Kybervakuutus ei ole enää jotain, jota yritykset voivat ostaa ja unohtaa. Kun kiristysohjelmat, tietojenkalastelut, yrityssähköpostien vaarantaminen ja tekoälyn tukemat hyökkäykset yleistyvät, vakuutusyhtiöt muuttavat rooliaan. He eivät vain maksa korvauksia tapahtuman jälkeen. He päättävät nyt, onko organisaatio riittävän turvallinen vakuutusta varten.
Oppitunti on selvä Hamiltonin kaupungista, Ontariosta. Helmikuussa 2024 kaupunki kärsi lunnasohjelmahyökkäyksestä, joka häiritsi palveluita koko kunnassa. Hamilton kieltäytyi maksamasta 18,5 miljoonan dollarin lunnaita ja palautti olennaiset palvelut 48 tunnin kuluessa, mutta joihinkin järjestelmiin vaikutti viikkoja. Vuotta myöhemmin sen kybervakuutusyhtiö kiisti kaupungin väitteen sen jälkeen, kun tutkijat havaitsivat, että useat osastot eivät olleet ottaneet käyttöön monitekijätodennusta työntekijöille, jotka käyttävät sisäisiä järjestelmiä.
Sillä yksityiskohdalla oli merkitystä. Politiikassa kerrotaan, että kattavuus voidaan mitätöidä, jos rikkomus liittyy puuttuviin perusturvatoimiin, mukaan lukien MFA. Toisin sanoen vakuutus ei korvannut turvallisuutta. Kaupungin kokemus osoitti, että kattavuus riippuu siitä, pystyykö organisaatio todistamaan noudattavansa vakuutusyhtiön vaatimia vähimmäisvaatimuksia.
Tästä on tulossa uusi kybervakuutuksen malli. Vakuutusyhtiöt ovat siirtymässä passiivisesta vakuutuksesta aktiiviseen turvallisuuden arviointiin. He haluavat tietää, onko yrityksellä MFA, päätepisteiden havaitseminen ja reagointi, kirjaaminen, korjausmääräajat, testatut varmuuskopiot, segmentointi, työntekijöiden koulutus ja tapauksiin reagointimenettelyt. Yritys, joka ei pysty osoittamaan todisteita näistä valvonnasta, voi kohdata korkeammat vakuutusmaksut, kapeampi kattavuus tai suora hylkääminen.
Ajoitus ei ole sattumaa. Kyberhyökkäyksiä on helpompi käynnistää ja vaikeampi hillitä. Generatiivinen tekoäly on alentanut hyökkääjien taitojen rajaa, mikä tekee tietojenkalasteluviesteistä vakuuttavampia ja mahdollistaa laajemmat hyökkäykset. Yrityssähköpostin kompromissi on edelleen yksi yleisimmistä väitteiden lähteistä, koska se kohdistuu ihmisiin, ei vain järjestelmiin. Jopa organisaatiot, joilla on vahvat reunatyökalut, voivat silti joutua alttiiksi, jos työntekijöitä huijataan, identiteeteihin luotetaan liikaa tai valvontaa sovelletaan epäjohdonmukaisesti.
Siksi vakuutusyhtiöiden johtamilla auditoinneilla on nyt merkitystä. Ne pakottavat yritykset käsittelemään kyberturvallisuutta mitattavissa olevana liiketoiminnan vaatimuksena. Turvatiimien on dokumentoitava tarkastukset, todistettava, että järjestelmiä valvotaan, suoritettava harjoituksia, ylläpidettävä todisteita uusimisesta ja osoitettava, että riskiä pienennetään. Tämä voi olla turhauttavaa, mutta se myös luo kurinalaisuutta. Monille organisaatioille, varsinkin pienille ja keskisuurille yrityksille, vakuutusvaatimukset voivat olla työntö, joka saa vihdoin rahoitettua ja toteuttaa perussäädöt.
Palomuurit ovat edelleen tärkeitä, mutta ne eivät riitä. Palomuuri voi valvoa liikennettä, estää epäilyttävän käytön ja vähentää altistumista verkon reunalle. Mutta se ei voi poistaa riskiä. Väärinmääritykset, varastetut tunnistetiedot, nollapäivän haavoittuvuudet, toimitusketjun hyökkäykset, sisäpiiriuhat ja inhimilliset virheet voivat silti johtaa rikkomuksiin. Edes vahva tekninen puolustus ei voi automaattisesti kattaa onnistuneen hyökkäyksen aiheuttamaa oikeudellista, taloudellista, toiminnallista ja maineelle aiheutuvaa vahinkoa.
Tässä kybervakuutuksella on edelleen arvoa. Kun politiikka reagoi, se voi rahoittaa rikosteknisiä tutkimuksia, oikeudellista neuvontaa, PR-tukea, lunnaita koskevaa neuvottelua, palautuspalveluita ja liiketoiminnan keskeytymisestä johtuvia tappioita. Vakuutuksenantajat voivat myös tarjota käyttöönsä tarkastettuja onnettomuuksien torjuntakumppaneita, joita monilla yrityksillä on vaikeuksia löytää nopeasti kriisin aikana. Vakavassa rikkomisessa tämä koordinointi voi vähentää seisokkeja ja rajoittaa kokonaisvaurioita.
Mutta yritysten ei pitäisi olettaa, että jokainen korvaus maksetaan. Vaatimusten epääminen johtuu usein vääristä tiedoista, poissulkemisista, paljastamattomista riskeistä tai vakuutusehtojen noudattamatta jättämisestä. Jos organisaatio ilmoitti, että sillä on MFA kaikkialla, mutta ei, tai väitti testanneensa varmuuskopioita, joita ei koskaan vahvistettu, vakuuttaja voi riitauttaa vaatimuksen. Politiikka ei ole enää vain taloudellinen asiakirja. Kyseessä on turvallisuussopimus.
Laajempi tulos on, että vakuutusyhtiöistä on tulossa epävirallisia kyberturvallisuuden sääntelijöitä. He asettavat vähimmäisstandardeja vakuutusten ja uusien kautta, erityisesti organisaatioille, joilla ei ole kypsiä turvaohjelmia. Tämä todennäköisesti jatkuu, kun tekoälyn aiheuttamat uhat laajenevat entisestään ja vakuutusyhtiöt yrittävät hallita omaa altistumistaan.
Kybervakuutuksella on edelleen merkitystä. Mutta sitä tulisi käsitellä osana riskistrategiaa, ei turvallisuuden korvikkeena. Organisaatiot, joilla on parhaat mahdollisuudet hyötyä vakuutuksista, ovat ne, jotka voivat todistaa tehneensä perusasiat: suojaavat henkilöllisyydet, valvovat järjestelmiä, korjaavat nopeasti, kouluttavat työntekijöitä, varmuuskopioivat tärkeitä tietoja ja testaavat vastaussuunnitelmiaan ennen hyökkääjien tekemistä.
