Medlemsnyt: Internettet giver risici for tab

Digital SignaturInternettet betyder mange nye muligheder, men det er ikke uden risiko, når vi alle er f orbundne via nettet. Risikoen for brud på it-sikkerheden er reel, og det kan også give problemer i revisionsbranchen. Specifikt kan revisor rammes af omkostninger til at rette op på skaderne, men det kan også være erstatningskrav og tab af det gode omdømme, hvis kunders personlige eller fortrolige data skulle komme i forkerte hænder.

Marsh er FSR – danske revisorers samarbejdspartner på forsikringsområdet, og de har her beskrevet nogle typiske eksempler på itsikker hedsbrud i en revisionsvirksomhed.
 
Krypto-ransomware
It-kriminelle sender falske mails til revisionsvirksomheden, der indeholder krypto-ransomware. Når en medarbejder kommer til at klikke på mailen, krypteres filerne på virksomhedens computere.  Angrebet inficerer ikke alene den enkelte medarbejders computer, men spredes til andre på netværket, hvilket gør det umuligt at anvende virksomhedens it-systemer. For at revisionsvirksomheden igen kan få adgang til systemerne, kræver de it-kriminelle ofte en betaling, som eventuelt kan ske i en virtuel valuta eksempelvis Bitcoins.

Malware
Hackere udnytter et sikkerhedshul for at få en virus, såkaldt malware, til at sprede sig via internettet til virksomhedens lokale netværk. Sikkerhedshullet kan opstå ved manglende softwareopdateringer, og malware-angrebet kan medføre, at det bliver nødvendigt at indkalde it-specialister til at genoprette systemerne og forsøge at generhverve tabte data.

Angreb via en cloud-service
En cloud-service, som virksomheden benytter, bliver angrebet af hackere, der vil have adgang til et revisionsfirmas it-systemer. Angrebet forårsager ikke et egentligt nedbrud af systemet, og indledningsvist opdages angrebet måske ikke, men giver i stedet hackerne mulighed for over en længere periode at overvåge, stjæle og måske offentliggøre personfølsomme oplysninger og forretningshemmeligheder.

Forsikring mod cybersikkerheden
Marsh har sammen med forsikringsselskabet QBE udviklet en forsikring, der er rettet mod de cybersikkerhedstrusler og risici, man typisk møder i revisionsvirksomhederne. SIGNATUR har talt med Bernt Sandell fra Marsh om, hvad den nye forsikring dækker.

Vi ser både eksempler på, at et revisionsfirma kan risikere tab forårsaget af hackere, men også eksempler på, at revisionsfirmaer kan risikere at forårsage tab på andre, eksempelvis gennem brud på datasikkerheden. Dækker forsikringen begge ting?
“Den nye cyberforsiking dækker både det ansvar for udgifter og tab, du risikerer at påføre andre og dine egne udgifter, så det er en fusion mellem en tingskadeforsikring og en ansvarsforsikring,” fortæller Bernt Sandell og fortsætter:

“Forsikringen dækker den godtgørelse, der skal betales, hvis data går tabt, eller udgifter, hvis der sker et brud på databeskyttelse eller fortrolig
heden som følge af it-sikkerhedsproblemer. På den måde er produktet rettet mod de nye risici, der opstår, når persondataforordningen træder i kraft til maj 2018. Hvis der sker et brud på sikkerheden, er der pligt til at orientere Datatilsynet inden for 72 timer. Hvis du får advokathjælp, når du kontakter Datatilsynet, kan regningen hurtigt løbe op i 40.000–50.000 kroner, og her dækker forsikringen også,” siger Bernt Sandell.

Hvis et revisionsfirma selv oplever tab som følge af  it-sikkerhedsbrud, hvilken dækning giver forsikringen så?
“Forsikringen dækker udgifter til eksterne eksperter og til genopretning af it-systemerne, hvis revisionsfirmaet bliver udsat for hacking, malware eller lignende. Forsikringen dækker også udgifterne, hvis man bliver udsat for afpresning, som i eksemplet med kryptolocker eller ransomware, hvor virksomheden bliver afkrævet et beløb, før de it-kriminelle igen vil åbne op for brugen af systemerne, ” siger Bernt Sandell.

Kræver forsikringen, at man konstant tager back-up eller har den nyeste firewall?
“Når et revisionsfirma tegner forsikringen, bliver firmaet bedt om at svare på en række spørgsmål. Der bliver blandt andet spurgt, om der med jævne mellemrum tages back-up. Det betyder ikke, at det skal ske hver sjette time eller efter lignende detaljerede krav, men blot at der er en politik og en procedure, der sikrer, at der tages back-up med jævne mellemrum. Det kræves også, at firmaet har et spamfilter med videre, så firmaet selv gør noget for at forhindre kriminaliteten. Men det er krav, som ikke er vanskelige for revisionsvirksomhederne at honorere, og som de fleste i forvejen lever op til,” forklarer Bernt Sandell.

Indhent tilbud på ny forsikring ved at sende en mail til fsrforsikring@marsh.com.