AI förändrar kostnaden för cyberförsäkringar

I juli 2025 fick McDonald’s ett oväntat problem på menyn, ett problem som rörde McHire, deras AI-drivna plattform som används för att rekrytera och sålla jobbsökande. Systemet, som utvecklats av Paradox.ai, hade en säkerhetsbrist på nybörjarnivå: backend för restaurangoperatörer accepterade ”123456” som både användarnamn och lösenord, och saknade multifaktorautentisering. Som ett resultat var personuppgifterna för cirka 64 miljoner sökande i fara. Lyckligtvis upptäcktes bristen av säkerhetsforskarna Ian Carroll och Sam Curry, som meddelade företaget. Eftersom organisationer skyndar sig att implementera AI-verktyg utan att granska dem fullständigt är incidenter som denna inte ovanliga. Enligt en rapport från IBM går införandet av AI snabbare än säkerheten och styrningen av AI. Förra året rapporterade 13 procent av organisationerna intrång som involverade AI-modeller eller AI-applikationer, medan ytterligare 8 procent uppgav att de inte ens visste om dessa system hade komprometterats. Försäkringsbolagen är medvetna om detta. Många har skärpt sina försäkringsvillkor, höjt premierna och infört uttryckliga undantag för vissa AI-relaterade incidenter, i ett försök att begränsa exponeringen för risker som man inte har fullständig kunskap om. En undersökning av Delinea visade att 42 procent av de tillfrågade uppgav att deras cyberförsäkringar nu innehåller undantag kopplade till missbruk av AI och ansvarsskyldighet. Men bilden är inte helt ensidig. Försäkringsbolagen belönar också starkare försvar: 86 procent av organisationerna uppger att de har fått premierabatter eller krediter för att de använder AI-baserade säkerhetsverktyg som stärker deras säkerhet. – AI är både en risk och en möjlighet, säger Nate Spurrier, vice vd för försäkrings- och rådgivningsstrategi på Guidepoint Security. Förändrad riskbedömning I takt med att AI blir alltmer integrerat i affärsverksamheten – och alltmer utnyttjat av angripare – omprövar cyberförsäkringsbolag hur de utvärderar risk. Många går nu bortom checklista-frågeformulär och självintyg och begär bevis på att säkerhetskontroller aktivt övervakas, testas och efterlevs. Enligt Delinea-rapporten kräver 77 procent av försäkringsbolagen nu formella granskningar av interna och it-säkerhetsteam innan de utfärdar eller förnyar försäkringar, en ökning från 56 procent för ett år sedan. Men även dessa granskningar räcker inte längre. – Ledande cyberförsäkringsbolag har gått från engångsformulär till kontinuerlig utvärdering av en organisations attackyta och kontroller, säger Michael Phillips, chef för global cyberportföljförsäkring på Coalition. Förutom att teckna och reglera skador erbjuder Coalition även cybersäkerhetstjänster i sina cyberförsäkringar. Försäkringstagarna får tillgång till verktyg som kontinuerligt övervakar internetanslutna system för sårbarheter och varningar, tillsammans med expertrådgivning och hotinformation. Tanken är att minska frekvensen och allvarlighetsgraden av skador genom att koppla ett företags säkerhetsläge direkt till dess försäkringsskydd. Och eftersom AI berör många delar av modern affärsverksamhet, omfattar den ökade granskningen nu även hur företag använder och styr tekniken. – Försäkringsbolagen vill veta hur försäkringstagare och sökande använder AI inom sin organisation: vilka kontroller som finns, hur AI används och för vilka specifika uppgifter, vem som får använda det och om det bara är ett effektivitetsverktyg eller en central del av den lösning som erbjuds kunderna, säger Spurrier. Ändringar i täckning och språk Nu när AI finns överallt skriver försäkringsbolagen om sina avtal för att vara mycket mer specifika om vad som täcks och vad som inte täcks. Vissa har infört positiva AI-tillägg, andra har lagt till undantag, eftersom AI-risker kan vara oförutsägbara och potentiellt omfattande, och försäkringsbolagen vill inte hållas ansvariga för förluster som de inte kan prissätta korrekt. Att utforma rätt försäkringsvillkor för en snabbt utvecklande teknik är en komplex uppgift. – Just nu har försäkringsbolagen inte tillräckligt med skadedata för att fullt ut förstå vilka villkor och komponenter av AI-risker som bör riktas in sig på, så vissa försäkringsbolag använder breda undantag av försiktighetsskäl, säger Spurrier. Men denna försiktighet kan vara skadlig för organisationer. – AI är nu en förväntad komponent i en framgångsrik cyberattack, och det är inte alltid lätt att urskilja vad som har skapats av AI och vad som inte har det, säger Philips. – Om en försäkring utesluter alla AI-relaterade förluster kan ett försäkringsbolag hävda att en klassisk ransomware-skadeanmälan inte omfattas av försäkringen, helt enkelt för att AI användes som en del av attackprocessen. Problemet förvärras av hur försäkringarna har utvecklats. Många skrevs innan generativ AI blev mainstream. Försäkringsbolagen lade senare till AI-relaterade formuleringar och lade till nya villkor i äldre kontrakt. Denna lapptäcksmetod kan skapa förvirring. – Om formuleringen inte förklaras tydligt kan försäkringstagarna anta att de har samma skydd som tidigare, men så är inte fallet, säger Philips. Företag och deras mäklare måste läsa försäkringsvillkoren noggrant och diskutera hur de faktiskt skulle fungera i praktiken. Det innebär att man måste diskutera specifika AI-relaterade scenarier med sina mäklare innan förnyelsen och se hur de kan påverka olika typer av täckning. – Ett scenario kanske inte påverkar vissa försäkringsgrenar, men kan sedan visa sig vara undantaget i en annan försäkringsgren, säger Spurrier. – Det är inte vid en skadeanmälan som man ska klargöra sin AI-täckning, utan vid förnyelsen och i andra scenarier före en incident. Sänka kostnaderna för företag Vissa företag som kan visa att de har en god säkerhetsnivå kan sänka sina försäkringskostnader. För att göra det måste de visa att de använder AI-drivna verktyg för att upptäcka avvikelser tidigt eller minska responstiden från timmar till minuter. – För försäkringsbolagen innebär det mindre skadeanmälningar och snabbare återhämtning”, säger Spurrier. Rabatter erbjuds vanligtvis till företag som har en stark säkerhet dygnet runt. – Detekteringslösningar som EDR förväntas nu allmänt av försäkringsbolag, och nästa steg är att kontinuerligt övervaka de genererade varningarna så att åtgärder kan vidtas snabbt, tillägger Spurrier. I en nära framtid kan AI-drivna skyddsåtgärder bli obligatoriska för försäkringsskyddet, precis som multifaktorautentisering och verktyg för detektering och respons vid slutpunkter är i dag. Det innebär att företag som ligger efter kan hamna i ett ofördelaktigt läge. – Om du förlitar dig på äldre verktyg kan du räkna med högre premier eller begränsat försäkringsskydd, säger han.