Af Hans Jørgen Rasmussen, Key Account Manager, WTW, august 2022
Kriminalitet er en omskiftelig størrelse, som løbende tilpasser sig udviklingen i samfundet – og det medfører, at også skolernes risikobillede forandrer sig.
Der bliver stadig færre kontanter i samfundet, værdien (og dermed tyvetækkeligheden) af IT-hardware falder, og virksomhederne bliver stadig bedre til at sikre sig. Disse forhold har været medvirkende til, at antallet af fysiske indbrud har været stærkt faldende igennem det sidste årti. I 2011 blev der anmeldt 27.266 indbrud i virksomheder og forretninger. I 2021 er antallet faldet til 6.904 (Kilde: Danmarks Statistik).
Det er frygteligt ubehageligt at få besøg af ubudne gæster, og udviklingen er naturligvis kærkommen. Udviklingen skyldes dog ikke alene, at der er færre kriminelle i samfundet. De kriminelle har blot fundet nye jagtmarker og alternative former for berigelseskriminalitet. Tidligere har risikobilledet indenfor bedrageri været præget af interne trusler som for eksempel underslæb og anden medarbejderkriminalitet, mens 3. mands kriminelle handlinger har været begrænset til checksvindel og lignende. I dag er verden blevet mindre, og vores digitale tidsalder eksponerer os for kriminelle fra fjerne dele af verden. Med udbredelsen af hackerangreb og imitationssvindel er truslen fra omverdenen nu blevet en fuldbyrdet eksponering.
Hos WTW ser vi generelt en stigning i antallet af svindelnumre og forsøg på berigelseskriminalitet, som foretages af kriminelle uden tilknytning til skolerne. I den forbindelse anser vi social engineering som en af de farligste risici, da eksterne kriminelle hackere går direkte efter de svageste dele af vores IT-forsvar, nemlig de menneskelige brugere.
Stadig flere skoler bliver ofre for bedrageri og cyberkriminalitet
Vi modtager desværre ofte henvendelser fra kunder, som har været udsat for forskellige former for bedrageri og cyberkriminalitet.
Vi har blandt andet set et eksempel på fakturasvindel, hvor en skole blev franarret flere 100.000 kroner. Skolen modtog en svindelmail fra en person, der udgav sig for at være skolens forstander. Vedkommende bad den økonomiansvarlige overføre et større beløb som betaling for en ventet vareleverance. Efter adskillige mails frem og tilbage blev beløbet overført i god tro, da man afventede en faktura i den størrelsesorden for de bestilte varer. Først for sent gik det op for skolen, at man havde været udsat for et svindelnummer.
De kriminelle udvider deres horisonter og bliver stadig dygtigere. I ovenstående eksempel har de tydeligvis overvåget skolens e-mailkorrespondance igennem en længere periode og slået til, når deres anmodning ville lyde mest troværdig.
Hvad med forsikringen?
Mange skoler har i dag tegnet forsikring for både cyberangreb og kriminelle handlinger. Det er dog vigtigt at sikre sig, at dækningsomfanget er fyldestgørende, så kriminalitetsforsikringen omfatter kriminelle handlinger begået af såvel skolens egne medarbejderne, som kriminelle handlinger begået af personer UDEN tilknytning til skolen.
Cyberforsikringen er vigtig, men ofte kun en del af løsningen. Forsikringen dækker omkostninger som følge af hackerangreb, herunder udgifter til at få renset ens systemer for virus og malware samt genskabelse af data mv. Sagt med andre ord, dækker cyberforsikringen omkostninger forbundet med at smide hackerne ud af systemet og rydde op efter dem, men typisk IKKE tabet af de værdier, som de har svindlet sig til i processen.
Mens risikoen for medarbejderkriminalitet til dels kan styres med interne kontrolinstanser, såsom ”two pairs of eyes”, kontrol af straffeattester ved ansættelse og lignende, er de eksterne risici straks mere uforudsigelige og sværere at imødekomme, hvilket også gør dem stadig sværere at forsikre sig imod. Derfor ser vi også rigtig mange eksempler på kriminalitetsforsikringer, som alene dækker kriminelle handlinger begået af medarbejdere, og som ikke er tilpasset efter skolernes reelle eksponering.
Ovenstående skadeseksempel er blot et af mange, hvor en skole udsættes for 3. mands kriminelle handlinger. Skolen havde heldigvis forsikringsdækning for tabet, da de som en del af WTW´s forsikringsaftale var omfattet af den kombinerede kriminalitets- og cyberforsikring, som er udviklet i samarbejde med skoleforeningerne i Danmark.
Hvad kan du gøre?
Man kan komme langt med sund fornuft, viden og fokus. Først og fremmest skal man være bevidst om risikoen, og så bør forsikring kun være en nødløsning i yderste konsekvens.
Få uddannet medarbejderne i IT-sikkerhed og hold dem løbende ajour og fokuserede med kurser og uddannelse. Det er svært, men ikke umuligt at ændre en adfærd.
Som danskere er vi meget høflige, autoritetstro og vil helst tro det bedste om andre. I disse situationer må vi dog ikke være bange for at stille os kritisk – særligt når vi bliver præsenteret for nye betalingsanvisninger og lignende. Ring til afsender for bekræftelse.
Få jeres police og vilkår tilsendt. Undersøg om aftalen indeholder krav til IT-sikkerhed, kontroller med videre. Det kan være altafgørende for forsikringsdækningen, at disse overholdes.
Det kan godt være svært at gennemskue dækningsomfanget på en kriminalitetsforsikring, da dette område er præget af en del begrebsforvirring. Vi anbefaler, at skoler samler deres dækninger for cyber og kriminalitet på én police, da mange skadesbegivenheder kan berøre begge forsikringstyper. På den måde er der kun et forsikringsselskab, der skal behandle sagen og tage stilling til dækningsomfanget. Skolen vil således få en hurtigere sagsbehandling, og risikerer ikke at blive kastebold mellem to selskaber. Sidst men ikke mindst, vil skolen kun blive opkrævet én selvrisiko pr. hændelse.
Kontakt jeres forsikringsmægler eller forsikringsselskab, og spørg ind til, hvordan I er dækket i tilfælde af kriminelle handlinger.
Skolen havde heldigvis forsikringsdækning for tabet, da de som en del af WTW´s forsikringsaftale var omfattet af den kombinerede kriminalitets- og cyberforsikring, som er udviklet i samarbejde med skoleforeningerne i Danmark.