Imperativ doby: Pojištění kybernetických rizik. Co všechno kryjí?

9. 8. 2021

Sdílet

 Autor: Depositphotos
Různých typů pojištění pro podnikatele a firmy je celá řada a zčásti se v něm stírají rozdíly z hlediska jejich oborů a zaměření. Pojištění kybernetických rizik by ale měl mít sjednané každý, kdo má počítač s daty.

Petr Milata, tiskový mluvčí ČSOB Pojišťovny zmiňuje, že nová pojištění jdou ruku v ruce s vývojem digitalizace a robotizace, a začínají tak přibývat právě na poli IT. To je podle něj budoucnost, na kterou pojišťovny budou muset reagovat. Podle Radka Starosty, ředitele úseku pojištění majetku a odpovědnosti v pojišťovně Kooperativa, význam pojištění kybernetických rizik bude v budoucnu srovnatelný například s pojištěním motorových vozidel. 

Data jsou novou ropou ekonomiky. Přijít o ně znamená velký problém.

Jak zdůrazňuje Eva Svobodová z oddělení komunikace Uniqa pojišťovny, kybernetická rizika přibývají, a ne náhodou je lídři velkých firem nebo státních zařízení a podniků označují jako hrozbu číslo jedna. Velmi nebezpečná je průběžná proměna rizika a jejich dynamický vývoj, kdy kriminální aktivity jsou stále o krok napřed. 

„Takže ochranu proti těmto rizikům potřebuje dnes úplně každý – jak občan, tak firma jakékoli velikosti, stejně jako státní úřad, instituce nebo zařízení. V současné době jsme dokonce svědky i takových aktů, za nimiž stojí státy jako takové čili jde skutečně o velmi sofistikovanou a nebezpečnou oblast,“ doplňuje.

Také upisovatelka podnikatelských rizik Soňa Liptáková z MAXIMA pojišťovny uvádí, že v současné době, kdy je veškeré podnikání závislé na IT technologiích, ať už ve výrobě, vnitřní či vnější komunikaci nebo řízení podnikání či firmy, je tato oblast klíčovou a řízení rizik v ní je zásadním prvkem bezpečnosti. Pojištění je tak významnou částí opatření, která tato rizika ošetřují. Lucie Ponertová, head of underwriting & reinsurance Maxima pojišťovny, dále dodává, že v České republice, na rozdíl od ostatních nejen západních států je propojištěnost trhu tímto produktem velmi nízká. A to navzdory tomu, že odpovídající pojistný produkt je u nás k dispozici téměř dvacet let a počet i výše škod v této oblasti stále rychleji rostou.

ČASOPIS ONLINE I V TIŠTĚNÉ PODOBĚ

 

CFOworld si můžete objednat i jako klasický časopis. Vychází jako čtvrtletník a jeho primárním cílem je informovat o novinkách v oblasti práce finančních ředitelů, tj. ukázat, že svět financí není jen světem nudných čísel a účetnictví, že jde především o lidi, kteří mají velký smysl pro zodpovědnost a často řeší úkoly i mimo oblast finančního řízení, monitoringu a kontroly finančních procesů, plateb, cash-flow, finančního plánu a rozpočtu a vytváření strategických projektů.

Celoroční předplatné i jednotlivá čísla si můžete objednat v naší digitální trafice.

Pojištění kybernetických rizik by měla mít sjednané v principu jakákoliv společnost bez ohledu na velikost či předmět podnikání, která spravuje data svých klientů/zaměstnanců, pohybuje se v on-line prostředí či je nějakým způsobem závislá na IT řešeních. Každá taková společnost je totiž ohrožena kybernetickým rizikem.

„Nejvíce ohrožené, a tudíž hlavní cílovou skupinou, jsou v současnosti zejména společnosti z následujících oblastí: finanční instituce, zdravotnictví – nemocnice, síťoví dodavatelé (elektřina, plyn, voda atd.), hotely a CK, telekomunikace, e-shopy, média, maloobchod, výrobní a obchodní firmy závislé na IT řešeních,“ upřesňuje Michal Pilecký, produktový manažer RENOMIA.

Podle Radka Starosty jsou data novou ropou ekonomiky. Přijít o data, případně pokud se dostanou do nepovolaných rukou, znamená velký problém a potenciálně velké náklady, poškození jména či přerušení celého provozu.  „Drtivá většina malých firem si myslí, že jsou pro útočníky nezajímavým cílem, ale neuvědomují si, že mnohé škodlivé softwary hledají pouze díry v systémech a následně škodí a je jim jedno, zda zasáhly velkou automobilku či pekaře, který má dva zaměstnance,“ zdůrazňuje.

Jaká rizika pojištění kryje?

Pojištění kybernetických rizik (tzv. cyber pojištění) kryje riziko odpovědnosti pojištěného za data a důvěrné informace třetích stran a současně vlastní riziko pojištěného spojené s kybernetickým incidentem. Jak vysvětluje Michal Pilecký, v principu se sjednává pro dvě oblasti rizik: odpovědnost za osobní údaje, důvěrné informace a dostupnost sítě a s tím spojené riziko nároku ze strany třetích osob, tj. klientů, zákazníků, pacientů, zaměstnanců, obchodních partnerů pojištěného a vlastní škody pojištěného související s kybernetickým incidentem v oblasti nákladů na odborné služby (IT, PR, oznámení, právníci…), náklady na obnovu dat a systémů, náklady regulatorních řízení a GDPR pokuty, náklady spojené s vydíráním („ransomware“) a riziko ušlého zisku v důsledku přerušení provozu/výpadek sítě.

Petr Milata doplňuje, že pojištění kybernetických rizik má dvě části: majetkovou a odpovědnostní plus asistenci. „Primárně toto pojištění řeší obnovu poškozených, ztracených dat, obnovu systému, zabránění dalším škodám a odpovědnost případně za škodu v důsledku uniklých dat,“ vyjmenovává s tím, že jsou schopní zajistit rychlou reakci, předcházet zvětšení škody a pomoci nést náklady na obnovu. Například UNIQA má v nabídce kybernetickou asistenci pro občany i podniky. Ta kryje případy napadení, dále zneužití osobních dat, zneužití platebních karet, pomluvu na sociálních sítích nebo stalking.

„Pomůžeme i proti podvodným e-shopům, s nedodáním zboží objednaného přes internet apod.,“ doplňuje Eva Svobodová. Martina Šulcová, specialistka na pojištění kybernetických rizik Maxima pojišťovny, podotýká, že podnikatelé a firmy nesou odpovědnost také za důsledky úniku dat, která shromažďují a spravují (GDPR), a to včetně souvisejících nákladů například na oznámení úniku těm, jejichž data unikla, nebo vlastních nákladů podnikatele na nápravu dobrého jména. „Tato oblast je také součástí našeho pojistného produktu, stejně jako náklady vynaložené v souvislosti s únikem dat z hlediska přijímání plateb platebními kartami,“ dodává.

Ve srovnání se zahraničím je v Česku podíl firem, které jsou pojištěny vůči kybernetickým rizikům, stále relativně nízký.

U Kooperativy základní balíček rizik tvoří škody na datech v elektronické podobě a následná nefunkčnost počítačového systému, a pokud se klient musí bránit před regulatorními úřady, kryjí náklady regulatorního řízení. Součástí pojistného krytí je také dobré jméno firmy a jeho obnova a dalším rizikem v základním krytí je pojištění odpovědnosti za újmu způsobenou únikem dat v elektronické podobě. Jejich pojištění kryje také škody, kdy nespokojený nebo zhrzený zaměstnanec vynese data z firmy ven, a jako dodatkové pojištění je možné připojistit přerušení provozu.

„Aby byla škoda z pojištění likvidní, musí v naší hantýrce dojít k tzv. kybernetickému incidentu, kterým je myšleno poškození, zničení, ztráta nebo odcizení dat v elektronické podobě způsobené úmyslným jednáním, tedy útokem hackera, či poškození dat je způsobeno např. malwarem,“ vysvětluje dále Radek Starosta.

Podle čeho volit krytí?

Při stanovení rozsahu pojistného krytí cyber pojištění a výše pojistného limitu je nutné zohlednit více parametrů, ale mezi klíčové patří podle Michala Pileckého velikost aktiv/obratu společnosti či celého holdingu, obor podnikání, závislost na IT on-line řešeních, počet a citlivost spravovaných dat třetích osob, expozice v zahraničí apod. S posouzením rizika a volbou odpovídající pojistné ochrany by klientovi měl být nápomocen pojišťovací makléř, protože přesně to je mimo jiné jeho role. Pojištění kybernetických rizik (cyber) se sjednává modulově, kdy ne všechny složky musejí být pojištěny nebo jsou ze strany pojišťoven nabídnuty. 

„Základem nejčastěji bývá pojištění odpovědnosti za data, náklady regulatorního řízení (vč. GDPR pokut) a náklady pojištěného související s kybernetickým incidentem (na obnovu dat/systémů, PR, oznámení atd.). Další moduly pojištění, tj. mediální odpovědnost, kybernetické vydírání a přerušení provozu (‚výpadek sítě‘), může být u některých pojistitelů volitelné,“ popisuje. Dále zdůrazňuje, že je klíčové u každé firmy uvědomit si, že sjednání cyber pojištění nenahrazuje vlastní IT zabezpečení proti kybernetickým rizikům společnosti, ale je až určitou nadstavbou a jednou z možností, jak řešit toto riziko, pokud existující zabezpečení selže (např. v důsledku pochybení zaměstnance) či je např. hackery překonáno.

Podle Radka Starosty by si firmy měly ujasnit, jaký typ dat mají, jak moc jsou citlivá a případně jak bude ovlivněno podnikání daného subjektu. Dopady vysvětluje na příkladech, ze kterých je vidět, že vodovodní škoda je ve finále mnohem menším problémem. Například architekt, který několik měsíců tvoří návrh budovy a těsně před finále projektu při kybernetickém útoku o svoji práci přijde, může odepsat několik měsíců práce a může přijít o své dobré jméno nesplněním termínů. Výrobní firma, která má propojenou výrobu prostřednictvím systému, při napadení musí přerušit výrobu. Nebo malý hotel, pokud přijde o data klientů, kde jsou i údaje z ověření osobních dokladů.

ICTS24

Risk manager Maxima pojišťovny Radek Rolenec uvádí, že rozsah požadovaného krytí by u zodpovědného podnikatele či firmy měl vycházet především z analýzy jeho rizik a potřeb, a to jak co do rozsahu, tak i co do potřebné výše pojistného krytí, tedy škod, které reálně hrozí právě v jeho konkrétním případě. Především výše pojistných limitů je podle něj často oblastí, která je ze strany klientů pojišťoven podceněna.

Eva Svobodová upozorňuje, že pojistné krytí je potřeba nejen stanovit a zvolit, ale také pravidelně aktualizovat v souladu s rozvojem firmy, ale i s rozvojem kyberkriminality.  Podle ní je třeba komplexní risk management: kde je organizace zranitelná, jak zálohuje, kde se propojuje s veřejným prostorem, jak si stojí dané odvětví. A roli hraje také velikost firmy a její věhlas, stejně jako její produkty. „Vždy je třeba řešit tuto oblast s interními nebo i externími odborníky na kybernetickou bezpečnost. Vyplatí se i pravidelné školení zaměstnanců, jak zacházet s neznámými e-maily nebo požadavky na sdělení citlivých údajů,“ radí závěrem.