facebook LinkedIN LinkedIN - follow
Exkluzivní partner sekce
Tematické sekce
 
Branžové sekce
Přehledy
 
Tematické seriály
 

GDPR

General Data Protection Regulation zásadně mění zpracování osobních údajů a zavádí nové povinnosti...

články >>

 

Jak uřídit IT projekt a nezbláznit se

Užitečné tipy a nástroje pro řešení problémů řízení inovací a vývoje produktů...

články >>

 

Industry 4.0

Průmysl 4.0

Jaký vliv bude mít čtvrtá průmyslová revoluce na výrobu a výrobní firmy?

články >>

 

Komplexní svět eIDAS

O nařízení eIDAS již bylo mnoho řečeno i napsáno. A proto jediné, o čem...

články >>

 

Trendy v CRM

Systémy pro řízení vztahů se zákazníky (CRM) prochází v posledních letech výraznou změnou. Zatímco dříve...

články >>

 

Příručka úspěšného IT manažera

Dnes je řada IT manažerů opomíjena. Úspěšní bývají brouci Pytlíci a Ferdové...

články >>

 
Partneři webu
Dialog 3000Skylla
IT SYSTEMS 1-2/2014 , IT Security

Pojištění kybernetických rizik



RenomiaProblematika kybernetických rizik a jejich pojištění se v posledních několika měsících začíná dostávat do popředí zájmu stále většího množství firem. S vývojem moderních technologií, jejich rozšiřováním, častějším využíváním internetu a permanentně rostoucím počtem mobilních zařízení, jako jsou tablety a chytré telefony, se zvyšuje i riziko úniku citlivých dat. To je každodenní hrozbou pro fungování společností všech velikostí a působících ve většině odvětví.


Kybernetická rizika se nejvíce týkají firem, které shromažďují a pracující s velkými objemy dat a údajů o svých klientech. Jedná se zejména o e-shopy, on-line sázkové kanceláře, společnosti z oblasti IT, společnosti z oblasti médií, síťoví dodavatelé (telekomunikace, dodavatelé elektřiny, vody, tepla apod.), finanční instituce nebo nemocnice. Mezi možná rizika se řadí ztráta informací z počítače nebo mobilního telefonu, omezení či zamezení přístupu k firemním informačním systémům, neoprávněný zásah či přerušení webových služeb nebo hrozby spojené se ztrátou dat při užívání cloudových služeb. V případě, že k takové události dojde, může to vést nejen ke ztrátám zisku společnosti, ale také k poškození roky budovaného dobrého jména a ke ztrátě důvěry zákazníků a klientů.

Co všechno lze pojistit?

Pojištění kybernetických rizik je kombinací majetkového pojištění, tzn. je poskytováno pojistné plnění za škody způsobené pojištěnému, a pojištění odpovědnosti za škody, kdy jsou hrazeny škody způsobené třetím osobám. Pojištění poskytuje pojistnou ochranu pro případ:

  • úniku osobních údajů, dat a informací z informačního systému nebo počítače společnosti, ať již náhodného, nebo z nedbalosti,
  • cíleného napadení informačního systému třetími osobami nebo zaměstnanci společnosti za účelem získání přístupu k datům společnosti a způsobení škody.

Z pojištění jsou obvykle hrazeny:

  • škody pojištěného v důsledku úniku citlivých korporátních dat a informací,
  • náklady pojištěného na identifikaci úniku osobních údajů, dat a informací, zabezpečení běžného provozu informačního systému a realizace opatření k nápravě nedostatků, které způsobily únik,
  • náklady pojištěného na oznámení úniku osobních údajů, dat a informací veřejnosti a dozorovým orgánům a komunikace s postiženými klienty či zákazníky k ochraně dobré pověsti společnosti,
  • náklady pojištěného na jednání před dozorovými orgány a jimi udělené pokuty,
  • ztráty zisku pojištěného v důsledku výpadku webových nebo síťových služeb a úniku osobních údajů, dat a informací,
  • škody třetích stran v souvislosti s únikem jejich osobních údajů.

Z pojištění jsou vyňaty škody na vlastních datech v důsledku selhání informačních služeb nebo systémů.

Jak sjednat pojištění?

Pojištění kybernetických rizik je stejně jako každé jiné pojištění řešeno pojistnou smlouvou, která stanovuje podmínky a rozsah krytí. Podle přání pojistníka je možné dojednat smluvní ujednání odchylná od pojistných podmínek tak, aby krytí reagovalo na jeho konkrétní situaci a potřeby. Při sjednávání pojištění je klíčové identifikovat a rozpoznat potenciální hrozby, se kterými se zájemci o pojištění kybernetických rizik mohou setkat. Velmi důležitou roli hraje dotazník pojistitele, který zájemce o pojištění vyplňuje. Dotazník se zaměřuje na informace týkající se oboru činnosti zájemce o pojištění, typu dat a údajů, se kterými daná společnost pracuje a která shromažďuje o svých klientech, rozsah a stupeň ochrany dat ve společnosti atp. Pojistitel úzce spolupracuje s IT společností, která je nápomocná při vyjasnění případných specifik na straně zájemce o pojištění.

Pojistné

Výše pojistného se odvíjí od řady faktorů. Roli hraje obor činnosti, objem dat a údajů, se kterými zájemce o pojištění pracuje a která shromažďuje o svých klientech, rozsah a stupeň ochrany dat ve společnosti (např. existence interních předpisů pro nakládání s daty, používání šifrování dat, zálohování dat atp.), rozsah outsourcingu služeb, výše požadovaného limitu plnění. Důležitým faktorem výsledné ceny je samozřejmě rozsah krytí, který může být buď základní (neoprávněné nakládání s údaji, povinnosti vůči dozorovým orgánům, náklady na odborné služby), nebo může navíc obsahovat i volitelná připojištění (vydírání prostřednictvím sítě, zveřejnění digitálního obsahu, výpadek sítě).

Právě v reakci na rozmach moderních technologií se na pojišťovacím trhu, zejména na tom zahraničním, začínají objevovat pojistné produkty, které tato rizika spojená s působením v kybernetickém prostoru a s prací s elektronickými daty kryjí. Na českém trhu od jara 2013 nabízí pojištění rizik spojených s únikem dat pouze jediná pojišťovna.

Do té doby bylo pro české společnosti pojištění kybernetických rizik dostupné prostřednictvím pojišťovacích makléřských společností, které ho přinášely ze zahraničních trhů, kde je tento produkt běžnou součástí nabídky již řadu let. I přesto ale mají pojištění kybernetických rizik na mezinárodním trhu v nabídce jen někteří vybraní pojistitelé, kteří na pokrytí těchto rizik cílí, a to pod názvem data breach insurance.

Kromě popsaného pojištění kybernetických rizik, které má v zahraničí podobný rozsah jako v ČR, nabízí mezinárodní pojistný trh také pojištění elektronické a počítačové kriminality. Toto krytí má za úkol poskytnout pojistnou ochranu společnostem, zejména finančním institucím, pro případ zneužití informačního systému společnosti třetími osobami nebo také zaměstnanci společnosti za účelem způsobení škody nebo osobního obohacení. Zneužití informačního systému může mít podobu:

  • podvodné změny, poškození nebo vložení elektronických dat do informačního systému,
  • zlovolné změny nebo poškození elektronických dat v elektronických systémech společnosti (včetně využití viru),
  • krádeže, loupeže, zcizení, ztráty nosičů elektronických dat,
  • zlovolné změny softwaru společnosti.
     

Několik zajímavých čísel

  • 71 procent ze všech případů, kdy došlo k narušení bezpečnosti a ztrátě dat, se týkalo malých a středních společnosti do sta zaměstnanců
  • 96 procent všech útoků bylo velmi jednoduchých k provedení
  • v 97 procentech všech případů se dalo předejít ztrátě dat dodržováním základních bezpečnostních pravidel a aktualizací bezpečnostních systémů
  • každou minutu je zasaženo malwarem 232 počítačů

Pojistné plnění obvykle zahrnuje:

  • ztráty finančních prostředků v důsledku podvodné změny softwaru pojištěného (včetně využití viru), zneužití elektronických komunikačních prostředků a elektronických přenosů,
  • škody v důsledku zneužití elektronických komunikačních prostředků a elektronických přenosů ke zpronevěře finančních prostředků v souvislosti s obchodováním s cennými papíry.
     

Příklady konkrétních škod z České republiky

Únik osobních údajů pacienta:
  • osobnostní újma pacienta, znemožnění výkonu povolání z důvodů zveřejnění zdravotního stavu
  • žaloba o finanční kompenzaci
  • pokuta udělená dozorovým orgánem za zveřejnění citlivých informací o pacientovi
  • celková škoda čtyři miliony korun
Hackerský útok a následné zveřejnění 117 tisíc osobních údajů studentů:
  • náklady na IT experty za účelem zjištění příčiny útoku a přesného počtu zveřejněných údajů
  • náklady na oznámení (informační dopis všem studentům a zřízení call centra)
  • náklady na PR (zlepšení reputace a dobré pověsti)
  • pokuta udělená dozorovým orgánem za zveřejnění citlivých informací
  • celková škoda dva miliony korun


Tento druh pojištění v České republice zatím žádná pojišťovna samostatně nabízí a zájemci o toto pojištění se musí obrátit na makléřské společnosti, které spolupracují se zahraničními makléři i pojistiteli. Důvodem poměrně omezené nabídky pojištění kybernetických rizik jak v České republice, tak v zahraničí je především náročnost a specifičnost tohoto produktu, který vyžaduje značnou expertízu a znalosti IT prostředí. Pojišťovny proto spolupracují s IT společnostmi nejen při tvorbě samotného pojistného produktu, ale také při řešení škodných událostí. I přes tuto značnou náročnost ale očekáváme, že v letošním roce se český trh rozšíří o další nabídku v budoucnu určitě velmi poptávaného a žádaného pojistného produktu.

Aleš Jarkovský Aleš Jarkovský
Autor působí jako account manager ve společnosti Renomia. Specializuje se na problematiku pojištění odpovědnosti členů statutárních orgánů, pojištění profesní odpovědnosti za škody a pojištění kybernetických rizik.
Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.

Inzerce

GFI Unlimited Secure Email: bezpečná elektronická pošta pro malé a střední firmy

Jsou dvě oblasti, které letos budou pro obchodní kontinuitu malých a středních firem (SMB) kriticky důležité: bezpečnost firemních sítí a elektronické pošty. Podle odhadů společnosti GFI Software více než 50 % loňských útoků směřovalo právě na SMB firmy.

Helios
- inzerce -