Företagen vill gardera sig allt bättre mot cyberhot, och olika datasäkerhets- och cyberförsäkringar har blivit allt vanligare. Bolagen som erbjuder försäkringarna är dock försiktiga med att ge ut omfattande cyberförsäkringar.
Försäkrarna är rädda för att ersättningssummorna växer snabbt eftersom företagen som försäkrat sig har bildat nätverk sinsemellan via sina IT-system. I sådana fall kunde en cyberattack påverka många företag på en gång.
Enligt en färsk utredning har försäkringsbolagen dock ingen orsak till alltför stor försiktighet, eftersom riskerna som företagens nätverk orsakar försäkringsbolagen inte motsvarar uppskattningarna. Utredningen “When Are Cyber Blackouts in Modern Service Networks Likely? A Network Oblivious Theory On Cyber (Re)Insurance Feasibility” har godkänts för publicering i tidskriften ACM Transactions on Management Information Systems.
Riskerna samlas via IT-systemen
Olika cybersäkerhetsrisker hänger ofta ihop med varandra, eftersom företagen bildar nätverk via olika IT-system och servicekedjor. De erbjuds av stora mjukvaruföretag som Oracle, SAP, HP Enterprise och Fujitsu.
Om ett sådant stort företag utsätts för en cyberattack kan dess verkningar stråla ut till alla de företag som använder mjukvaruföretagets tjänster. De ekonomiska förlusterna en sådan attack orsakar kan röra sig kring miljarder dollar.
– Ett enda epostmeddelande som innehåller ett skadeprogram kan lamslå en hel organisation. Skadan kan stråla ut i alla andra företag som det attackerade företaget har i sitt nätverk, säger en av forskarna, Ranjan Pal från Ann Arbor-universitetet i Michigan.
– Om alla företagen börjar kräva ersättningar kan det bli mycket dyrt för cyberförsäkraren. Därför är försäkrarna försiktiga, och håller priset på självriskpremien högt, säger Pal.
Risken mindre än väntat för försäkringsbolag
Forskarna utredde hur stor den ekonomiska risken i verkligheten är för försäkringsbolaget i hela nätverket av interkopplade företag om nätverket utsätts för en omfattande och allvarlig cyberattack.
Med hjälp av matematisk analys visade forskarna att nätverkandet av IT-system i verkligheten endast har en liten effekt på hur stor risken sist och slutligen blir för enskilda försäkringsbolag som erbjuder cyberförsäkringar. Risken var liten också om cyberanfallen var allvarliga.
– Forskningen visar att strukturen på företagsnätverk som långt baserar sig på IT-system inte markant påverkar den enskilda försäkrarens ekonomiska risk, säger en av forskarna, professorn i datavetenskap, Sasu Tarkoma från Helsingfors universitet.
– Avsevärt mera påverkar företagets marknadsvärde och beroende av enskilda IT-tjänster uppkomsten av ekonomisk risk, säger Tarkoma.
Enligt forskarna kunde de nya resultaten vara lugnande för försäkringsbolag, eftersom det har varit svårt att skapa modeller av IT-systemens funktion och risker i företagsnätverk ur försäkrarnas synvinkel.
– Utbudet av cyberförsäkringar kunde breddas till att täcka även risker av större kaliber. På det viset kunde vi få ett mera stabilt utbud av cyberförsäkringar, och först och främst kunde människor som möjligen behöver ersättningar efter en attack få sinnesro, säger Tarkoma.