facebook LinkedIN LinkedIN - follow
IT SYSTEMS 7-8/2016 , IT Security

Pojištění proti kybernetickým rizikům



Principal EngineeringS rostoucími počty kybernetických incidentů, úniků dat a nárůsty nákladů na nápravu se začínají firemní manažeři i v Česku mnohdy rozhlížet, jak hrozící riziko snížit pojištěním. Na západ od našich hranic se pojištění kybernetického rizika stává stále častěji součástí firemní strategie řízení a snižování rizik. Zatímco většina různých podnikání má pro různé druhy vlastnictví a činnosti obecná pojištění odpovědnosti, pro kybernetická rizika vznikla samostatná kategorie cyber pojištění. S enormním nárůstem kybernetických rizik je to v současné době nejrychleji rostoucí oblast podnikového pojištění. Díky prudce stoupající poptávce, dosahující až dvouciferných čísel, tento typ pojištění nabízí dnes všechny hlavní světové pojišťovny.


Při detailním pohledu do zahraničí vidíme, že například podle Institutu pro pojišťovací informace se počty hlášených narušení dat za rok 2015 v USA oproti roku 2014 zdvojnásobily. Velmi ohroženým segmentem je přitom zdravotnictví, kde jen v USA objem uniklých dat v minulém roce překročil 110 milionů záznamů. V Česku takové přesné statistiky zatím k dispozici nejsou, nicméně i tady například z údajů policie vyplývá, že počty hlášených narušení a úniků dat rapidně stoupají. A s růstem těchto čísel stoupá i zájem o kybernetické pojištění. První řadu na pojištění pomalu zaplňují zpravidla velké podniky, kde se snaží rizika systematicky řídit a zmírňovat. Na druhou stranu střední a malé podniky v zájmu o cyber pojištění zaostávají zejména proto, že své podnikání nevidí vůči kybernetickým útokům zranitelné. Nicméně měly by si uvědomit, že tyto incidenty nejsou vždy výsledkem cíleného kybernetického útoku. Spousta z nich je totiž způsobena nepředvídatelným chováním lidského faktoru nebo něčím tak jednoduchým, jako je ztráta nebo krádež hesla, chytrého telefonu, nezašifrovaného notebooku nebo USB.

Opět ze zahraničí jsou také známy příklady citelného zmírnění dopadů kybernetických incidentů díky pojištění kybernetických rizik. V roce 2013, kdy katastrofálně unikla data kreditních karet 70 milionů zákazníků v obchodním řetězci Target, se celkové výdaje na likvidaci následků vyšplhaly na 250 mil. USD. Náklady se skládaly například z částek na forenzní audity, platby za právníky, pokuty, provoz call centra apod. Z této sumy bylo 90 milionů získáno zpět díky pojistkám. Podobně vypadaly výdaje na likvidaci incidentu v Home Depot, který se udál o rok později, které dosáhly nejméně 232 milionů dolarů. Pojistka pokryla téměř polovinu těchto nákladů.

Jak je vidět, v případě úspěšné likvidace pojistky tedy částka dovoluje pokrýt podstatnou část výše zmíněných nákladů. Díky tomu pomůže manažerům firmy přežít nejhorší část při nápravě škod a udržet business firmy při životě. Pojistka není jistě laciná záležitost, ale vedení firmy může být přece jen o poznání klidnější, pokud se něco podobného stane.

Podobně jako v případech živelných katastrof nebo požáru pojišťovny logicky nechtějí zákazníky, kteří představují velká rizika. Aby tedy potenciální zákazníci dosáhli na pojistku, měli by přijmout relevantní kybernetická bezpečnostní opatření v oblasti fyzického zabezpečení své IT infrastruktury a rovněž dostatečně vyškolit své pracovníky k bezpečnému chování v kybernetickém prostoru. Uzavření kybernetického pojištění je tedy pro firmy šancí a vhodným motivačním faktorem k dodržování bezpečnostních zásad a opatření, která zajišťují účinnou základní obranu proti novodobým kybernetickým incidentům.

Co typické pojištění kybernetických rizik kryje?

Pojišťovací nabídky a krytí se u různých pojišťoven poměrně liší. Nicméně na trhu se dnes nejvíce uplatňují čtyři hlavní typy pojistek:

  1. Pokrytí úniku, poškození dat a problematiky spojené s únikem osobních údajů
  2. Pojištění reputačního rizika a náklady na krizové PR
  3. Kybernetické vydírání
  4. Pojištění bezpečnosti sítě a služeb poskytovaných třetími stranami

Záleží samozřejmě na způsobu, jakým je pojistka koncipována. Můžeme očekávat, že pokrývá ušlý zisk nebo jeho část po kybernetickém incidentu, dále právní služby spojené s nápravou nároků po útoku či úniku dat. Rovněž náklady na nápravu odkryté IT zranitelnosti a případně monitorování krádeží či zneužití identity. Co ale pojistky pokrývají jen velmi zřídka, jsou ztráty duševního vlastnictví, jako jsou například návrhy nových produktů, plány nových výrobků nebo obchodní plány. Pojistitel totiž může takovou ztrátu jen velmi obtížně nacenit. Rovněž ztráty, které způsobí výpadky v dodavatelském řetězci společnosti, nemusejí být pokryté. Do pojišťovacích výluk, které každá pojistka obsahuje, pak zpravidla patří vyšší moc v podobě incidentů způsobených kybernetickou válkou řízenou a vedenou mezi státy a teroristy.

Samozřejmě doporučujeme, aby společnost, která si kupuje pojistku kybernetických rizik, měla svého odborného právního zástupce, který by vyhodnotil, co dle smlouvy pojištěno je a co není. Některé výluky pojistek se tak mohou například vztahovat na zařízení zaměstnance využívané v režimu BYOD.

Jak maximálně cyber pojistku pro firmu vytěžit?

Experti na řízení rizik doporučují, aby si firmy udělaly svým způsobem „domácí úkol“ k tomu, aby pochopily a uvědomily si, zda a jaké pojištění potřebují.

Prvním krokem je vyhodnocení rizik a jejich dopadů na firmy. Firmy musí poznat, jaká jsou rizika pro jejich podnikání a jaké dopady na její fungování budou mít například úniky dat nebo výpadky systémů. Například firmy, které v rámci kybernetického zákona spadají do kritické infrastruktury a mají za povinnost kybernetické incidenty hlásit státním orgánům a zároveň upozornit jednotlivé klienty, musí počítat s náklady na tento informační proces, včetně právních služeb. Na druhou stranu firmy, které doposud tuto informační povinnost nemají, nebudou těmito náklady zatíženy. Může je ale ohrozit například reputační riziko nebo přerušení provozu.

A když už nějaký kybernetický incident vznikne a firma nárokuje proplacení pojistky, musí si být vědoma, že na ni podle smlouvy s pojišťovnou má nárok. Může pak dojít například k tomu, že i když se firma stala obětí kybernetického útoku, forenzním šetřením se zjistí, že příčinou je cizím státem řízený útok, který je ale ve výlukách pojištění.

Proto ještě jednou zdůrazňujeme, aby se firmy při uzavírání kybernetických pojistek obrátily na zkušené odborné právníky. Formulace výluk může mít totiž zásadní význam při výplatě pojistky.

Rovněž by mělo být velmi jasně řečeno, že pojištění kybernetických rizik není v žádném případě náhradou za investice do plnohodnotné a efektivní kybernetické ochrany firem. Je to ale důležitá část firemní strategie ke zmírnění rostoucích kybernetických rizik.

Současný trh s pojištěním kybernetických rizik v ČR

Jaké jsou tedy aktivity pojišťoven v oblasti kybernetického pojištění v ČR? V současné době jediný plnohodnotný produkt firemního kybernetického pojištění Cyber Edge nabízí pojišťovna AIG. Toto pojištění umožní společnostem v základním krytí pojistit neoprávněné nakládání s údaji, povinnosti vůči regulátorům a dozorovým orgánům nebo náklady na odborné služby. Ve volitelném rozšíření pojištění je dále možné pojistit například zveřejnění digitálního obsahu, vydírání či výpadek služeb sítě poskytované třetí stranou. Ve spolupráci s AIG tento typ pojištění nabízí i brokerská společnost MARSH.

Axa Assistance ve svém Cyber risk pojištění pomáhá koncovým nefiremním klientům, pokud se stanou oběťmi kybernetické kriminality. ČSOB Pojišťovna pojišťuje jednotlivcům či domácnostem rizika nákupu zboží na internetu, zneužití platební karty a identity na internetu a poškození pověsti na internetu.

Allianz a ACE jako samostatný produkt pojištění internetových rizik v Česku nenabízejí, ale jsou schopni službu zprostředkovat skrze své centrály.

Česká pojišťovna a Kooperativa v této oblasti připravuje určité novinky, detaily zatím nejsou známy.

Odborníci z pojišťoven působících v našem regionu shodně potvrdili, že o kybernetické pojištění není zatím takový zájem, jaký je v USA a v západní Evropě. Nicméně analogii vidí s počátky prodeje pojištění v rozvinutých regionech zhruba před pěti až třemi lety. Významnějším podnětem pro nárůst zájmu o tento typ pojištění by mělo začátkem roku 2018 přinést EU nařízení GDPR (General Data Protection Regulation). To na rozdíl od dnes platného kybernetického zákona a zákona o ochraně osobních údajů razantně rozšiřuje okruh firem i mimo kritickou infrastrukturu státu včetně jejich povinností v případě úniku dat klientů. Doslova drastický je pak nárůst postihů firem při únicích osobních dat. Rovněž by pomohla užší spolupráce pojišťoven a státu při definici základní úrovně kybernetické ochrany malých a středních firem, která funguje od roku 2015 například ve Velké Británii pod názvem Cyber Essentials. Při splnění této základní úrovně kybernetického zabezpečení, kterou ve Velké Británii ověřují státem certifikované firmy, mohou být střední a malé podniky pojištěny základní kybernetickou pojistkou.

Daniel Konečný Petr Moláček
Daniel Konečný a Petr Moláček
Autoři článku jsou konzultanti kybernetické bezpečnosti ve společnosti Principal engineering, s. r. o.
Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.