Ledere er mest utsatt for hacking. Slik lures de.
Ifølge AIG sin siste rapport om cybersikkerhet, har Business Email Compromise (BEC) nå blitt den vanligste årsaken til sikkerhetsbrudd, og tatt tronen fra ransomware.
BEC, eller direktørsvindel, innebærer at svindlere sender e-post til nøkkelpersoner i bedriften, som økonomimedarbeidere, økonomidirektører eller daglig leder. Der utgir de seg for å være en annen person i bedriftens ledelse.
Målet er å overbevise mottakeren om å betale en faktura, gjøre en overførsel eller overgi sensitiv informasjon. BEC sto i 2018 for 25 % av alle skadesaker AIG mottok på sin cyberforsikring, en voldsom økning fra 11 % i 2017.
Tidligere har finansinstitusjoner vært mest utsatt for BEC, men fordi bransjen nå er sterkt regulert, er også IT-sikkerheten langt bedre. Svindlerne sikter seg derfor i stedet inn mot nye bransjer der det er mindre fokus på IT-sikkerhet. Vi ser at profesjonelle tjenestebedrifter, som advokatfirmaer, revisorer og regnskapsbyråer, nå er den mest utsatte bransjen.
Målrettede løsepengeangrep i vekst
Angrepet mot Norsk Hydro er et godt eksempel på hvordan datakriminelle i økende grad sikter seg inn mot enkeltbedrifter. Det viser hvor ødeleggende ransomware, eller løsepengevirus, kan være. Ikke bare kan løsepengekravene nå beløpe seg i millionklassen, men nedetiden for bedriften er også meget kostbar. Norsk Hydro var tvunget til å stoppe produksjonen ved flere anlegg i Europa og Amerika, og måtte ta ned IT-systemene for å unngå ytterligere skade.
Selv om løsepengeangrep sto for en langt lavere andel av skadesakene AIG mottok i 2018 (18 %) enn i 2017 (26 %), forventer AIG at antallet angrep vil fortsette å vokse. Spesielt antar vi at målrettede angrep utgjør en betydelig trussel fremover.
«Målrettede angrep, kan bli en større utfordring i 2019. Rask spredning av virus eller angrep mot viktige institusjoner eller tjenester fra statssponsede grupper, kan forårsake betydelige tap pga nedetid og få store konsekvenser for en rekke bransjer. Potensielt kan de forårsake fysisk skade», mener Mark Camillo, Europeisk leder for cyber i AIG.
GDPR-effekten på antall skadesaker
AIG sin rapport viser en tydelig oppgang i antall skadesaker som rapporteres, hvor kunder har fått sitt personvern krenket etter at EUs nye personvernlovgivning tredde i kraft i mai 2018.
«GDPR krever at visse brudd på datasikkerheten varsles til myndighetene innen 72 timer», sier Abdoulie Dibba, som jobber med cyberforsikring i AIG. «Vår cyberforsikring gir umiddelbar bistand til kunden de første 72 timene etter at bruddet oppdages uten egenandel, og vi ser en betydelig økning i antall krav i denne tidlige fasen som følge av GDPR. I tillegg, øker kostnadene for teknisk og juridisk arbeid, samt PR. Dette fører til enda høyere utbetalinger.»
Skadesaker der vårt First Response team bistår forsikringstagere med å forberede rapporter om personvernbrudd til myndighetene har økt med 50 %.
Forventet vekst
Veksten i antall skadesaker fortsatte i 2018, som den har gjort de 5 foregående årene. Med økende digitalisering på tvers av bransjer, forventer vi at både antall saker og alvorlighetsgraden på sakene bare vil fortsette å vokse i årene fremover.
«Tallene viser at cyberforsikring blir mer og mer vanlig, og at bedrifter benytter seg av dekningen den gir», sier Camillo. «Forsikringen gir bred dekning og sikrer umiddelbar bistand ved dataangrep, systemfeil og personlige feil. Forsikringstagere får tilgang til teknisk ekspertise for å finne ut hva som har skjedd og hvordan det kan løses. I tillegg får bedriften PR-rådgivning/ juridisk bistand til hvordan situasjonen bør håndteres utad eller rettslig, samt dekning av finansielle kostnader.»