Kybernetická rizika se nejvíce týkají firem, které shromažďují a pracující s velkými objemy dat a údajů o svých klientech. Jedná se zejména o e-shopy, on-line sázkové kanceláře, společnosti z oblasti IT, společnosti z oblasti médií, síťoví dodavatelé (telekomunikace, dodavatelé elektřiny, vody, tepla apod.), finanční instituce nebo nemocnice. Mezi možná rizika se řadí ztráta informací z počítače nebo mobilního telefonu, omezení či zamezení přístupu k firemním informačním systémům, neoprávněný zásah či přerušení webových služeb nebo hrozby spojené se ztrátou dat při užívání cloudových služeb. V případě, že k takové události dojde, může to vést nejen ke ztrátám zisku společnosti, ale také k poškození roky budovaného dobrého jména a ke ztrátě důvěry zákazníků a klientů.

Co všechno lze pojistit?

Pojištění kybernetických rizik je kombinací majetkového pojištění, tzn. je poskytováno pojistné plnění za škody způsobené pojištěnému, a pojištění odpovědnosti za škody, kdy jsou hrazeny škody způsobené třetím osobám. Pojištění poskytuje pojistnou ochranu pro případ:

• úniku osobních údajů, dat a informací z informačního systému nebo počítače společnosti, ať již náhodného, nebo z nedbalosti,
• cíleného napadení informačního systému třetími osobami nebo zaměstnanci společnosti za účelem získání přístupu k datům společnosti a způsobení škody.

Z pojištění jsou obvykle hrazeny:

• škody pojištěného v důsledku úniku citlivých korporátních dat a informací,
• náklady pojištěného na identifikaci úniku osobních údajů, dat a informací, zabezpečení běžného provozu informačního systému a realizace opatření k nápravě nedostatků, které způsobily únik,
• náklady pojištěného na oznámení úniku osobních údajů, dat a informací veřejnosti a dozorovým orgánům a komunikace s postiženými klienty či zákazníky k ochraně dobré pověsti společnosti,
• náklady pojištěného na jednání před dozorovými orgány a jimi udělené pokuty,
• ztráty zisku pojištěného v důsledku výpadku webových nebo síťových služeb a úniku osobních údajů, dat a informací,
• škody třetích stran v souvislosti s únikem jejich osobních údajů.

Z pojištění jsou vyňaty škody na vlastních datech v důsledku selhání informačních služeb nebo systémů.

Jak sjednat pojištění?

Pojištění kybernetických rizik je stejně jako každé jiné pojištění řešeno pojistnou smlouvou, která stanovuje podmínky a rozsah krytí. Podle přání pojistníka je možné dojednat smluvní ujednání odchylná od pojistných podmínek tak, aby krytí reagovalo na jeho konkrétní situaci a potřeby. Při sjednávání pojištění je klíčové identifikovat a rozpoznat potenciální hrozby, se kterými se zájemci o pojištění kybernetických rizik mohou setkat. Velmi důležitou roli hraje dotazník pojistitele, který zájemce o pojištění vyplňuje. Dotazník se zaměřuje na informace týkající se oboru činnosti zájemce o pojištění, typu dat a údajů, se kterými daná společnost pracuje a která shromažďuje o svých klientech, rozsah a stupeň ochrany dat ve společnosti atp. Pojistitel úzce spolupracuje s IT společností, která je nápomocná při vyjasnění případných specifik na straně zájemce o pojištění.

Pojistné

Výše pojistného se odvíjí od řady faktorů. Roli hraje obor činnosti, objem dat a údajů, se kterými zájemce o pojištění pracuje a která shromažďuje o svých klientech, rozsah a stupeň ochrany dat ve společnosti (např. existence interních předpisů pro nakládání s daty, používání šifrování dat, zálohování dat atp.), rozsah outsourcingu služeb, výše požadovaného limitu plnění. Důležitým faktorem výsledné ceny je samozřejmě rozsah krytí, který může být buď základní (neoprávněné nakládání s údaji, povinnosti vůči dozorovým orgánům, náklady na odborné služby), nebo může navíc obsahovat i volitelná připojištění (vydírání prostřednictvím sítě, zveřejnění digitálního obsahu, výpadek sítě).

Právě v reakci na rozmach moderních technologií se na pojišťovacím trhu, zejména na tom zahraničním, začínají objevovat pojistné produkty, které tato rizika spojená s působením v kybernetickém prostoru a s prací s elektronickými daty kryjí. Na českém trhu od jara 2013 nabízí pojištění rizik spojených s únikem dat pouze jediná pojišťovna.

Do té doby bylo pro české společnosti pojištění kybernetických rizik dostupné prostřednictvím pojišťovacích makléřských společností, které ho přinášely ze zahraničních trhů, kde je tento produkt běžnou součástí nabídky již řadu let. I přesto ale mají pojištění kybernetických rizik na mezinárodním trhu v nabídce jen někteří vybraní pojistitelé, kteří na pokrytí těchto rizik cílí, a to pod názvem data breach insurance.

Kromě popsaného pojištění kybernetických rizik, které má v zahraničí podobný rozsah jako v ČR, nabízí mezinárodní pojistný trh také pojištění elektronické a počítačové kriminality. Toto krytí má za úkol poskytnout pojistnou ochranu společnostem, zejména finančním institucím, pro případ zneužití informačního systému společnosti třetími osobami nebo také zaměstnanci společnosti za účelem způsobení škody nebo osobního obohacení. Zneužití informačního systému může mít podobu:

• podvodné změny, poškození nebo vložení elektronických dat do informačního systému,
• zlovolné změny nebo poškození elektronických dat v elektronických systémech společnosti (včetně využití viru),
• krádeže, loupeže, zcizení, ztráty nosičů elektronických dat,
• zlovolné změny softwaru společnosti.
   

Pojistné plnění obvykle zahrnuje:

• ztráty finančních prostředků v důsledku podvodné změny softwaru pojištěného (včetně využití viru), zneužití elektronických komunikačních prostředků a elektronických přenosů,
• škody v důsledku zneužití elektronických komunikačních prostředků a elektronických přenosů ke zpronevěře finančních prostředků v souvislosti s obchodováním s cennými papíry.
   

Tento druh pojištění v České republice zatím žádná pojišťovna samostatně nabízí a zájemci o toto pojištění se musí obrátit na makléřské společnosti, které spolupracují se zahraničními makléři i pojistiteli. Důvodem poměrně omezené nabídky pojištění kybernetických rizik jak v České republice, tak v zahraničí je především náročnost a specifičnost tohoto produktu, který vyžaduje značnou expertízu a znalosti IT prostředí. Pojišťovny proto spolupracují s IT společnostmi nejen při tvorbě samotného pojistného produktu, ale také při řešení škodných událostí. I přes tuto značnou náročnost ale očekáváme, že v letošním roce se český trh rozšíří o další nabídku v budoucnu určitě velmi poptávaného a žádaného pojistného produktu.

Aleš Jarkovský Autor působí jako account manager ve společnosti Renomia. Specializuje se na problematiku pojištění odpovědnosti členů statutárních orgánů, pojištění profesní odpovědnosti za škody a pojištění kybernetických rizik.