InSecurance

Informasjonssikkerhet er ikke et rent teknisk område, men må sees i sammenheng med økonomiske insentiver. Hvor mye og hvilken type sikkerhet lønner seg, og hva er kostnaden for å akseptere et gitt risikonivå? De økonomiske aspektene ved informasjonssikkerhet og cybersikkerhet er særlig relevant for bedrifter som vurderer cyberforsikring som et alternativt tiltak for håndtering av risiko.

Uønskede hendelser med hensyn til cybersikkerhet innebærer finansiell risiko, for eksempel gjennom nedetid av systemer eller tap av omdømme. Cyberforsikring er å overføre deler av denne finansieller risikoen til en tredjepart. Per i dag er det imidlertid vanskelig for forsikringsselskap å tilby gode produkter til bedrifter på grunn av manglende innsikt i hva som gjør et IT-system sikkert og hvordan man skal prise sikkerhetsrisiko. Bedrifter på sin side har behov for å vurdere når og til hvilken pris en cyberforsikring kan være et godt alternativ til håndtering av risiko.

InSecurance er et prosjekt ved SINTEF IKT som adresserer disse ufordringene.

Målsetninger

Den overordnede målsetningen til prosjektet er å utvikle teknikker og verktøy for vurdering av cyberforsikring. På samme måte som en husforsikring baseres på anslått verdi, størrelse, sikring, beliggenhet, osv. har man behov for å kunne karakterisere IT-systemer og stille krav med hensyn til sikkerhet og risiko. Spesielt adresserer InSecurance følgende forskningsspørsmål.

• Hvordan karakterisere IT-systemer med hensyn til krav til cybersikkerhet, og hvordan vurdere i hvilken grad slike krav er oppfylt?
• Hvordan kvantifisere og måle sikkerhet og cyberrisiko for å beregne og evaluere kostnad?
• Hva slags beslutningsstøtte og informasjon trengs for vurdering av cyberforsikring?

Nyheter relatert til prosjektet

• 2016-11-04: Prosjektet har bidratt til ny rapport fra ENISA: Cyber Insurance: Recent Advances, Good Practices and Challenges (ekstern lenke)
• 2016-10-19: Foredrag på Sikkerhetssymposiet i Bergen: Cyberforsikring - når lønner det seg? (ekstern lenke)
• 2016-08-20: Nyhetssak i nettavisen E24 med prosjektet representert: Sikkerhetsekspert: – Norske bedrifter ligger langt bakpå (ekstern lenke)
• 2016-06-16: Foredrag på FIRST-konferansen i Seoul, les omtale av innlegget fra en annen konferansedeltaker: Incident Response and Insurance: Opportunities to Collaborate? (ekstern lenke)
• 2016-05-12: Vi deltar på ISF Høstkonferansen med rundebordsdiskusjon om cyberforsikring, tirsdag 30. august - se programmet og meld deg på!
• 2016-05-04: Møt oss på Dataforeningens konferanse Sikkerhet og Sårbarhet i Trondheim 10.-11. mai, hør siste nytt fra prosjektet og besøk oss på stand!
• 2016-04-14: Velkommen til frokostmøte med Næringsforeningen i Trondheimsregionen, torsdag 28. april! Meld deg på arrangementet.
• 2016-02-05: Vi søker kontakt med bedrifter som har eller vurderer å kjøpe cyberforsikring! Les mer på infosec.sintef.no
• 2015-12-15: Siste utgave av IEEE Security & Privacy kommer med en artikkel fra InSecurance. P. H. Meland, I. A. Tøndel and B. Solhaug: Mitigating Risk with Cyberinsurance, IEEE Security & Privacy, 13(6):38-43, 2015.
• 2015-11-26: Cyberforsikring - hva vet vi fra forskningen? Innlegg i bloggen infosec.sintef.no av Inger Anne Tøndel.
• 2015-11-20: InSecurance har publisert følgende rapport som beskriver utfordringer og forskningsbehov relatert til cyber-forsikring. I. A. Tøndel, P. H. Meland, A. Omerovic, E. A. Gjære and B. Solhaug: Using Cyber-Insurance as a Risk Management Strategy: Knowledge Gaps and Recommendations for Further Research. Technical Report A27298, SINTEF ICT, 2015.
• 2015-10-28: Relevansen til InSecurance bekreftes av den seneste utgaven av IEEE Security & Privacy som er første del av en spesialutgave om Economics of Cybersecurity. Neste utgave kommer med et bidrag fra InSecurance.
• 2015-05-07: Kan cyber-risiko forsikres? Hva er kost-nytte av å overføre sikkerhetsrisiko til en tredjepart? Presentasjon av Aida Omerovic ved Dataforeningens konferanse Sikkerhet & sårbarhet.
• 2015-03-24: Forsikre eller ikke? Innlegg om cyber-forsikring i bloggen infosec.sintef.no av Inger Anne Tøndel.
• 2015-03-23: Nå kan du forsikre deg mot dataangrep. Artikkel i digi.no med intervju med Inger Anne Tøndel om cyber-forsikring.
• 2015-03-23: Norske bedrifter blir hacket uten å merke det. Pressemelding av If forsikring med referanse til Bjørnar Solhaug sitt foredrag om cyber-forsikring.
• 2015-02-18: Kost-nytte innen sikkerhet: Hva er prisen, hva er verdien, og hvordan prioritere blant tiltak? Presentasjon av Aida Omerovic ved seminar om kost-nytte-analyse i en risikoevaluering.
• 2015-02-18: Cyberforsikring til hvilken pris? Hva beyr cybersikkerhet og cyberrisiko i kroner og øre? Presentasjon av Bjørnar Solhaug ved seminar om kost-nytte-analyse i en risikoevaluering.
• 2015-02-16: Cyberforsikring på forskningsagendaen. Innlegg om oppstart av InSecurance i bloggen infosec.sintef.no av Per Håkon Meland.
• 2014-07-08: Cyberforsikring for alle penga. Innlegg i bloggen infosec.sintef.no av Per Håkon Meland.

Kontakt

InSecurance er et samarbeid mellom avdelingene Systemutvikling og sikkerhet og Nettbaserte systemer og tjenester ved SINTEF IKT.

Kontaktperson: Erlend Andreas Gjære