cyber en oversikt · internet of things produksjon distribusjon / leveranse salg kritisk...

Prepared by Aon’s Cyber Solutions

Proprietary & Confidential

Cyber – en oversikt


Proprietary & Confidential 2

Cyberrisiko i utvikling



Aon’s 2019 Cyber Security Risk Report – Hva nå, og hva kommer?8 Sentrale risiko områder

Overgangen til en digital

hverdag skaper nye og

uforutsette trusler.

Angrep mot verdikjeden

øker med kompleksiteten.

IoT er overalt, og øker

risikoen mer enn bedrifter

er klar over.

Teknologi for å øke

effektiviteten introduserer

sikkerhetshull som gjør

bedrifter sårbare.

Ansattes tilganger og

prosjekter ukjent for it-

avdelingen øker risikoen.

Sårbarhet rundt

transaksjoner øker I takt

med størrelsen på

transaksjonen.

Håndtere balansegangen

mellom cybersikkerhet og

regulatoriske krav.

Styret og ledelsen

risikerer personlig ansvar I

forbindelse med

manglende fokus på cyber

sikkerhet.

Aon's 2019 Cyber Security Risk Report

https://www.aon.com/getmedia/b7091648-c3b9-47bb-beeb-783b552b377f/2019-Cyber-Security-Risk-Report-Final-US_2019Feb07.pdf.aspx



Organisasjoner på kryss av industrier fortsetter å investere i digital teknologi for å forbedre

kvaliteten, øke konkurranseevnen, og for å nå effektiviseringsmål.

Automatisering

Tilgjengelighet

Økonomiske drivere Teknologiske drivere Strategiske trusler

Cybertruslene utvikler seg raskt

Artificial

Intelligence

Social

Media

Cloud

Computing

Big DataVirtual

Reality

MobilityInternet

of Things

▪ Produksjon

▪ Distribusjon / leveranse

▪ Salg

▪ Kritisk infrastruktur

▪ PII

▪ PCI

▪ PHI

▪ IP

▪ GDPR

▪ Tingskader

▪ Personskader

▪ Produkt ansvar

Distributed

Ledger /

Blockchain



Kompleks utfordring vedrørende cyber sikkerhet

Som følge av økt digital håndtering, et økende trusselbilde fra omverdenen, og sterkere regulering

fra myndighetene må håndtering av cyber risiko ha en bred og kompleks tilnærming.

Trusler og risikoer i utvikling

Trusler fra omgivelsene

Suverene stater vs.

Kriminelle aktører

Økt bruk av skytjenester og

mobil databruk

PCI og andre industrielle

sertifiseringer

EU General Data Protection

Regulation (GDPR)

Cyber sikkerhets teknologi i

fremtiden.

Kritisk infrastruktur /

«Black Swans»

EU direktiv om sikkerhet for nettverk

og informasjonssystem (NIS)



Større NotPetya angrep som medførte driftsavbrudd (Sist oppdatert februar 2019)

Organisation Commercial Impact Financial Components Source

A.P. Moller – Maersk $250-300 million Earnings Reduction Q4 2017 Financials

Beiersdorf AGMinimal sales impact

€15 million

€35mm sales shifted Q2 to Q3

Additional expenses

Q2 2017 Financials

Q4 2017 Earnings Call

FedEx

(TNT Express)$400 million Earnings Reduction Q4 2018 Financials

Merck & Co.$410 million

$380 million

2017, 2018 Sales Reduction

Additional Expenses

Q4 2017 Financials

Q3 2018 Financials

Mondelez International~$104 million

$84 million

2017 Sales Reduction

Additional Expenses

Q4 2017 Earnings Call

Q4 2017 Earnings Release

Nuance Communications$68 million

$31.2 million


Additional ExpensesQ3 2018 Financials

Reckitt Benckiser ~£114 million2% Q2 Sales Reduction

2% Q3 Sales Reduction

Press Release

Q2 2017 Financials

Q3 2017 Financials

Saint-Gobain~€220-250 million

€80 million


2017 Earnings Reduction





Større sikkerhetsbrudd/ Personvernbrudd (February 2019)

Organisation Commercial Impact Financial Components Source

Anthem $278 million

Gross Expenses ($148mm)

Security Improvements ($115mm)

HIPAA Settlement ($16mm)

Regulator Settlement

U.S. District Court

HHS OCR

Equifax

$430.5 million

$514 million

£500,000

Gross Expenses to Date

Total Estimated Gross Expenses

ICO Fine (DPA 1998)


Q3 2018 Financials

ICO Notice

Facebook £500,000 ICO Fine (DPA 1998) ICO Notice

The Home Depot $298 million Gross Expenses 10-K Filing 2017

Target Corporation $292 million Gross Expenses 10-K Filing 2017

Uber

$148 million

€400,000

€600,000

£385,000

U.S. Attorney General Settlement

French CNIL Fine

Dutch DPA Fine

ICO Fine (DPA 1998)

U.S. AG Settlement

CNIL Notice

Dutch DPA Notice

ICO Notice

Yahoo! Inc.

(Altaba Inc.)

$350 million

$85 million

$35 million

$80 million

$29 million

£250,000

Reduced Acquisition Price

Customer Class Action

SEC Fine

Securities Class Action

Shareholder Derivative

ICO Fine (DPA 1998)

Verizon Press Release

U.S. District Court

SEC Press Release

U.S. District Court

U.S. District Court

ICO Notice



Norge – Helse Sør-Øst (Media 2017)

• I 2017 ble det avslørt at IT-arbeidere fra Asia og Øst-Europa fikk tilgang til helsejournaler

for 2.8 millioner nordmenn i forbindelse med outsourcing av IT systemer i Helse Sør-Øst.

• Datatilsynet kom I sin rapport med sterk kritikk mot foretaket.

• Manglende eierskap, og ansvaret ble i stedet delegert nedover I systemet.

• Risiko- og sårbarhetsvurdering ikke gjennomført før outsourcing av IT

• Datatilsynet konkluderte med brudd på flere lover og forskrifter.

• Personopplysningsloven

• Pasientjournalloven

• Personopplysningsforskriften

• Datatilsynet fant ingen formildende omstendighet

• Bøter gitt flere sykehus, og total summen strakk seg til MNOK 7.2. Det er verdt å notere

seg at dette var før GPDR ble innført.

• Ukjent om de hadde forsikring, men varslingskostnader, undersøkelser,

hendelseshåndtering, pr-kostnader og bøter kan tenkes falle inn under en forsikring.



Cyberrisiko er et ledelsesansvar

Regulatoriske kravObligatorisk notifisering ved sikkhetsbrudd

Sivile søksmålKostnader for håndtering av

hendelse

Cyber/Nettverk Sikkerhet & Personvern policy

Fall i aksjekursMassesøksmål fra

aksjonærer

Brudd på forvaltningsansvaret

Derivative søksmål

D&O Polise

Sikkerhets-,

og/eller brudd på

personvern

Regulatorisk undersøkelseIndividuelle D&O mottar stevning



Cyberrisiko er et ledelsesansvar

▪ October 2018: Google+/Alphabet (privacy); Huazhu (privacy); Chegg (privacy) have been filed in quick

succession, all with securities suits arising out of cybersecurity breaches.

▪ August 2018: Nielsen Holdings disclosure that the General Data Protection Regulation (“GDPR”)-related

changes affected the company’s growth rate, pressured the company’s partners and clients, and disrupted the

company’s advertising “ecosystem.” The company’s stock fell approximately 25%, and the CEO announced

his resignation, to be effective at the end of 2018.

▪ July 2018: Facebook’s 19% stock drop, representing a $120 billion decline in market capitalization, leads to

several securities suits. These suits include allegations that Facebook failed to disclose the business impact of

GDPR.

▪ May 2018: Wendy’s derivative suit arising from a data security breach was settled for cybersecurity changes,

corporate governance therapeutics, and $950,000 in plaintiffs’ attorneys’ fees

▪ March 2018: Yahoo!’s breach-related securities class action claim settlement of $80 million is the first

substantial data breach-related shareholder lawsuit recovery

▪ May 2017: Home Depot follow-on claim appeal settled for $1 million+ corporate governance changes

▪ Pending Equifax follow-on directors and officers claim arising out of a network security breach

▪ Wyndham follow-on directors and officers claim: road map to effective litigation defenses

▪ Several other follow-on directors and officers claims filed, with many dismissed thus far



Eksempel scenario: Cyber utpressing, avbrudd & personvernbrudd

3. Parts søksmål

og krav om

erstatning

Oppdagelse/

Informert om

sikkhetsbrudd

Avgjøre om

trusselen er reell

og omfanget av

angrepet.

Sikkhetsbrudd

fastslått,

Bedriftsavbrudd

starter.

Løspenger,

notifisering,

Krisehåndtering,

Kreditt og ID

overvåking

Avbrudd, og

andre kostnader.

CEO mottar en e-

post med

løsepengekrav på

bitcoin til en verdi

av MNOK 5 krevd

betalt innen 24

timer.

Hackere vil

publisere sensitive

kundeinformasjon,

stenge ned kritiske

systemer.

CISO informert om

e-post og oppdager

unormal aktivitet I

nettverket. Leier inn

ett 3. parts it-

selskap for å

undersøke.

Det fastslås at

trusselen er reell,

og at mer enn

500.000 sensitive

datafiler om kunder

er berørt.

To uker etter at

notifiseringen gikk

ut, mottar

organisasjonen ett

massesøksmål

som hevder

selskapet er

ansvarlig for å ikke

sikre sensitive

opplysninger godt

nok.

Løsepenger blir

betalt for å forhindre

ytterligere skade.

Juridiske rådgiver

blir leid inn for å

hjelpe il med

notifisering til

berørte individer.

Kreditt og ID

overvåking tilbudt.

Pr-rådgivere leid inn

for å håndtere PR

kampanjer.

Kritiske systemer

nede I 10 dager.

Påvirker

kundeordre, og

generell forretnings

virksomhet.

Store tap av

inntekter og

betydelige

kostnader for å

normalisere driften.

Politiet blir koblet inn,

men før beslutning om

betaling a løsepenger

blir halvparten av

kundedataen

publisert, og hackerne

gjør kritiske

nettverksfunksjoner

utilgjengelig.

Kunder/Ansatte får

ikke tilgang til kritiske

systemer og kan ikke

prosessere ordre.

Hvordan det utspiller seg…

CISO eller det tekniske teamet bør koordinere tiltak sammen med risk manager/forsikringsansvarlig. Å forstå din organisasjon sitt forsikringsbehov er avgjørende.

Forebyggende aktiviteter (selv om de er godt ment) av kun it-teknisk kan påvirke en forsikringsansvarliges muligheter til å dekke finansielle tap via forsikringen..



Cyber - Forsikringsmarkedet



Desto flere skader,

desto bedre blir

dataen for

forsikringsselskapene.

Dekningen fortsetter å

utvikle seg, og gir mer

verdi for kundene

Kapasiteten fortsetter

å vokse på kryss av

geografi.

Egenandeler er under

vurder vurdering

Prisutvikling er

konkurransedyktig men

økende for visse

industrier.

▪ Kompleksiteten I sikkerhetsbrudd driver kostanden ved hendelseshåndtering hos den forsikrede.

▪ Skader og taps informasjon har medført bredere tilbudt dekning, og sikrere aktuar beregninger.

▪ Man ser et økt fokus fra regulatoriske myndigheter, med høyere sanksjoner.

▪ E&O skader er en av hovedårsaken til større tap hos forsikringsselskapene.

▪ Forsikringsselskapene fortsetter å oppdaterevilkårene sine for å møte behovet i markedet.

▪ Dekningsomfang fortsetter å utvide seg.

▪ Forsikringsselskapene differensierer seg med nye og bedre løsninger.

▪ Sterkt fokus på bruk av forhånds avtaltekonsulenter

▪ Bredere dekning for systemfeil og betinget avbruddsløsning.

▪ Over 75 forsikringsselskaper tilbyr PI/Cyber kapasitet.

▪ Kapasitet er tilgjengelig lokalt, bade primær og excess kapasitet.

▪ Et økende antall forsikringsselskaper utvikler appetitt for store og komplekse risikoer.

▪ Teoretisk er der over 8 milliarder I kapasitet tilgjengelig I PI/Cyber markedet.

▪ Egenandeler på alle nivåer er tilgjengelig I markedet, men kan variere stort basert på industri, størrelse og unik eksponering.

▪ Ved å endre egenandelen kan må se bredere dekning og/eller fleksibilitet I prising.

▪ Man ser en gjennomsnittlig rate nedgang, men betinger industri, skadehistorikk, og omfang av dekning.

▪ Excess raten fortsetter å være konkurransedyktig med gode priser.

▪ Noen kunder har fått betydelig bedre dekning ved å betale høyere premie.

Prising

Markedssituasjon

Skade og Tap DekningKapasitet Egenandeler

Note: Dette er en generell sammenfatning og kan variere basert på kunde, industri og størrelse.



Hovedelementene i en cyber dekning

▪ Evaluering før en hendelse

▪ Tilgang til forhåndsgodkjente leverandører

▪ Cybersikkerhets informasjon

Forebygging

▪ IT-Tekniske undersøkelser

▪ Legale tjenester

▪ Notifisering

▪ Kreditt og ID overvåking

▪ Kundesenter tjenester

▪ Krisehåndtering /PR tjenester

Assistanse

▪ Kostander ved å drifte eller tilbakestille driften til normale tilstander

▪ Tap av inntekter og omsetning

▪ Kostnader ved å gjenopprette data.

Forretningsdrift

▪ Kostnader til juridisk bistand og finansielt ansvar fra krav om påstått brudd på personvernet eller sikkerhetsbrudd på nettverket.

Ansvar



Cyberdekning – Markedsstandard – En oversikt.

Risiko ved drift ▪ Nettverksavbrudd

▪ Systemfeil

▪ Betinget avbruddstap / Systemfeil.

▪ Cyberutpressing

▪ Gjenoppretting av data

Personvern og

nettverkssikkerhet▪ Brudd på personvern og ansvar ved brudd på

nettverkssikkerhet.

▪ Bøter ved brudd på personvernet.

▪ Medieansvar

▪ PCI bøter og straffereaksjoner

▪ Kostnader ved hendelseshåndtering



“Silent Cyber”: Potensiell dekning under tradisjonelle forsikringer


Proprietary & Confidential

Note that coverage in

policy forms can vary

materially from carrier to

carrier, and base forms to

manuscript policy forms

For mere informasjon, last ned vårt “White Paper”, Cyber Perils in a Growing Market

Helping EMEA organisations better understand the interconnectivity among multiple lines of insurance

https://www.aon.com/unitedkingdom/insights/cyber-perils-in-a-growing-market.jsp



Cyberdekning i relasjon til andre forsikringer

Produkt-

ansvar

• Potensielt overlappende dekning for avbruddsforsikring og betinget avbruddsforsikring og

gjenoppretting av data.

• FM Global Cyber Solution – kutter kapasitet og øker premien

• Malware / DDOS angrep utgjør ikke en fysisk trussel, og gjør ikke skade på fysisk eiendom.

• Zurich Insurance Co. v. Sony Corp. of America - ISO Eksklusjon – Tilgang eller eksponering av

konfidensiell eller personlig informasjon, og data relatert ansvar.

• AIG annonsert at de vil bekrefte dekning for cyber relaterte fysiske skader betinget høyere

premie og ytterligere underwriting

• Tap knyttet til «social engineering»– Cyber forsikring ekskluderer tap av penger

• Kriminalitetsforsikring krever en intensjon om å stjele penger, verdipapir eller

fysiske eiendeler.

• Cyber utpressingsskaper meldt inn under K&R poliser → Dekker kostnaden men vanskeliggjør

tilgangen til erfarne leverandører.

• Når langtidsavtaler på K&R utgår ekskluderer forsikringsgivere cyberdekning.

• Fjernhacking av Jeep resulterte i tilbakekalling av 1.4 millioner kjøretøy.

• Internet of Things (“IoT”) skaper ytterligere produkteksponering

• Home Depot sikkerhetsbrudd – relaterte derivativt søksmål – forlik tvang Home Depot til å

adoptere spesifikke «coporate governance» reform relatert til cybersikkerhet ( og betale opp til

$1.125M i saksomkostninger)

• Equifax – Som følge av sikkhetsbrudd fulgte et søksmål som treffer en D&O polise (security

claim).

Silent

Cyber

Ansvar

Property

Crime

Kidnap &

Ransom

Directors &

Officers



Cyber tap – en gapsanalyse

Property

General /

Product

Liability

Directors &

Officers

Liability

Crime

Kidnap &

Ransom /

Extortion

Terrorism RecallMarine &

CargoAviation

Environment-

al

Intellectual

PropertyCyber

Financial Damages From A Network Security Event or A Privacy Event

First Party Losses - arising out of your network security breach or a privacy breach

Response Costs: forensics, notification, credit monitoring

Legal Expense: advice and Defence

Credit Monitoring Costs

Revenue Losses: from network outages

Revenue Losses: from dependent business network outages

Data Restoration Costs

Cyber Extortion Expenses

Stolen Intellectual Property Valuation Costs

Crisis Management Expenses

Loss of Money, Securities and Properties

Third Party Losses - arising out of your network security breach or a privacy breach

Damages, settlement or judgement

Legal Expenses

Regulatory Fines & Penalties

PCI-DSS Assessments

Physical Damages From A Network Security Event

First Party Losses - arising out of your network security breach

Mechanical Breakdown of your equipment

Damage to your facilities

Environmental cleanup of your property

Lost revenues from physical damage to your equipment/facilities

Lost revenues from physical damage to your contingent equipment/facilities

Bodily Injury to your employees

Third Party Losses - arising out of your network security breach

Mechanical breakdown of others' equipment

Destruction or damage to others' facilities or other property

Bodily injury to others



Aon’s Cyber Proposition

We know how to protect your organization

and its critical assets.

We search for the truth and help you

recover quickly.

We help you understand and quantify

your risk.



Seek Shield Solve



CyQu Evaluation



Next Step



Contact List

Morten Landrø

Senior Broker

Broking

+47 92 22 33 55

[email protected]

Connect: aon.com - Cyber Solutions

http://www.aon.com/risk-services/cyber.jsp

cyber en oversikt · internet of things produksjon distribusjon / leveranse salg kritisk...

Documents