Pojišťování rizik všech podnikatelských činností je dnes již samozřejmostí. Nabídka pojistných produktů se neustále rozšiřuje v souvislosti se vznikem nových rizik či se vznikem nových legislativních norem. Oblast informačních systémů je relativně mladý obor, který dnes pozitivně, ale bohužel i negativně (v případě neočekávané události, nebo jeho zneužití) ovlivňuje v podstatě všechny podnikatelské subjekty.





Rozvoj informačních technologií a systémů (IS/IT) v praxi obvykle znamená obrovské zvýšení efektivity subjektů, které si tyto systému dokázaly vybudovat a IS/IT využívají. Tento klad je ovšem negován fatálními následky v případě dlouhodobějšího výpadku systému či ztráty dat. Přestože existují různé systémy ochrany, ukládání či zálohování dat, žádný není dokonalý a stále existuje riziko vážného ohrožení subjektu. O co rychleji jde kupředu vývoj v této oblasti, o to agresivnější je konkurenční prostředí a o to kratší selhání může způsobit nenahraditelné škody. Společnosti přicházejí o velké finanční prostředky, ať už v důsledku nahodilých výpadků IS/IT, ztráty dat či jiných incidentů. Nezanedbatelné jsou také škody v důsledku úmyslného jednání zaměstnanců či třetích osob za účelem poškodit IS/IT či získat vlastní profit. Zabezpečit stoprocentně IS/IT a chod informačních technologií je nemožné, a navíc přiblížení se k vysoké bezpečnosti je neúměrně finančně náročné. V kombinaci s vhodným pojištěním je ale možné rizika optimálně eliminovat. Toto je moment, kdy je třeba nabídnout pojistné produkty pro eliminaci těchto rizik. Přestože v USA má pojišťování těchto rizik dlouholetou historii, v Evropě jsou zkušenosti minimální. Pojišťovny v ČR nemají historii škodovosti potřebnou pro posouzení rizika. Velkou překážkou je také absence rizikových inženýrů a likvidátorů pojistných událostí. V praxi je zjištění konkrétních čísel velmi obtížné, neboť poškozené společnosti z pochopitelných důvodů nejsou ochotny sdělovat, že ke škodě vůbec došlo, natož jak vysoká ztráta vznikla. Je možno se opřít pouze o průzkumy renomovaných a nezávislých institucí, které říkají, že jak počet incidentů, tak finanční ztráty z nich plynoucí se neustále zvyšují.

Pohled právníka
Většina subjektů provozujících nebo využívajících IS/IT podléhá zejména zákonu č. 101/2000 Sb., o ochraně osobních údajů, včetně sankčním ustanovením zákona, a to až do výše 10 000 000 Kč, příp. 20 000 000 Kč, pokud zpracovatel nebo správce osobních údajů poruší ustanovení zákona. Zaměstnavatel je navíc ve vztahu k zákonu povinen přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů. Tato povinnost platí i po ukončení zpracování osobních údajů a její nesplnění může být zase ze strany zákona spojeno s peněžitou, popř. trestněprávní sankcí. Stejně tak například provozovatelé serverů, kde jsou poskytovány zdarma e-maily (freemailové služby) nebo webhostingové služby, zatím svoji odpovědnost často řeší různými prohlášeními, kde se odpovědnosti vzdávají. V jiném případě je využití služby spojeno s automatickým souhlasem se smluvními podmínkami, kde je opět jasně deklarováno zřeknutí se odpovědnosti pro dané případy. Nutno ale podotknout, že takováto prohlášení a smluvní podmínky jsou právně často mimořádně sporná, popřípadě přímo neplatná. Především zákon neumožňuje vzdát se práv, která ještě nevznikla. Jinými slovy se lze vzdát pouze těch práv, která existují v době uzavření dohody - souhlasu se smluvními provozními podmínkami. V žádném případě se nelze tedy platně vzdát majetkových práv, o kterých není známo, zda v budoucnu nastanou (typicky právě právo na náhradu škody). Právě proto je právně mimořádně problematické uzavřít například se zákazníkem, který využívá informační systém, byť zdarma, dohodu, že v případě vzniklé škody tuto nebude uplatňovat vůči společnosti. Nejrůznější právní vady bychom ale navíc bohužel našli v textech smluvních podmínek v podstatě všech velkých poskytovatelů freemailových služeb i provozovatelů jiných IS/IT. Navíc společnosti si tato rizika často vůbec neuvědomují až do okamžiku, kdy dojde k soudnímu sporu, a to už je samozřejmě pozdě. Pojištění se jeví jako ideální možnost (prevence), jak se v případě poruchy IS/IT krýt.

Rizika, která mohou být předmětem pojištění:
· jakákoliv nahodilá škoda na IS/IT pojištěného a z toho vyplívající finanční ztráta,
· úmyslná škoda způsobená třetí osobou pojištěnému,
· úmyslná škoda způsobená vlastním zaměstnancem pojištěnému,
· odpovědnost za škodu způsobenou třetí osobě opomenutím, zanedbáním, porušením povinnosti,
výpadkem vlastního systému.



Koncepce pojištění z pohledu eliminace pojišťovaných rizik
Definice rizikových skupin:
· Riziková skupina 1 - uživatel prezentace na internetu, která je umístěna na serveru externího poskytovatele této služby. Do této skupiny patří všechny organizace, které se prezentují na internetu a jejichž webové stránky jsou provozovány v České republice na serveru jinou organizací (poskytovatelem).
· Riziková skupina 2 - organizace nabízející elektronické obchodování, jehož webové stránky jsou provozovány v České republice na serveru jinou organizací (poskytovatelem). Do této skupiny patří organizace, které prodávají zboží nebo služby prostřednictvím internetu. Přitom využívají webových stránek a příslušného software na serveru spravovaném jinou organizací (poskytovatelem).
· Riziková skupina 3 - provozovatel vlastního web serveru, IT/IS systému. Organizace s vlastním serverem a sítí jsou vždy zařazeny do této skupiny 3. Jedná se především o vlastníky datových skladů, webhostingové firmy, velké výrobní firmy vlastnící web servery.

Kontrola zabezpečení
Pro každou rizikovou skupinu existuje dotazník, který je základem pro kontrolu bezpečnosti. Výsledkem kontroly je vyjádření pro pojišťovnu, zda může zájemci poskytnout požadované pojištění a za jakých podmínek, eventuálně jaká opatření musí zájemce realizovat pro snížení rizika. Zodpovězení dotazů a eventuální vyjasnění situace na základě rozhovoru s poskytovatelem vede k rozhodnutí, zda je žadatele možné pojistit. Pro zákazníky ze skupiny 2 je dále vyžadováno hlubší testování IT systémů. Proto je nutné uzavřít mezi auditorem a žadatelem (a v ideálním případě i s poskytovatelem) oddělenou smlouvu o provedení testů. Žadatel, který provozuje vlastní zařízení pro komunikaci s internetem, a patří tedy do skupiny 3, musí navíc prokázat bezpečnost IT/IS provedením auditu na základě smlouvy s auditorem (bezpečností prověrka). Pojištění může být uzavřeno až po realizaci všech bezpečnostních opatření.

Bezpečnostní prověrka systému auditorem
Mezi zákazníkem a auditorem je uzavřena smlouva o provedení bezpečnostní prověrky, jejíž součástí je i povolení předat informace o zákazníkovi a o bezpečnostních rizicích do pojišťovací společnosti. Podstatnou část výsledků prověrky tvoří následující tři dokumenty:
· předběžná zpráva s podrobnými výsledky bezpečnostní prověrky i s doporučeními, která z ní
vyplynula,
· hlavní zpráva s podrobnými výsledky po realizaci opatření doporučených v předběžné zprávě,
· souhrn poznatků, které vyplynuly z prověrky a jejich zpracování je určeno pro pojišťovací
společnost.

Prověrka se skládá ze dvou etap, a to obecného prověření celého operačního zázemí IT/IS včetně bezpečnostní politiky, vnitřních procesů a technické bezpečnostní úrovně a detailního prověření jednotlivých oblastí, které mají vztah k připravovanému pojištění. Proces bezpečnostního prověření zahrnuje příprava výsledků a doporučení ve formě předběžné zprávy, diskusi výsledků se zákazníkem a eventuální dohoda o realizaci některých opatření, která by měla být realizována ještě před podáním žádosti k pojišťovací společnosti, diskusi o konečné struktuře a znění hlavní zprávy pro pojišťovací společnost, vyhotovení hlavní zprávy o bezpečnostní prověrce u zákazníka a vyhotovení závěrečné celkové zprávy o výsledcích bezpečnostní prověrky a výsledném stavu zabezpečení IT u zákazníka pro následné zaslání do pojišťovací společnosti. Jeden exemplář bude předán zákazníkovi a jeden pojišťovací společnosti. Pro realizaci bezpečnostních opatření v předběžné zprávě nabízí auditor plnou podporu jak v koncepční, tak v implementační oblasti. Hlavní zpráva vznikne až po úspěšné realizaci těchto opatření. Jestliže v hlavní zprávě dospěje auditor k závěru, že všechny úkoly zadané v předběžné zprávě byly úspěšně splněny, je vydán zákazníkovi časově omezený certifikát. Tento certifikát slouží jednak jako podklad pro pojištění zákazníka, jednak může být využit i pro marketingové účely. Certifikát je nutné každý rok pravidelně obnovovat.

Závěrem
Jak již bylo řečeno, autor tohoto článku vidí pojištění jako ideální způsob zajištění se před možnými závažnými následky v případě škody nebo přerušení funkčnosti informačního systému. Je ale třeba si také uvědomit, že pojištění není "obchod" v tom slova smyslu, že prostředky zaplacené za pojištění se společnosti musí za každou cenu vrátit. Pojištění funguje na jiném principu, a to na principu odkupu rizika, kdy subjekt, který se pojistí, může nadále bez obav vykonávat svoji podnikatelskou činnost a existující riziko možných škod při náhlé nefunkčnosti IS/IT nebo jiných škodných událostech převezme pojišťovna. Vzhledem ke komplikovanosti informačních systémů je tento druh pojištění určitým pojištěním "šitým" individuálně na míru konkrétnímu subjektu a bude mu předcházet audit systému, kdy pojišťovna ohodnotí rizikovost daného informačního systému, což bude mít hlavní vliv na výslednou cenu pojištění.

Autor článku, Mgr. Bohumír Štědroň, je právník zaměřující se na právo obchodní, evropské a právo informačních technologií.