tidigt som möjligt, helst innan ni gör större förändringar i drabbade system. Vissa avtal kräver att specifika leverantörer eller experter anlitas för att kostnaden ska täckas, och tidiga loggar kan annars gå förlorade.