Advokaten 1
Reportage Cyberhot CYBERRISKER Eftersom svenska f
öretag ännu inte är skyldiga att rapportera dataintrång finns inga exakta siffror över hur vanligt det egentligen är att obehöriga tar sig in i företagens datasystem. Men en studie genomförd av revisionsbolaget KPMG år 2014 visade att 93 procent av de studerade företagen hade utsatts för intrång. 79 procent av företagen hade läckt ut data genom dessa intrång. Utöver det var samtliga företag exponerade för skadlig programvara som tagit sig igenom brandväggarna. I genomsnitt inträffade 43 säkerhetsincidenter varje dag i de studerade företagens datasystem. Cyberrisker kan se ut på en rad olika sätt. Den amerikanska försäkringsorganisationen The National Association of Insurance Commissioners, NAIC, listar nio olika typer av risker som alla kan medföra betydande kostnader: 1. Identitetsstölder till följd av att personuppgifter läckt ut, genom intrång eller slarv. 2. Avbrott i företagets verksamhet när hackare släcker nätverket. 3. Skada på företagets anseende. 4. Data som förstörs genom ett angrepp. 5. Stöld av värdefull affärsinformation, som kundförteckningar och affärshemligheter. 6. Skadlig kod som infekterar nätverk. 7. Information som kommer ut till följd av mänskliga misstag, till exempel att en anställd skickar viktig information till fel mottagare med epost. 8. Kostnader för att förhindra att tredje part utsätts för identitetsstölder efter ett intrång (credit monitoring services). 9. Skadeståndskostnader till följd av varumärkesintrång. Förlorad information kan alltså skada både klienter och advokatbyrån själv. Och både Ann-Marie Ovin och Sten Bauer upplever att det, åtminstone bland internationella och amerikanska klientföretag, finns en stor medvetenhet om riskerna. – Det har vuxit mycket i USA. Genom att många av våra klienter är globala företag ser vi det även i Stockholm. Jag har inte upplevt att frågan har haft samma aktualitet i Sverige, men den växer. Det finns numera en stor medvetenhet på alla IT-avdelningar och den har nu kommit upp till bolagsledningarna, sägert Sten Bauer. Insikten om cyberhot gör att klientföretagen, utöver att försäkra sig om att deras advokatbyrå har en god informationssäkerhet, också behöver Advokaten Nr 6 • 2015 ”Man tänker lätt att cybersäkerhet är en ren IT-fråga. Men det handlar inte bara om IT. Det här är en verksamhets- och ledningsfråga och en medarbetarfråga.” Ann-Marie Ovin hjälp med rådgivning på området. Cyberbrottsligheten kan därmed förutom att vara ett problem också bidra till att skapa nya arbetsuppgifter för advokaterna. – Inom Baker & McKenzie har vi arbetat med dessa frågor i tio år. Vi hjälper klienterna att analysera vilka risker och vilka hot de är utsatta för, säger Sten Bauer. hur mycket säkerhetssystem som än byggs upp och hur stor medvetenheten bland medarbetarna än är går det inte att skapa helt säkra IT-system. Om det värsta händer och information läcker ut eller förstörs kan en cyberriskförsäkring vara till hjälp. Den amerikanska advokatorganisationens webbtidning ABA Journal skrev under våren om att det blivit allt vanligare att advokater tecknar sådana försäkringar. Även i Sverige ökar intresset bland advokater att diskutera cyberrelaterade risker och försäkringsmöjligheter, enligt Anders Bergsten, ansvarig för Advokatsamfundets gruppförsäkringsprogram hos försäkringsmäklaren Willis. Han får stöd av Kristoffer Haleen, som arbetar med just cyberriskförsäkringar på Willis. – Vi har haft en hel del samtal med Advokatsamfundet om detta, och vi undersöker möjligheterna att ta fram en produkt riktad till svenska advokater, säger han. Visserligen finns det redan ett antal olika cyberriskförsäkringar på den svenska marknaden. Men enligt Kristoffer Haleen är de många gånger 15 »