Bli hackad och ditt cybersäkerhetsföretag kan betala

Hackarna vinner, så marknaden för cybersäkerhetsförsäkringar blomstrar. Idag accepterar företag att de sannolikt kommer att bli brutna oavsett hur mycket de spenderar på försvar, och de har börjat leta efter någon att dela på kostnaden. Att prissätta risken är dock svårt (se Försäkringsbolagen kämpar för att sätta ett pris på en cyberkatastrof). Och det har skapat en ny möjlighet för säkerhetsföretag som är tillräckligt säkra på att garantera sina produkter.





Företag kommer att spendera 7,5 miljarder dollar på cybersäkerhetsförsäkring 2020 (upp från uppskattningsvis 2,5 miljarder dollar 2015), enligt en senaste projektionen av PricewaterhouseCoopers. Ballongmarknaden speglar hur vanlig cyberbrottslighet har blivit – och det faktum att cybersäkerhetsföretag inte är ekonomiskt ansvariga när något går fel.

Jeremiah Grossman , chef för säkerhetsstrategi på SentinelOne, som säljer antimalware-system, säger att det borde förändras. För att anpassa sina ekonomiska intressen till sina kunders, erbjuder SentinelOne en garanti som sätter företaget på kroken för upp till $1 000 000 om kunden faller offer för en ransomware-attack, där hackare bryter sig in och krypterar data innan de kräver en lösensumma för att låsa upp den. Andra cybersäkerhetsstartuper, såväl som stora spelare som Symantec och McAfee, lovar nu på samma sätt att betala om deras produkt eller tjänst misslyckas.

Grossman säger att hans 10 månader gamla garantiprogram redan har gett hans företag ett steg på sina konkurrenter.



Det är för tidigt att säga om cybersäkerhetsgarantier kommer att uppgå till något mer än marknadsföringsknep, säger Steve Durbin, verkställande direktör för Forum för informationssäkerhet , en ideell organisation som tar fram rekommendationer för det bästa sättet att hantera informationssäkerhetsrisker. Men vissa leverantörer har samlat in värdefull information genom att övervaka deras produkters prestanda under åren, och det kan potentiellt placera dem i en stark position för att täppa till ett litet gap på försäkringsmarknaden, säger han.

När de utvärderar dessa risker har cybersäkerhetsföretag en fördel framför traditionella försäkringsbolag, eftersom de har avgörande data som bara kan komma från att analysera verkliga händelser som dataintrång de själva har upplevt. Traditionella försäkringsbolag har däremot precis börjat bedöma de fulla riskerna med att göra affärer i cyberrymden.

Det hjälper till att förklara varför försäkringsbolag, inklusive AIG , ligger bakom dessa nya garantiprogram. (AIG avböjde att kommentera den här historien.)



Grossmans företag har sina egna uppgifter om risken att dess system missar en ransomware-attack. Dessa siffror hjälpte till att övertyga en etablerad ansvarsförsäkringsgivare (som en del av arrangemanget avslöjar SentinelOne inte detta företags namn offentligt) att backa upp sin garanti.

Många av de dataintrång vi har sett kunde ha undvikits om företag hade patchat sina system på ett adekvat sätt. Till exempel, WannaCry ransomware-attacken som började i maj drar fördel av gamla, oparpade Microsoft-operativsystem. Företag som registrerar sig för dessa program kommer att få en utbetalning endast om de följer korrekta säkerhetsrutiner.

AsTech Consulting , vars tjänst innebär att analysera ett företags källkod för att identifiera sårbarheter, arbeta med företaget för att åtgärda dem och utbilda anställda att inte återinföra dem, började nyligen erbjuda en garanti att kunder som följer processen och fortfarande drabbas av ett intrång kommer att kompenseras upp till 1 000 000 USD.



Om ett företags risk sjunker mätbart, ett resultat som AsTech säger att dess process har visat sig uppnå under de senaste 20 åren, som kommer att locka försäkringsbolag eftersom de kommer att bättre känna till och hantera sin risk, säger VD Greg Reber. Det är en ganska bra marknad.

Dölj