3 Lästid 
Innehållsförteckning
År 1625 brann Stockholm. Ungefär var femte byggnad förstördes. Det fanns ingen organiserad brandkår och ingen brandförsäkring. När elden väl slocknat hade människor förlorat allt, sina hus, sina tillgångar och sin försörjning.
Parallellen till i dag är slående men den största risken är inte längre brand, utan en cyberattack.
När ett företag i dag drabbas av ett cyberattack och ringer polisen, finns ofta begränsade möjligheter till hjälp. Och trots att nästan alla företag är beroende av IT-system, data och digitala betalningar saknar många fortfarande ett försäkringsskydd som faktiskt fungerar när något händer. Företagare befinner sig därför i en situation som påminner starkt om Stockholm på 1600-talet: hög exponering, stora konsekvenser och väldigt lite skydd.
Från fysiska till immateriella tillgångar
Historiskt sett har försäkringsmarknaden alltid utvecklats i takt med var värdena finns. Under den industriella revolutionen ökade produktiviteten kraftigt och företagens fysiska tillgångar växte snabbt i värde. Maskiner, lager och fastigheter blev centrala för verksamheten. Det var då egendomsförsäkringen tog fart. Först som skydd mot brand, senare mot stöld, översvämning, storm och andra risker. Så småningom föddes allriskförsäkringen och i början av 1900-talet även avbrottsförsäkringen.
Sedan stod utvecklingen i stort sett still i nästan hundra år. Så sent som 1990 gick omkring 98 procent av världens försäkringspremier till att skydda fysiska tillgångar.
I dag ser världen helt annorlunda ut. För de flesta företag är värdet av immateriella tillgångar – data, system, kundrelationer och digitala flöden, större än värdet av de fysiska. Ändå går fortfarande omkring 95 procent av försäkringspremierna till fysiska risker.
Cyberförsäkringens tidiga historia
De första cyberförsäkringarna uppstod under 1990-talets dotcom-era. Företag vars hela värde låg i teknik och data upptäckte snabbt att traditionella försäkringar inte gav något skydd. De tidiga cyberförsäkringarna fokuserade därför främst på verksamhetsavbrott. Snart identifierades också tredjepartsrisker: virus och intrång kunde spridas vidare till andra bolag och leda till skadeståndskrav. Eftersom dessa risker låg nära ansvarsförsäkring utvecklades cyberförsäkringarna av ansvarsunderwriters, vilket är anledningen till att begreppet ”cyberansvar” levde kvar länge.
När IT-bubblan sprack försvann både många dotcom-bolag och cyberförsäkringarna från marknaden. Nästa stora skifte kom 2003, när Kalifornien införde lagkrav på att informera individer vid personuppgiftsläckor. Snart följde resten av USA och senare Europa. Cyberförsäkringar fick nytt liv och utökades till att omfatta juridisk rådgivning, utredning av intrång, notifiering av drabbade individer, callcenter, kreditövervakning och kriskommunikation.
Underwriters förväntade sig en våg av stämningar från drabbade individer. I praktiken visade det sig att kostnaderna nästan alltid drabbade företaget självt. Ändå uppfattades cyberförsäkring länge som relevant främst för bolag med stora mängder personuppgifter.
Social engineering och nya hot
Det förändrades runt 2015. Cyberbrottsligheten tog en ny riktning. Angripare insåg att det var enklare, snabbare och mer lönsamt att utnyttja människor än tekniska sårbarheter. Social engineering – manipulationsbedrägerier via e-post, telefon eller falska fakturor – blev den vanligaste angreppsformen. Företag började förlora enorma belopp utan att någon ”hackat” sig in i systemen i traditionell mening.
Cyberförsäkringarna utvecklades därför vidare och började omfatta även bedrägerier och social engineering. Plötsligt var det inte bara företag med personuppgifter som behövde skydd – utan alla företag som skickar eller tar emot pengar elektroniskt.
Ransomware och verksamhetsavbrott
Kort därefter ökade ransomwareattackerna kraftigt. Företag låstes ute från sina system, verksamheter stod stilla och kostnaderna skenade. Det blev tydligt att avbrott inte slutar när systemen startar igen. Kunder behöver vinnas tillbaka, leverantörskedjor återställas och förtroende byggas upp. Cyberförsäkringar anpassades därför för att ersätta förluster tills verksamheten faktiskt är återställd – inte bara tekniskt, utan operativt.
Samtidigt utvecklades försäkringarna bort från långa tekniska checklistor som ofta användes för att neka ersättning i efterhand. Moderna cyberförsäkringar kombinerar i stället försäkring med aktiva kringtjänster: löpande sårbarhetsscanning, utbildning och stöd för att uppfylla grundläggande säkerhetskrav. Syftet är att förebygga skador och säkerställa att skyddet faktiskt fungerar när det behövs.
Från nischprodukt till allrisklösning
Cyberförsäkring har därmed genomgått samma resa som egendomsförsäkring en gång gjorde: från smala skydd till breda allrisklösningar – fast för immateriella tillgångar. I dag är över 90 procent av alla cyberskador förstapartsskador som drabbar företaget självt.
Utvecklingen är långt ifrån över. Hoten förändras, och skydden kommer att fortsätta utvecklas i takt med dem. Precis som efter Stockholms brand tog det tid innan brandförsvar och brandförsäkring blev självklara. Cyberförsäkring befinner sig nu i samma historiska skede.
Det här är början. Inte slutet.
Har du en cyberförsäkring? läs mer om det här!