Ökat intresse från advokatbyråer för cyberriskförsäkringar

Cyberkriminaliteten växer och utvecklas snabbt över hela världen. Fantasin är stor när det gäller hur man kan tjäna pengar på känslig information. Som många datasäkerhetsexperter uttrycker det: Frågan för företag är inte längre om man kommer att drabbas av dataintrång – frågan är när man drabbas.

För Ann-Marie Ovin, CIO på advokatfirman Vinge med ansvar för byråns IT- och KM-avdelning, är cybersäkerhet en ständigt närvarande verklighet.

– Man tänker lätt att cybersäkerhet är en ren IT-fråga. Men det handlar inte bara om IT. Det här är en verksamhets- och ledningsfråga och en medarbetarfråga.

Säkerhetstänkandet går igen såväl i val av tekniska system som i regler för hur till exempel smarta telefoner ska användas.

– Det här är grundläggande för att sköta advokatuppdraget, konstaterar Ann-Marie Ovin, som jämför med jävssökningar.

Även Sten Bauer, advokat och managing partner vid Baker & McKenzies Stockholmskontor, betraktar IT-säkerhet som en helt grundläggande fråga för advokatbyrån.

 

Att advokatbyråer måste hantera och skydda sig mot cyberhoten är tydligt. Men vad kan det då innebära om klientinformation kommer på avvägar? Negativa effekter på flera olika nivåer, svarar Ann-Marie Ovin.

– Om klientinformation försvinner i en pågående affär kan det påverka hela affären. Men det får även negativa konsekvenser för Vinge. Vi sysslar ju med en förtroendeverksamhet, säger Ovin.

Förlorad information kan alltså skada både klienter och advokatbyrån själv. Och både Ann-Marie Ovin och Sten Bauer upplever att det, åtminstone bland internationella och amerikanska klientföretag, finns en stor medvetenhet om riskerna.

– Det har vuxit mycket i USA. Genom att många av våra klienter är globala företag ser vi det även i Stockholm. Jag har inte upplevt att frågan har haft samma aktualitet i Sverige, men den växer. Det finns numera en stor medvetenhet på alla IT-avdelningar och den har nu kommit upp till bolagsledningarna, säger Sten Bauer.

Insikten om cyberhot gör att klientföretagen, utöver att försäkra sig om att deras advokatbyrå har en god informationssäkerhet, också behöver hjälp med rådgivning på området. Cyberbrottsligheten kan därmed förutom att vara ett problem också bidra till att skapa nya arbetsuppgifter för advokaterna.

– Inom Baker & McKenzie har vi arbetat med dessa frågor i tio år. Vi hjälper klienterna att analysera vilka risker och vilka hot de är utsatta för, säger Sten Bauer.

Hur mycket säkerhetssystem som än byggs upp och hur stor medvetenheten bland medarbetarna än är går det inte att skapa helt säkra IT-system. Om det värsta händer och information läcker ut eller förstörs kan en cyberriskförsäkring vara till hjälp. Den amerikanska advokatorganisationens webbtidning ABA Journal skrev under våren om att det blivit allt vanligare att advokater tecknar sådana försäkringar.

Även i Sverige ökar intresset bland advokater att diskutera cyberrelaterade risker och försäkringsmöjligheter, enligt Anders Bergsten, ansvarig för Advokatsamfundets gruppförsäkringsprogram hos  försäkringsmäklaren Willis. Han får stöd av Kristoffer Haleen, som arbetar med just cyberriskförsäkringar på Willis.

– Vi har haft en hel del samtal med Advokatsamfundet om detta, och vi undersöker möjligheterna att ta fram en produkt riktad till svenska advokater, säger han.

Visserligen finns det redan ett antal olika cyberriskförsäkringar på den svenska marknaden. Men enligt Kristoffer Haleen är de många gånger anpassade till andra branscher än advokatbranschen eller till andra länders villkor. Det gäller därför att som advokat veta exakt vad man behöver.

– I USA är det ansvarsmomentet som är den viktigaste delen i cyberförsäkringar. Den delen är väl täckt av de svenska advokaternas vanliga ansvarsförsäkring. Däremot täcks inte inkomstbortfallet som ett intrång kan leda till, eller andra utgifter för olika cyberrelaterade händelser, säger Kristoffer Haleen.

Han menar att det största hotet mot mindre advokatbyråer just nu inte är illasinnade hackers som stjäl information. I stället handlar det om hot och utpressning. När advokaten startar datorn på morgonen möts hon av ett meddelande om att någon tagit kontroll över alla data, och om byrån inte betalar en viss summa pengar förstörs de. 

– Den typen av smygande attacker ger inte nödvändigtvis upphov till skadeståndskrav, men man kan inte jobba under en period, och riskerar att förlora viktiga uppgifter. Det vi arbetar med att ta fram är en försäkring som kan täcka sådana kostnader, förklarar Kristoffer Haleen, och fortsätter:

– En annan aspekt av försäkringen är att ge hjälp och inte bara ersätta pengar. Hur många advokater vet till exempel vad de ska göra när de möts av ett hot om kapning? Cyberförsäkringen syftar till att ge hjälp och respons i dessa situationer.

ett av de försäkringsbolag som erbjuder cyberriskförsäkringar i Sverige är Zurich. Försäkringen har funnits i Sverige sedan 2012. Christina Malmsten, ansvarig för cyberriskförsäkringar på Zurich, berättar att både kunder och försäkringsmäklare till en början var en smula undrande. Men intresset har växt. Och även om det ännu inte är så många advokater som har tecknat försäkringen förutspår Christina Malmsten ett ökande intresse även här.

Zurichs cyberriskförsäkring innehåller fem delar: kostnader för teknisk analys och PR-konsulter om man upptäcker ett intrång; kostnader för återskapande av data om dessa förstörts; avbrottskostnader; utpressningskostnader samt ansvarsförsäkring gentemot kunder som drabbats. Ansvarsdelen, som är viktig i många andra länder, kan dock svenska advokater som regel välja bort, eftersom den redan täcks av den vanliga obligatoriska ansvarsförsäkringen, förklarar Christina Malmsten.

– Samtidigt kan det vara så att en advokatbyrå har gjort allt man kan förvänta sig när det gäller IT-säkerhet, men ändå utsätts för någon form av riktad attack. Då är man ju inte skadeståndsskyldig, men man kan ändå få stora kostnader för angreppet. Och även om man inte måste informera klienterna enligt lag kanske man vill göra det ändå, säger hon.

Att cyberriskförsäkringar ännu inte är någon självklarhet för svenska advokatbyråer märks av att de affärsjuridiska byråerna har kommit till olika slutsatser i försäkringsfrågan.

Medan globala advokatbyrån Baker & McKenzie har en cyberriskförsäkring sedan omkring tio år, har Vinge i dag ingen specifik försäkring. Ann-Marie Ovin uppger att byrån för några år sedan kartlade sitt försäkringsbehov.

– Vi fann att mycket var överlappande på detta område, inte minst genom att ansvarsförsäkringen täckte delar av det, och där det inte överlappade fanns ingen relevant produkt för oss, säger hon, men konstaterar att detta förstås är ett område där man bör göra regelbundna kartläggningar av marknaden.

Om framtidens tekniska utveckling och cyberbrottslingarnas nya påhitt är det förstås svårt att sia.

Alla intervjuade är dock överens om att både informationstekniken och hoten mot den är här för att stanna. Och Kristoffer Haleen på Willis tror att det framgent kommer att bli en självklarhet att försäkra sig mot dessa risker.

– Jag är övertygad om att dessa försäkringar i framtiden kommer att vara något som ingår i företagens grundskydd. Utöver det får varje företag välja de lösningar som passar deras behov, säger han.

Behovet av försäkringar påverkas också av andra faktorer än teknikutvecklingen, som lagstiftningen. Här är stora förändringar att vänta, när EU:s länge planerade dataskyddsförordning träder i kraft om två–tre år.

Dataskyddsförordningen, som ska ersätta personuppgiftslagen, kommer troligen att innebära att företag blir skyldiga att rapportera om dataintrång. En sådan rapporteringsskyldighet finns redan nu i de flesta av USAs delstater, och brukar anges som en förklaring till att cyberriskförsäkringar är vanligare just där.

Christina Malmsten på Zurich tror att dataskyddsförordningen kommer att påverka hur svenska företag ser på behovet av cyberriskförsäkringar.

– Dels för att en eventuell ny rapporteringsskyldighet kan komma att innebära att man måste kartlägga hur många som har drabbats och att uppgifterna blir offentliga. Det innebär kostnader. Dels handlar det om en potentiell risk för böter och skadestånd, säger hon.

Även Kristoffer Haleen på Willis ser att den nya förordningen kan förändra spelreglerna för advokatbyråerna. Riktigt hur är dock ännu oklart.

– Man har ju talat mycket om de stora viten som ska komma. Nu är ju inte syftet med vitena i första hand att dra in pengar, utan att ändra vårt beteende. Sedan är det en annan sak att vi inte vet ännu om vitena kommer att vara försäkringsbara. Och så återstår att se vilken praxisen blir, säger han, och tillägger att oavsett hur det blir är den svenska försäkringsbranschen väl förberedd på förändringen. 

Ulrika Öster

Källor:

l Webbplatsen Eubusiness.com

l Hudson, David J Jr: Cyber liability insurance is an increasingly popular, almost necessary choice for law firms, ABA Journal,

1 april 2015

l KPMG: Un­known threats in Sweden, Study Publication,

27 augusti 2014

l The National Association of Insurance Commissioners webbplats, http://www.naic.org/cipr_topics/topic_cyber_risk.htm