Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
Prepared by Aon’s Cyber Solutions
Proprietary & Confidential
Cyber – en oversikt
Prepared by Aon’s Cyber Solutions
Proprietary & Confidential 2
Cyberrisiko i utvikling
Prepared by Aon’s Cyber Solutions
Proprietary & Confidential 3
Aon’s 2019 Cyber Security Risk Report – Hva nå, og hva kommer?8 Sentrale risiko områder
Overgangen til en digital
hverdag skaper nye og
uforutsette trusler.
Angrep mot verdikjeden
øker med kompleksiteten.
IoT er overalt, og øker
risikoen mer enn bedrifter
er klar over.
Teknologi for å øke
effektiviteten introduserer
sikkerhetshull som gjør
bedrifter sårbare.
Ansattes tilganger og
prosjekter ukjent for it-
avdelingen øker risikoen.
Sårbarhet rundt
transaksjoner øker I takt
med størrelsen på
transaksjonen.
Håndtere balansegangen
mellom cybersikkerhet og
regulatoriske krav.
Styret og ledelsen
risikerer personlig ansvar I
forbindelse med
manglende fokus på cyber
sikkerhet.
Aon's 2019 Cyber Security Risk Report
Prepared by Aon’s Cyber Solutions
Proprietary & Confidential 4
Organisasjoner på kryss av industrier fortsetter å investere i digital teknologi for å forbedre
kvaliteten, øke konkurranseevnen, og for å nå effektiviseringsmål.
Automatisering
Tilgjengelighet
Økonomiske drivere Teknologiske drivere Strategiske trusler
Cybertruslene utvikler seg raskt
Artificial
Intelligence
Social
Media
Cloud
Computing
Big DataVirtual
Reality
MobilityInternet
of Things
▪ Produksjon
▪ Distribusjon / leveranse
▪ Salg
▪ Kritisk infrastruktur
▪ PII
▪ PCI
▪ PHI
▪ IP
▪ GDPR
▪ Tingskader
▪ Personskader
▪ Produkt ansvar
Distributed
Ledger /
Blockchain
Prepared by Aon’s Cyber Solutions
Proprietary & Confidential 5
Kompleks utfordring vedrørende cyber sikkerhet
Som følge av økt digital håndtering, et økende trusselbilde fra omverdenen, og sterkere regulering
fra myndighetene må håndtering av cyber risiko ha en bred og kompleks tilnærming.
Trusler og risikoer i utvikling
Trusler fra omgivelsene
Suverene stater vs.
Kriminelle aktører
Økt bruk av skytjenester og
mobil databruk
PCI og andre industrielle
sertifiseringer
EU General Data Protection
Regulation (GDPR)
Cyber sikkerhets teknologi i
fremtiden.
Kritisk infrastruktur /
«Black Swans»
EU direktiv om sikkerhet for nettverk
og informasjonssystem (NIS)
Prepared by Aon’s Cyber Solutions
Proprietary & Confidential 6
Større NotPetya angrep som medførte driftsavbrudd (Sist oppdatert februar 2019)
Organisation Commercial Impact Financial Components Source
A.P. Moller – Maersk $250-300 million Earnings Reduction Q4 2017 Financials
Beiersdorf AGMinimal sales impact
€15 million
€35mm sales shifted Q2 to Q3
Additional expenses
Q2 2017 Financials
Q4 2017 Earnings Call
FedEx
(TNT Express)$400 million Earnings Reduction Q4 2018 Financials
Merck & Co.$410 million
$380 million
2017, 2018 Sales Reduction
Additional Expenses
Q4 2017 Financials
Q3 2018 Financials
Mondelez International~$104 million
$84 million
2017 Sales Reduction
Additional Expenses
Q4 2017 Earnings Call
Q4 2017 Earnings Release
Nuance Communications$68 million
$31.2 million
2017 Sales Reduction
Additional ExpensesQ3 2018 Financials
Reckitt Benckiser ~£114 million2% Q2 Sales Reduction
2% Q3 Sales Reduction
Press Release
Q2 2017 Financials
Q3 2017 Financials
Saint-Gobain~€220-250 million
€80 million
2017 Sales Reduction
2017 Earnings Reduction
Q3 2017 Earnings Release
Q1 2018 Earnings Release
Prepared by Aon’s Cyber Solutions
Proprietary & Confidential 7
Større sikkerhetsbrudd/ Personvernbrudd (February 2019)
Organisation Commercial Impact Financial Components Source
Anthem $278 million
Gross Expenses ($148mm)
Security Improvements ($115mm)
HIPAA Settlement ($16mm)
Regulator Settlement
U.S. District Court
HHS OCR
Equifax
$430.5 million
$514 million
£500,000
Gross Expenses to Date
Total Estimated Gross Expenses
ICO Fine (DPA 1998)
Q3 2018 Earnings Release
Q3 2018 Financials
ICO Notice
Facebook £500,000 ICO Fine (DPA 1998) ICO Notice
The Home Depot $298 million Gross Expenses 10-K Filing 2017
Target Corporation $292 million Gross Expenses 10-K Filing 2017
Uber
$148 million
€400,000
€600,000
£385,000
U.S. Attorney General Settlement
French CNIL Fine
Dutch DPA Fine
ICO Fine (DPA 1998)
U.S. AG Settlement
CNIL Notice
Dutch DPA Notice
ICO Notice
Yahoo! Inc.
(Altaba Inc.)
$350 million
$85 million
$35 million
$80 million
$29 million
£250,000
Reduced Acquisition Price
Customer Class Action
SEC Fine
Securities Class Action
Shareholder Derivative
ICO Fine (DPA 1998)
Verizon Press Release
U.S. District Court
SEC Press Release
U.S. District Court
U.S. District Court
ICO Notice
Prepared by Aon’s Cyber Solutions
Proprietary & Confidential 8
Norge – Helse Sør-Øst (Media 2017)
• I 2017 ble det avslørt at IT-arbeidere fra Asia og Øst-Europa fikk tilgang til helsejournaler
for 2.8 millioner nordmenn i forbindelse med outsourcing av IT systemer i Helse Sør-Øst.
• Datatilsynet kom I sin rapport med sterk kritikk mot foretaket.
• Manglende eierskap, og ansvaret ble i stedet delegert nedover I systemet.
• Risiko- og sårbarhetsvurdering ikke gjennomført før outsourcing av IT
• Datatilsynet konkluderte med brudd på flere lover og forskrifter.
• Personopplysningsloven
• Pasientjournalloven
• Personopplysningsforskriften
• Datatilsynet fant ingen formildende omstendighet
• Bøter gitt flere sykehus, og total summen strakk seg til MNOK 7.2. Det er verdt å notere
seg at dette var før GPDR ble innført.
• Ukjent om de hadde forsikring, men varslingskostnader, undersøkelser,
hendelseshåndtering, pr-kostnader og bøter kan tenkes falle inn under en forsikring.
Prepared by Aon’s Cyber Solutions
Proprietary & Confidential 9
Cyberrisiko er et ledelsesansvar
Regulatoriske kravObligatorisk notifisering ved sikkhetsbrudd
Sivile søksmålKostnader for håndtering av
hendelse
Cyber/Nettverk Sikkerhet & Personvern policy
Fall i aksjekursMassesøksmål fra
aksjonærer
Brudd på forvaltningsansvaret
Derivative søksmål
D&O Polise
Sikkerhets-,
og/eller brudd på
personvern
Regulatorisk undersøkelseIndividuelle D&O mottar stevning
Prepared by Aon’s Cyber Solutions
Proprietary & Confidential 10
Cyberrisiko er et ledelsesansvar
▪ October 2018: Google+/Alphabet (privacy); Huazhu (privacy); Chegg (privacy) have been filed in quick
succession, all with securities suits arising out of cybersecurity breaches.
▪ August 2018: Nielsen Holdings disclosure that the General Data Protection Regulation (“GDPR”)-related
changes affected the company’s growth rate, pressured the company’s partners and clients, and disrupted the
company’s advertising “ecosystem.” The company’s stock fell approximately 25%, and the CEO announced
his resignation, to be effective at the end of 2018.
▪ July 2018: Facebook’s 19% stock drop, representing a $120 billion decline in market capitalization, leads to
several securities suits. These suits include allegations that Facebook failed to disclose the business impact of
GDPR.
▪ May 2018: Wendy’s derivative suit arising from a data security breach was settled for cybersecurity changes,
corporate governance therapeutics, and $950,000 in plaintiffs’ attorneys’ fees
▪ March 2018: Yahoo!’s breach-related securities class action claim settlement of $80 million is the first
substantial data breach-related shareholder lawsuit recovery
▪ May 2017: Home Depot follow-on claim appeal settled for $1 million+ corporate governance changes
▪ Pending Equifax follow-on directors and officers claim arising out of a network security breach
▪ Wyndham follow-on directors and officers claim: road map to effective litigation defenses
▪ Several other follow-on directors and officers claims filed, with many dismissed thus far
Prepared by Aon’s Cyber Solutions
Proprietary & Confidential 11
Eksempel scenario: Cyber utpressing, avbrudd & personvernbrudd
3. Parts søksmål
og krav om
erstatning
Oppdagelse/
Informert om
sikkhetsbrudd
Avgjøre om
trusselen er reell
og omfanget av
angrepet.
Sikkhetsbrudd
fastslått,
Bedriftsavbrudd
starter.
Løspenger,
notifisering,
Krisehåndtering,
Kreditt og ID
overvåking
Avbrudd, og
andre kostnader.
CEO mottar en e-
post med
løsepengekrav på
bitcoin til en verdi
av MNOK 5 krevd
betalt innen 24
timer.
Hackere vil
publisere sensitive
kundeinformasjon,
stenge ned kritiske
systemer.
CISO informert om
e-post og oppdager
unormal aktivitet I
nettverket. Leier inn
ett 3. parts it-
selskap for å
undersøke.
Det fastslås at
trusselen er reell,
og at mer enn
500.000 sensitive
datafiler om kunder
er berørt.
To uker etter at
notifiseringen gikk
ut, mottar
organisasjonen ett
massesøksmål
som hevder
selskapet er
ansvarlig for å ikke
sikre sensitive
opplysninger godt
nok.
Løsepenger blir
betalt for å forhindre
ytterligere skade.
Juridiske rådgiver
blir leid inn for å
hjelpe il med
notifisering til
berørte individer.
Kreditt og ID
overvåking tilbudt.
Pr-rådgivere leid inn
for å håndtere PR
kampanjer.
Kritiske systemer
nede I 10 dager.
Påvirker
kundeordre, og
generell forretnings
virksomhet.
Store tap av
inntekter og
betydelige
kostnader for å
normalisere driften.
Politiet blir koblet inn,
men før beslutning om
betaling a løsepenger
blir halvparten av
kundedataen
publisert, og hackerne
gjør kritiske
nettverksfunksjoner
utilgjengelig.
Kunder/Ansatte får
ikke tilgang til kritiske
systemer og kan ikke
prosessere ordre.
Hvordan det utspiller seg…
CISO eller det tekniske teamet bør koordinere tiltak sammen med risk manager/forsikringsansvarlig. Å forstå din organisasjon sitt forsikringsbehov er avgjørende.
Forebyggende aktiviteter (selv om de er godt ment) av kun it-teknisk kan påvirke en forsikringsansvarliges muligheter til å dekke finansielle tap via forsikringen..
Prepared by Aon’s Cyber Solutions
Proprietary & Confidential 12
Cyber - Forsikringsmarkedet
Prepared by Aon’s Cyber Solutions
Proprietary & Confidential 13
Desto flere skader,
desto bedre blir
dataen for
forsikringsselskapene.
Dekningen fortsetter å
utvikle seg, og gir mer
verdi for kundene
Kapasiteten fortsetter
å vokse på kryss av
geografi.
Egenandeler er under
vurder vurdering
Prisutvikling er
konkurransedyktig men
økende for visse
industrier.
▪ Kompleksiteten I sikkerhetsbrudd driver kostanden ved hendelseshåndtering hos den forsikrede.
▪ Skader og taps informasjon har medført bredere tilbudt dekning, og sikrere aktuar beregninger.
▪ Man ser et økt fokus fra regulatoriske myndigheter, med høyere sanksjoner.
▪ E&O skader er en av hovedårsaken til større tap hos forsikringsselskapene.
▪ Forsikringsselskapene fortsetter å oppdaterevilkårene sine for å møte behovet i markedet.
▪ Dekningsomfang fortsetter å utvide seg.
▪ Forsikringsselskapene differensierer seg med nye og bedre løsninger.
▪ Sterkt fokus på bruk av forhånds avtaltekonsulenter
▪ Bredere dekning for systemfeil og betinget avbruddsløsning.
▪ Over 75 forsikringsselskaper tilbyr PI/Cyber kapasitet.
▪ Kapasitet er tilgjengelig lokalt, bade primær og excess kapasitet.
▪ Et økende antall forsikringsselskaper utvikler appetitt for store og komplekse risikoer.
▪ Teoretisk er der over 8 milliarder I kapasitet tilgjengelig I PI/Cyber markedet.
▪ Egenandeler på alle nivåer er tilgjengelig I markedet, men kan variere stort basert på industri, størrelse og unik eksponering.
▪ Ved å endre egenandelen kan må se bredere dekning og/eller fleksibilitet I prising.
▪ Man ser en gjennomsnittlig rate nedgang, men betinger industri, skadehistorikk, og omfang av dekning.
▪ Excess raten fortsetter å være konkurransedyktig med gode priser.
▪ Noen kunder har fått betydelig bedre dekning ved å betale høyere premie.
Prising
Markedssituasjon
Skade og Tap DekningKapasitet Egenandeler
Note: Dette er en generell sammenfatning og kan variere basert på kunde, industri og størrelse.
Prepared by Aon’s Cyber Solutions
Proprietary & Confidential 14
Hovedelementene i en cyber dekning
▪ Evaluering før en hendelse
▪ Tilgang til forhåndsgodkjente leverandører
▪ Cybersikkerhets informasjon
Forebygging
▪ IT-Tekniske undersøkelser
▪ Legale tjenester
▪ Notifisering
▪ Kreditt og ID overvåking
▪ Kundesenter tjenester
▪ Krisehåndtering /PR tjenester
Assistanse
▪ Kostander ved å drifte eller tilbakestille driften til normale tilstander
▪ Tap av inntekter og omsetning
▪ Kostnader ved å gjenopprette data.
Forretningsdrift
▪ Kostnader til juridisk bistand og finansielt ansvar fra krav om påstått brudd på personvernet eller sikkerhetsbrudd på nettverket.
Ansvar
Prepared by Aon’s Cyber Solutions
Proprietary & Confidential 15
Cyberdekning – Markedsstandard – En oversikt.
Risiko ved drift ▪ Nettverksavbrudd
▪ Systemfeil
▪ Betinget avbruddstap / Systemfeil.
▪ Cyberutpressing
▪ Gjenoppretting av data
Personvern og
nettverkssikkerhet▪ Brudd på personvern og ansvar ved brudd på
nettverkssikkerhet.
▪ Bøter ved brudd på personvernet.
▪ Medieansvar
▪ PCI bøter og straffereaksjoner
▪ Kostnader ved hendelseshåndtering
Prepared by Aon’s Cyber Solutions
Proprietary & Confidential 16
“Silent Cyber”: Potensiell dekning under tradisjonelle forsikringer
Prepared by Aon’s Cyber Solutions
Proprietary & Confidential
Note that coverage in
policy forms can vary
materially from carrier to
carrier, and base forms to
manuscript policy forms
For mere informasjon, last ned vårt “White Paper”, Cyber Perils in a Growing Market
Helping EMEA organisations better understand the interconnectivity among multiple lines of insurance
Prepared by Aon’s Cyber Solutions
Proprietary & Confidential 17
Cyberdekning i relasjon til andre forsikringer
Produkt-
ansvar
• Potensielt overlappende dekning for avbruddsforsikring og betinget avbruddsforsikring og
gjenoppretting av data.
• FM Global Cyber Solution – kutter kapasitet og øker premien
• Malware / DDOS angrep utgjør ikke en fysisk trussel, og gjør ikke skade på fysisk eiendom.
• Zurich Insurance Co. v. Sony Corp. of America - ISO Eksklusjon – Tilgang eller eksponering av
konfidensiell eller personlig informasjon, og data relatert ansvar.
• AIG annonsert at de vil bekrefte dekning for cyber relaterte fysiske skader betinget høyere
premie og ytterligere underwriting
• Tap knyttet til «social engineering»– Cyber forsikring ekskluderer tap av penger
• Kriminalitetsforsikring krever en intensjon om å stjele penger, verdipapir eller
fysiske eiendeler.
• Cyber utpressingsskaper meldt inn under K&R poliser → Dekker kostnaden men vanskeliggjør
tilgangen til erfarne leverandører.
• Når langtidsavtaler på K&R utgår ekskluderer forsikringsgivere cyberdekning.
• Fjernhacking av Jeep resulterte i tilbakekalling av 1.4 millioner kjøretøy.
• Internet of Things (“IoT”) skaper ytterligere produkteksponering
• Home Depot sikkerhetsbrudd – relaterte derivativt søksmål – forlik tvang Home Depot til å
adoptere spesifikke «coporate governance» reform relatert til cybersikkerhet ( og betale opp til
$1.125M i saksomkostninger)
• Equifax – Som følge av sikkhetsbrudd fulgte et søksmål som treffer en D&O polise (security
claim).
Silent
Cyber
Ansvar
Property
Crime
Kidnap &
Ransom
Directors &
Officers
Prepared by Aon’s Cyber Solutions
Proprietary & Confidential 18
Cyber tap – en gapsanalyse
Property
General /
Product
Liability
Directors &
Officers
Liability
Crime
Kidnap &
Ransom /
Extortion
Terrorism RecallMarine &
CargoAviation
Environment-
al
Intellectual
PropertyCyber
Financial Damages From A Network Security Event or A Privacy Event
First Party Losses - arising out of your network security breach or a privacy breach
Response Costs: forensics, notification, credit monitoring
Legal Expense: advice and Defence
Credit Monitoring Costs
Revenue Losses: from network outages
Revenue Losses: from dependent business network outages
Data Restoration Costs
Cyber Extortion Expenses
Stolen Intellectual Property Valuation Costs
Crisis Management Expenses
Loss of Money, Securities and Properties
Third Party Losses - arising out of your network security breach or a privacy breach
Damages, settlement or judgement
Legal Expenses
Regulatory Fines & Penalties
PCI-DSS Assessments
Physical Damages From A Network Security Event
First Party Losses - arising out of your network security breach
Mechanical Breakdown of your equipment
Damage to your facilities
Environmental cleanup of your property
Lost revenues from physical damage to your equipment/facilities
Lost revenues from physical damage to your contingent equipment/facilities
Bodily Injury to your employees
Third Party Losses - arising out of your network security breach
Mechanical breakdown of others' equipment
Destruction or damage to others' facilities or other property
Bodily injury to others
Prepared by Aon’s Cyber Solutions
Proprietary & Confidential 19
Aon’s Cyber Proposition
We know how to protect your organization
and its critical assets.
We search for the truth and help you
recover quickly.
We help you understand and quantify
your risk.
Prepared by Aon’s Cyber Solutions
Proprietary & Confidential 20
Seek Shield Solve
Prepared by Aon’s Cyber Solutions
Proprietary & Confidential 21
CyQu Evaluation
Prepared by Aon’s Cyber Solutions
Proprietary & Confidential 22
Prepared by Aon’s Cyber Solutions
Proprietary & Confidential 23
Next Step
Prepared by Aon’s Cyber Solutions
Proprietary & Confidential 24
Contact List
Morten Landrø
Senior Broker
Broking
+47 92 22 33 55
Connect: aon.com - Cyber Solutions