Perspektiv

Därför behöver vi cyberförsäkringar

Text: Amelia Andersdotter

Europarådets avkriminaliseringsrapport från 1980 är tidlös. Den handlar bland annat om försäkringsindustrins roll i att reglera stölder, betalningar och brandfaror. Genom att främja bättre lås och fler brandlarm har försäkringsbranschen mer än någon annan industri höjt tryggheten och säkerheten i samhället. Tryggheten i att man kan kompenseras och ersättas när någonting utanför ens kontroll har gått fel ökar de flesta människors livs­kvalitet.

För IT-system som går fel finns inga motsvarande mekanismer. Åtgärder av fel, så kallad buggfixning, är underprioriterat hos både kunder och tillverkare. I de digitala »click-wrap«-avtalens förlovade tid avtalas de flesta konsumenträttigheter bort, och i offentlig sektor saknas kunskap och verktyg.

Vi kan tänka oss att vi är ett cyberförsäkringsbolag. Vår högsta prioritet kommer då att vara att inte betala ut mer pengar än nödvändigt, och att generera intäkter via premier som är någorlunda rättvisa och förutsägbara för våra kunder. Men vilka kostnader uppstår egentligen i verksamheten, och när är dessa nödvändiga?

Kostnaderna vid IT-problem är, till skillnad från i många andra försäkringsärenden, oförutsägbara och bristen på transparens är hög. När EU-kommissionen grundade Cyber Crime Center år 2010 berättade de att cyberbrottslingar årligen tjänar upp till 740 miljoner euro på IT-attacker, samtidigt som samhället förlorar nästan 290 miljoner euro på samma attacker. När 450 miljoner tjänade euro kan uppstå i statistiken, utan att någon till synes har förlorat dem, är det inte svårt att se varför cyberförsäkringar inte blivit någon större hit. Vem vill göra regelbundna affärer med 450 miljoner euros felmarginal?

Vi kan använda fallet mot 17-åriga Erik Sundkvist i Umeå som ett exempel. Erik Sundkvist hade hittat säkerhetsbrister
i Umeå kommuns IT-system. Han varnade kommunen, som inte löste problemen. När han utnyttjade säkerhetsproblemen för att illustrera allvaret i situationen blev han först dömd IT-brottsling och blev sedan stämd på en halv miljon kronor. Kommunen uppger att detta ska täcka kostnaden för lösenords­byten till följd av Sundkvists tilltag.

Att byta lösenord är en rutinåtgärd som ändå borde ske. Hade Umeå kommun reagerat direkt när Sundkvist varnade för första gången hade inga kostnader uppstått. Skattebetalarna hade också sluppit bekosta utredning och rättegång mot Sundkvist. I vår roll som försäkringsgivare hade vi velat veta om någon av kostnaderna egentligen hade kunnat undvikas.

Vårt försäkringsbolag hade behövt kännedom om säkerhetsbristerna för att kunna göra en bättre riskbedömning. Vi hade till exempel kunnat begära att Umeå kommun regelbundet genomför revision av IT-strukturen och dess rutiner, eller att de certifierar sina produkter innan de sätter dem i bruk. Men produktcyklerna i IT-industrin är snabbare än i andra industrier. Man kan genomföra dyra IT-revisioner och ändå hamna i läget att en 17-åring två veckor senare hittar någonting proffsen missat. Så snart en revision är avslutad har det släppts åtminstone en ny produkt och tio nya säkerhetsproblem upptäckts.

Vårt försäkringsbolag behöver snarare kontinuerliga uppdateringar. I samma takt som Umeå kommun och deras underleverantörer får information om risker behöver vi också veta. Annars kommer vi att förlora pengar. Det talar för en säkerhetsmodell som bygger på gradvisa, inkrementella förbättringar i takt med att problem upptäcks.

En försäkringstagande förvaltning eller företag som blir varse säkerhetsproblem, utan att offentliggöra eller åtgärdar dessa, bör av det offentliga åläggas vite. På samma sätt borde samtliga IT-tjänstleverantörer och e-förvaltningstjänster åläggas att berätta för sina användare när man hittat ett allvarligt problem. I dag lämnas konsumenterna ovetande tills skadan är skedd.

Transparens har den goda fördelen att varje person själv kan gardera sig mot problem den känner till. Och så snart man får veta att en leverantör segar med att fixa problemen, kan man byta leverantör till en som snabbare åtgärdar dessa och som tar större ansvar för säkerheten. Vite har fördelen att det är en tillräckligt förutsägbar kostnad för att kunna utgöra grunden för en försäkring.

Precis som anges i Europarådets avkriminaliseringsrapport från 1980 finns det goda anledningar att tro att trygghet och säkerhet i vardagen uppstår när problem går att lösa på ett konstruktivt och förutsetbart sätt. Lika goda är anledningarna att  lyssna till vad samma Europaråd beskrev 1989: att överkriminalisering riskerar leda till sämre administrativa
och tekniska möjligheter till säkerhet.

Cyberförsäkringar har större potential än underrättelsetjänster att ge trygghet och säkerhet till de miljoner svenska privatpersoner, myndigheter och företag som använder och förlitar sig på IT-system. Så länge det inte finns någonting att försäkra kan en hållbar försäkringsindustri dock inte uppstå. Först krävs mogna politiska övervägningar om IT-säkerhet. Med sådana kan vi uppnå samma nivå av kunskap och trygghet som samhället redan har om brandfaror och stöldrisk.

Amelia Andersdotter är ­tidigare Europaparlamentariker för Piratpartiet.
amelia.andersdotter@piratpartiet.se
Twitter: @teirdes

Fler artiklar av Amelia Andersdotter

Prenumerera 6 nummer per år för 200 kr