Skip to main content Skip to main navigation

7 gode digitale vaner: Sådan beskytter du din virksomhed mod CEO fraud

7 gode digitale vaner: Sådan beskytter du din virksomhed mod CEO fraud

7 marts · 2019

Medarbejderne er ofte det svageste led, når det kommer til danske virksomheders IT-sikkerhed. Det har hackere forlængst gennemskuet, hvilket de udnytter til deres fordel, når de eksempelvis udgiver sig for at være virksomhedens CEO. Derfor har vi samlet 7 gode digitale vaner, som du og dine kolleger kan indføre for at sikre jer bedre.

  1. Forhold dig kritisk til mistænksomme opkald eller e-mails med usædvanlige forespørgsler om pengeoverførsler eller ændringer i betalingsoplysninger
  2. Gennemfør aldrig pengeoverførsler uden at bekræfte det telefonisk direkte med den kollega, som efterspørger overførslen
  3. Træk i håndbremsen og dobbelttjek, at betalingsoplysningerne fra din kollega er korrekte
  4. Opret en to-faktor identificeringsproces ved interne og eksterne pengeoverførsler
  5. Anvend et intrusion detection system til at registrere mailadresser, som minder om jeres egne
  6. Sørg for, at både du og dine kolleger er bevidste om jeres IT-sikkerhedsprocedure samt jeres betalings- og godkendelsesprocedure for pengeoverførsler
  7. Informér dine kolleger om CEO fraud – det øger opmærksomheden om fænomenet

Er du i tvivl, om din virksomhed er forsikret godt nok mod IT-kriminalitet?

Så kontakt Head of Special Risk, Carsten Scharff på tlf. 20607343 eller via mail på carsten.scharff@soderbergpartners.dk og få en uforpligtende snak om jeres behov.

Er din virksomhed forsikret godt nok mod cyberkriminalitet?

14 februar · 2019

Den digitale udvikling bliver i stigende grad en integreret del af vores hverdag. En udvikling som åbner døre og skaber spændende forretningsmuligheder for virksomheder verden over. Men den digitale udvikling medfører desværre også en række nye trusler.

Phishing, malware, hacking og CEO fraud er noget, som rammer rigtig mange danske virksomheder. Center for Cybersikkerhed vurderer i deres trusselsrapport fra 2018, at der er en betydelig trussel for cyberkriminalitet, hvor formålet er at afpresse penge fra både virksomheder og myndigheder. Derudover vurderes det at, ”der er cyberkriminelle netværk, der arbejder organiseret og langsigtet...

Cybertruslen er især rettet mod virksomhedernes netbank, data og IT-systemer. Derfor anbefaler vi som forsikringsmægler, at I som virksomhed sætter IT-sikkerhed på dagsordenen. Også når det kommer til at vælge den rigtige forsikring.

Det bør du overveje, inden du forsikrer din virksomhed

Ingen virksomheder er fuldkommen ens. Derfor har virksomheder typisk også forskellige risiko og forsikringsbehov, når det kommer til IT-sikkerhed. Når I internt i jeres virksomhed skal vurdere, om I er dækket optimalt, bør I først og fremmest identificere de områder, hvor I er i risiko for angreb og herved kan risikere at lide tab. Er jeres virksomhed eksempelvis i høj risiko for at blive offer for databrud og tab af personfølsomme oplysninger? Eller er det i højere grad risikoen for fakturasvindel eller CEO fraud, der vækker bekymring?

Det kan være svært at vurdere, hvor man som virksomhed er mest udsat. Derfor har Erhvervsstyrelsen udarbejdet et digitalt værktøj kaldet Sikkerhedstjekket. Her kan virksomheder gratis tjekke deres eget sikkerhedsniveau og blive klogere på, hvordan de konkret kan fokusere arbejdet med at øge deres IT-sikkerhed.

Tjek din virksomheds IT-sikkerhed


Hvordan dækker en god cyberforsikring?

I 2017 oplevede 1 ud af 3 virksomheder at blive offer for cyberkriminalitet. Det viser en rundspørge foretaget af Dansk Industri blandt 600 medlemsvirksomheder. I 11 % af tilfældene medførte hændelsen et ”betydeligt økonomisk tab” for de indblandede virksomheder. I sådanne tilfælde er det en god idé at være forsikret gennem en cyberforsikring.

En cyberforsikring sikrer, at din virksomhed er godt rustet i tilfælde af et angreb. Derfor vil en god cyberforsikring typisk indeholde de seks dækninger illustreret nedenfor samt muligheden for at kunne kontakte en IT-hotline, hvis din virksomhed bliver udsat for en hændelse.

 

Men en god cyberforsikring dækker ikke kun virksomhedens omkostninger ved tabt fortjeneste. Den bør samtidig også dække udgifterne til teknisk support fra IT-eksperter i arbejdet med at minimere eventuelle følgevirkninger fra et cyberangreb.

 

Når en cyberforsikring ikke er nok

For de fleste virksomheder er det dog ikke tilstrækkeligt kun at tegne en cyberforsikring. I mange tilfælde har cyberangreb nemlig vidtrækkende konsekvenser, som ikke nødvendigvis er dækket under cyberforsikringen. Cyberforsikringen dækker nemlig ikke penge tabt i forbindelse med fakturasvindel eller medarbejderes illegitime pengeoverførsler. Her kan det være en god idé at overveje, om jeres virksomhed i så fald også har behov for yderligere dækninger. Det kan være i form af forsikringer såsom:  

  • Kriminalitetsforsikring
  • Netbankforsikring
  • Bestyrelses- og direktionsansvarsforsikringen

Kriminalitetsforsikring – når tyven er en medarbejder

Jo større en virksomhed, des større er risikoen for, at en medarbejder begår økonomisk kriminalitet mod virksomheden eller dens kunder.

Med en kriminalitetsforsikring er jeres virksomhed sikret i tilfælde af, at en medarbejder eller en tredjemand begår kriminalitet – enten alene eller i samarbejde med andre. Det kan eksempelvis være økonomisk kriminalitet såsom fakturasvindel, databedrageri eller CEO fraud udført af medarbejdere med henblik på egen eller tredjemands vinding.

Dog er det værd at bemærke, at ikke alle forsikringsselskaber dækker CEO fraud. På samme måde er det heller ikke alle selskaber, som dækker CEO fraud med den fulde forsikringssum. Derfor er det vigtigt, at I som forsikringstager tjekker jeres police for dækning og evt. undtagelser.

 

Den digitale tyveknægt går i dine lommer på nettet

I en travl hverdag kan du med en netbank gøre brug af bankens tjenester nemt og enkelt døgnet rundt. Det giver dig samtidig øget fleksibilitet i en tid, hvor mange forretninger foregår digitalt. Desværre er det også et digitalt smuthul til virksomhedens konti for hackere og IT-kriminelle.

Indbrud i danske virksomheders netbanker er et stigende problem og især for små- og mellemstore virksomheder kan det være ensbetydende med konkurs. I sådanne situationer kan du ikke forvente, at din bank yder økonomisk erstatning, hvis hackere får adgang til din netbank og tømmer den.

Det er du derimod sikret gennem nogle cyber- og kriminalitetsforsikringer. Du bør dog være opmærksom på, at disse typer forsikringer kan have en relativ høj selvrisiko. Derfor kan det være en god investering, hvis I som virksomhed i stedet overvejer en selvstændig netbankforsikring.

En netbankforsikring er målrettet de virksomhedskunder, som typisk kun har behov for at forsikre deres netbank.

 

Få dækket bestyrelsens erstatningsansvar

I takt med mediernes stigende fokus på IT-sikkerhed er der også kommet mere fokus på bestyrelsens og direktionens ansvar. Her er det værd at huske på, at uanset om du er bestyrelsesmedlem i en frivillig forening eller bestyrelsesmedlem i en virksomhed kan du blive gjort personlig erstatningsansvarlig i forbindelse med økonomiske beslutninger.

Det gælder eksempelvis, hvis dine beslutninger fører til tab for virksomhedens kreditorer og aktionærer, eller hvis virksomheden går konkurs. Et personligt erstatningsansvar betyder helt konkret at, hver enkelt bestyrelsesmedlem hæfter med deres egne private formuer, hvis der sker en fejl, som bestyrelsen er ansvarlig for.

I relation til cyberangreb og IT-kriminalitet bør du være opmærksom på, at ikke alle cyberforsikringer dækker personlige erstatningskrav mod ledende medarbejdere eller bestyrelsesmedlemmer. I sådanne situationer er det ekstra relevant, at I som virksomhed overvejer, om I også har behov for at tegne en direktions- og bestyrelsesansvarsforsikring, der kan dække disse krav og omkostninger.

Er du i tvivl, hvorvidt din virksomhed er forsikret korrekt og bedst muligt? Så kontakt Head of Special Risk, Carsten Scharff på tlf. 20607343 eller på mail carsten.scharff@soderbergpartners.dk  

Cyberkriminalitet - Tendenser og trusler

29 januar · 2019

Cyberkriminalitet rammer danske virksomheder på tværs af brancher og størrelse som aldrig før. Der er derfor ingen tvivl om, at cyberkriminalitet er kommet for at blive. Så hvilke tendenser kan vi så forvente os af året 2019? Det giver jeg mit bud på her.

Som Head of Special Risk i Söderberg & Partners rådgiver jeg mange danske og udenlandske virksomheder i, hvordan man sikrer sig bedst mod de økonomiske følger forårsaget af cyberkriminalitet. Her oplever jeg en tydelig tendens for, hvordan den digitale og teknologiske udvikling bliver en stadig mere integreret og nødvendig del af deres hverdag. En samfundsudvikling som IT-kriminelle nyder godt af. Derfor kommer det heller ikke som en overraskelse, når PWC i deres cybercrime undersøgelse for 2018 konkluderer, at 70% af respondenterne indenfor den private sektor bekymrer sig mere om cybertrusler mod deres virksomhed nu end for 12 måneder siden.

Men først skal vi kigge nærmere på, hvilken indflydelse cyberkriminalitet og herunder især GDPR havde i 2018.

Databrud og bødestraffe

2018 blev året, hvor mange virksomheder for alvor stiftede bekendtskab med GDPR, underretningspligten ved eventuelle databrud og hvilke økonomiske konsekvenser, det kan have, hvis man ikke overholder retningslinjerne for håndtering af persondata.

Mange virksomheder havde frygtet de økonomiske konsekvenser. Frygten var muligvis ikke helt velbegrundet, for indtil videre er der kun udstedt fire bøder.

  1. Den første bøde blev udstedt af det østrigske datatilsyn til en iværksættervirksomhed for at videoovervåge en del af det offentlige fortov foran virksomheden, hvilket er i strid med TV-overvågningsloven. Bøden lød på EUR 4.800,-
  2. Den anden bøde gik til et offentligt hospital i Portugal, som fik i alt tre bøder for ikke at leve op til deres ansvar som datakontroller og herved sikre deres patienters data. Det kom samlet til koste dem EUR 400.000,-
  3. Den tredje bøde blev udstedt til en tysk social medie platform, som i sommeren 2018 var udsat for et hackerangreb. Her blev 808.000 e-mailadresser lækket sammen med 1.800.000 brugernavne og passwords. Virksomheden blev påbudt at betale en bøde på EUR 20.000,-
  4. Fjerde bøde blev udstedt til Google af det franske datatilsyn i starten af 2019 for løbende at have forbrudt sig mod GDPR. Bøden er den hidtil største og lyder på svimlende DKK 370 millioner.

Til trods for det hidtil lave antal bødestraffe er det min vurdering, at vi fremover kommer til at opleve en markant stigning i både Danmark og resten af verden. Det skyldes, at der i øjeblikket er flere igangværende sager. Derudover forventes det, at datatilsyn i flere lande, herunder også det danske, agter at sende flere sager om brud på persondata til politi- og anklagemyndigheder inden længe.

Danske virksomheder i højrisiko for IT-kriminalitet

Derudover var 2018 også året, hvor adskillige virksomheder verden over blev udsat for datalæk. Værst gik det udover hotelkæden Marriott, som fik lækket personfølsomme oplysninger på vegne af en halv milliard kunder. Facebook havde ligeledes et hårdt år med to større databrud med henholdsvis 50 mio. og 29 mio. brugerdata, mens 5 mio. kunder blev ofre for hackeres cyberangreb mod Amazon.

I deres 2018-rapport om cybertruslen mod Danmark vurderer Center for Cybersikkerhed, at risikoen for cyber spionage mod danske virksomheder og myndigheder er høj. Den samme høje vurdering giver de risikoen for, at danske virksomheder og myndigheder udsættes for IT-kriminalitet som eksempelvis ransomware og CEO fraud, hvor den økonomiske vinding er formålet. Den udmelding støttes ligeledes op af World Economic Forum, som i deres Global Risk report 2019 angiver cyberangreb, datatyveri og bedrageri i top 5 over de mest sandsynlige risici for virksomheder.

Der er dog forskel på deres vurderinger og antallet af reelle angreb. Således viser en 2018 cyber undersøgelse foretaget af PwC blandt danske og norske virksomheder, at 38 % af de adspurgte respondenter havde været udsat for finansiel IT-kriminalitet som eksempelvis CEO fraud. 48 % har oplevet virusangreb, hvorimod 71 % har været offer for phising angreb.

Analysen angiver samtidig et væsentligt fald i antallet af ransomware angreb sammenlignet med 2017. Således var der i 2018 24% ransomware angreb sammenlignet med 58% året før. Faldet kan skyldes, at virksomhederne er blevet bedre til at sikre sig mod denne type angreb.

Det klarer vores IT-afdeling…

Sådan er der desværre stadig mange virksomheder, der tænker om deres interne håndtering af cybertrusler. Eksempelvis viser PwC’s egen cyber undersøgelse for 2018, at 66 % af respondenterne har tillid til, at topledelsen i deres respektive virksomheder har fokus på balancen mellem cybertrusler og investeringer i cybersikkerhed. Året før var det tal oppe på 72 %.

I den forbindelse vurderer PwC da også, at ”de virksomheder, vi ser, som håndterer cybertrusler bedst, har involveret ledelsen i at få risikovurderet virksomhedens aktiver som grundlagt for en prioritering af de nødvendige sikkerhedstiltag”. Den udmelding kan jeg som forsikringsspecialist på cyberområdet kun bakke op omkring. En proaktiv dialog mellem topledelsen og IT-afdelingen er alfa omega for, hvor godt man som virksomhed formår at beskytte sig mod eventuelle cyberrisici. Desuden er det i øvrigt virksomhedens ledelse, der sidder med det overordnede ansvar for, at virksomheden overholder de gældende direktiver inden for bl.a. GDPR.

Disse undersøgelser gør det svært at anfægte, at trusselsbilledet og frygten for at blive en del af statistikken om cyberkriminalitet fylder stadig mere blandt danske virksomheder og myndigheder. Myndighedernes vurdering af trusselsniveauet understreger ligeledes behovet for forebyggende IT-sikkerhed, IT-politikker og især kontrolprocedurer i forbindelse med pengeoverførsler.

Kilder: PwC Cyber Survey 2018, World Economic Forum & Center for Cybersikkerhed

Er din virksomhed forsikret korrekt mod cyberkriminalitet?

Er du i tvivl, om din virksomhed er korrekt og bedst muligt forsikret mod hackere, databrud og it-kriminalitet? Så kontakt vores Head of Special Risk Carsten Scharff på tlf. 20607343 eller mail carsten.scharff@soderbergpartners.dk

 

Er du up-to-date med hackerne?

12 oktober · 2018

Hackere finder hele tiden nye metoder, hvorpå de skaffer sig adgang til og udnytte virksomheders IT-systemer. Det nyeste påfund kaldes cryptojacking. Söderberg & Partners har netop lanceret en ny version af cyberanalysen og den dertilhørende rapport. Bliv opdateret her.

Danske virksomheder rammes i højere grad end nogensinde før af cyberangreb. Et cyberangreb kan ske på mange forskellige måder, men er karakteriseret ved, at en tredjemand skaffer sig uautoriseret adgang til en virksomheds systemer og data med henblik på at gøre skade og/eller opnå en økonomisk gevinst. Et cyberangreb kan have vidtrækkende konsekvenser med bl.a. udelukkelse af systemer, omkostninger og tab i forbindelse med nedetid på systemerne, omkostninger til dekryptering af data, påvirkning af omdømme og juridiske krav.

Dækning af tabet

Mange vælger at tegne en cyberforsikring for at være beskyttet mod pludselige udgifter til genetablering af data, driftstab og et eventuelt ansvar over for tredjemand, som følge af et cyberangreb. En cyberforsikring kan hjælpe med omkostninger til at forsøge at dekryptere data eller betale løsesummen i tilfældet af, at man rammes af ransomware. Det seneste år har offentlighedens fokus været på den nye persondataforordning (GDPR), der skal sikre et vist beskyttelsesniveau af persondata i virksomheder og offentlige institutioner. Såfremt et cyberangreb medfører et persondatabrud, kan cyberforsikringen være med til at dække notifikationsomkostninger til berørte personer, samt yde rådgivning i tilfælde af formodet identitetstyveri. Det er dog vigtigt at have for øje, at kun visse forsikringsselskaber ønsker at dække denne type risiko.

Konstant udvikling

Hackere finder hele tiden nye metoder hvorpå de skaffer sig adgang til og udnytte virksomheders IT-systemer. Det nyeste påfund kaldes cryptojacking. Her udnytter en hacker virksomhedens systemer til at mine (indsamle) kryptovaluta. Det kan være meget svært for en virksomhed at opdage, hvis deres system bliver udnyttet til cryptojacking, da symptomerne typisk vil være minimale i form af langsommere ydeevne. Hackere har dog fået uautoriseret adgang til virksomhedens computere og muligheden for at slette, kryptere eller på anden måde udnytte virksomhedens data er derfor lige ved hånden. Mange forsikringsselskaber har tilknyttet et globalt response team, der kan hjælpe deres forsikringstagere med professionel rådgivning om cybertrusler før, under og efter et cyberangreb.

Söderberg & Partners’ cyberanalyse

Söderberg & Partners’ forsikringsmæglere rådgiver med udgangspunkt i et unikt analyseværktøj, der er bygget op som et trafiklyssystem. Forsikringsanalyserne indeholder en lang række vurderinger af de forsikringsvilkår, der findes på det danske marked og gør det mere gennemsigtigt at se, hvad man får for sine penge. I samarbejde med en forsikringsmægler fra Söderberg & Partners er forsikringsanalyserne en ideel mulighed for at sikre, at man har en dækning, der passer præcis til virksomhedens behov. I takt med at forsikringsvilkårene udvikler sig for at tilpasse udviklingen i hackerverdenen, opdateres analyserne. Söderberg & Partners har netop blevet lanceret en ny version af cyberanalysen og den dertilhørende rapport. Udover at analysens eksisterende vilkår er blevet opdateret er vilkår fra selskaberne Alm. Brand, Gjensidige, HDI, Riskpoint og QBE blevet tilføjet til analysen. Analysen sammenligner således 16 vilkår på det danske marked.

Er du interesseret i at få tjekket, om jeres nuværende forsikringsløsning er up to date? Så henvend dig til din rådgiver fra Söderberg & Partners eller tag kontakt her.