Samordning av riskanalyser, riskbehandling och försäkringsupphandling är en förutsättning för att kunna utnyttja kapitalet på bästa sätt. Det framhåller Ronald Berg, RM-konsult vid UNIRISK i Stockholm i denna artikel som behandlar hur försäkringsskyddet bör utformas i ett ADB-beroende företag.
Under de senaste 5–10 åren har ADB-riskerna fått en framträdande plats. Framför allt genom statsmakternas agerande via Sårbarhetskommittén (SÅRK) och Sårbarhetsberedningen (SÅRB) och de inte minst spektakulära fallen av datormissbruk i USA och annorstädes. Murphy’s lag gäller fortfarande ”If it can happen, it will”. Frågan är bara vem drabbas härnäst? Och om någon drabbas, hur stora blir konsekvenserna?
Statistiskt underlag?
Det finns alltid en fara i att ett område som ADB-säkerhet baseras på otillräckliga faktaunderlag, d v s att de spektakulära fallen som redovisas i massmedia, leder till rädsla och en överdriven syn på behovet av ADB-säkerhet på en alltför stor detaljnivå, vilket naturligtvis är betänkligt och inte motsvarar Risk Managements syn och krav på god riskekonomi. Hur ofta brinner en datacentral? Tyvärr saknas tillgänglig statistik. Hur ofta utsätts datacentraler för attacker typ datormissbruk? Donn Parker (SRI) som är något av en guru på området har cirka 1.000 fall registrerade under en 20-årsperiod av vilka åtskilliga inte är bekräftade och som dessutom i en del fall utgör rena ”tidningsankor”. Statistikunderlag från nordiska polismyndigheter samt Interpol redovisar mellan 5–30 fall per uppgiftslämnare under en 5-årsperiod, av vilka en del inte ens kan rubriceras som datorbrott.
Sammantaget finns alltså inte mycket att hämta beträffande statistiskt underlag.
(ADB)-Risk Management
Grundläggande inom Risk Management är riskanalysen, där risker identifieras, prioriteras och värderas. Riskanalysen utgör basen för nästa steg, d v s att risker kan behandlas (elimineras, reduceras, behållas och överföras). Vid en så kallad översiktlig riskanalys försöker man finna flaskhalsar i t ex ett produktionsflöde där även små händelser kan få katastrofala konsekvenser. Vid ADB-användning finns det alltid anledning att undersöka huruvida datorberoendet är en sådan flaskhals. Man finner oftast att så är fallet. I och med att datorberoendet är konstaterat så behandlas ADB-risken på samma sätt som vilken annan risk som helst inom företaget. Man bör dock ha klart för sig att riskanalysen leder till riskmedvetenhet och utgör det faktaunderlag som behövs för att köpa försäkring på ett intelligent sätt.
ADB-säkerhet
Det torde i detta sammanhang inte vara nödvändigt att redogöra för komponenterna i begreppet ADB-säkerhet. Det finns kanske större anledning att diskutera varför ADB-säkerhetsnivån är så skiftande i olika företag. Man har från olika håll framfört att det till delar består i bristande engagemang från ledningens sida. Ibland skyller man på alienation d v s bristande förmåga att kommunicera, ADB-jargongen, bristande kunskaper om ADB etc. Tidsbrist hos ADB-personal framstår också som ett skäl. I konkurrensen med andra arbetsuppgifter inom ADB-avdelningen blir ADB-säkerheten lågprioriterad. Sanningen ligger kanske närmast att det är en kombination av flera faktorer. Hur når man då en för det egna företaget lämplig nivå? Låt mig vänta med mitt förslag till sammanfattningen.
ADB-försäkring
En förutsättning för att inhandla försäkring sett ur riskekonomisk synvinkel är att man känner till vilka risker man har och att man i skadeförebyggande syfte har gjort något åt dessa risker. Först då finns det möjlighet att med eget underlag approchera försäkringsgivarna för att få risker avtäckta till ett rimligt pris. Figur 1 kan illustrera synsättet och metodiken. De fakta som föreligger efter en sårbarhetsbedömning skall användas till att se hur riskerna är täckta av företagsförsäkringen, med utgångspunkt från ADB-försäkringspaketet. Skadeförsäkring för ADB-verksamhet är det för närvarande mest kompletta skyddet och kan därför användas som mall för eventuella kompletteringar av gällande företagsförsäkring. Figur 2 ger en vägledning om hur man bör gå till väga, vilket fordrar några kommentarer.
Figur 1. Analys av försäkringsbehov
Sårbarhetsbedömning | ADB-avdeln | ACME AB |
Riskanalys | ||
Riskbehandling | ||
Konventionell företagsförsäkring – omfattning? | ||
Fakta | A. Tillägg till företagsförsäkring | |
B. ADB-försäkringspaket |
Figur 2. Kompletteringsbehov till företagsförsäkring
Skadeförsäkring till ADB-verksamhet | företagsförsäkring | |
---|---|---|
1. | Egendom – allrisk | Allrisk? Undantag? |
2. | Avbrottsförsäkring | |
2.1 | – Täckningsbidragsförlust | Vilken form behövs? |
Hur stor del av TB berörs av dataavbrott? | ||
2.2 | – Extra kostnader | Katastrofplanering påverkar val av avbrottsförsäkring |
3. | Ansvarsförsäkring | |
3.1 | – Sak- och personskada | Ingår |
3.2 | – Ren förmögenhetsförlust | Behov? Extern försäljning av datakraft/tjänst |
4. | Förmögenhetsbrott | Behov? |
5. | Datormissbruk | Behov? Typ av system? |
1. Egendomsförsäkring bör alltid när det gäller datorer ges en allriskomfattning. Även små egendomsskador kan ge avsevärda avbrottsförluster. Företagsförsäkring har oftast ett undantag för el-fenomen, vilket innebär att skadan på grund av el-fenomen (kanske av ringa karaktär) ej ersätts av egendomsförsäkring och följaktligen ej heller av avbrottsförsäkringen (där de stora förlusterna kan förekomma).
Förutom hårdvara måste även media försäkras, d v s fysiskt värde av bandet, skivan etc samt återställningskostnad av förlorad information. Detta problem uppmärksammas i ADB-försäkringen.
2. Avbrottsförsäkring
Täckningsbidragsförsäkringen är dyr. Erfarenheter från USA pekar dessutom på att amerikanska försäkringsbolag inte erbjuder detta skydd eftersom man anser att om dataverksamheten inte är igång efter en skada inom ansvarstiden, så kommer verksamheten aldrig igång. Den naturliga formen för avbrottsförsäkring för datorer är extra kostnadsförsäkring (bolaget ersätter alla extra kostnader att fortsätta driften som om skadan inte inträffat). Förutsättning för att extrakostnadsförsäkring skall fungera är dock en fungerande katastrofplanering.
Katastrofplanering skapar också data som är förutsättning för att bestämma självrisk, försäkringsbelopp etc på extrakostnadsförsäkringen. Man kan uttrycka det så att katastrofplanering optimerar avbrottsförsäkringen.
3. Ansvarsförsäkring
3.1 Ansvarsförsäkring för sak- och personskada ingår i företagsförsäkringar och utnyttjas i detta sammanhang endast av servicebyråer:
3.2 Ren förmögenhetsskada ersätter skadeståndsanspråk förorsakade av fel eller försummelse i driften. Det är ganska vanligt att förutom servicebyråer även andra datorcentraler säljer datatjänster/kraft externt varför den försäkringen bör tecknas om ett sådant förhållande föreligger. [page 17]
4,5 Förmögenhetsbrott och datormissbruk
Som tidigare sagts är frekvensen inte särskilt stor. En analys av systemen bör alltid omfatta hur sårbara de är för datamissbruk. Finans- och ekonomiska rutiner samt order och reskontror, MPS-system etc är alltid sårbara. Försäkringen bör tecknas som katastrofförsäkring med höga självrisker.
Allmänt kan sägas att företag som har sin ADB-verksamhet organiserad som dotterbolag eller liknande finner det naturligt att utnyttja ADB-försäkringspaketmodellen. Då belastas även rörelsestället med en naturlig försäkringskostnad.
Sammanfattning
Beroende på företagsstorlek, ledningens engagement, kunskaper etc kan man kanske inte begära att alla företag kan arbeta systematiskt enligt Risk Management-konceptet. Vad som emellertid är otvetydigt är att, har man ett utsatt mål = god riskekonomi, figur 3, så innebär detta implementering av RM-kunnande i företaget. Vägen dit sker genom egna resurser, som är väl utbildade i Risk Management eller genom anlitande av konsulter. ”Rent a Risk Manager” är idag en realitet. Det finns möjlighet att nå målet förutsatt att viljan finns. Detta synsätt är speciellt värdefullt inom ADB-säkerhet.
Figur 3. RM-kunnande i företag
RISK MANAGEMENT | |||
Riskanalys | |||
Frekvens x | Skadekostnad per gång = | Årsskadekostnad | |
Operativ verksamhet | |||
Förebyggande | Skadebegränsande | Finansiering | |
Riskbehandling | |||
Mål | Riskekonomi (Cost of risk) |
ADB-försäkringsområdet. Ledningen måste tillhandahålla resurser (egna eller konsulter) åt ADB-chefen för att nå en bättre ADB-säkerhet. ADB-chefen måste kunna påverka de försäkringar som omfattar hans område. Samordning av riskanalyser, riskbehandling och påföljande försäkringsupphandling är absolut nödvändigt för att det som ledningen förstår bäst, nämligen utnyttja kapitalet på bästa sätt kan uppnås. Användning av SBA-metoden ger t ex underlag för försäkringsupphandling, utnyttja den.
Riskavtäckning av ADB-risker skall alltid ses som ett katastrofskydd med höga självrisker. Försäkring ger endast ”plåster på såren” i händelse av skada. Företaget kan gå omkull trots ett fullgott försäkringsskydd.
Balansen mellan förebyggande, skadebegränsande åtgärder (katastrofplaner) och försäkringsskydd måste vara rätt för att det ADB-beroende företagets fortbestånd skall säkras med beaktande av riskekonomiska aspekter.
”What can happen, will happen”, unless I do something about it. Systematisk riskhantering (Risk Management) är även inom ADB-området en förutsättning att det inte händer Dig.
Ronald Berg, RM-konsult vid UNIRISK i Stockholm