Kybernetické útoky pomáhají k růstu pojištění proti počítačové kriminalitě

cybercrime_insuranceFirmám a organizacím může útok hackerů způsobit finanční ztráty, ztrapnění mezi klienty a tvrdá jednání s právníky. Pro pojišťovny, které se teď rozhodnou vstoupit do nového světa počítačového zločinu, je to zatím bezplatný marketing k aktuální obchodní příležitosti za 10 miliard dolarů.

Několik nedávných rozsáhlých kybernetických útoků zesílilo potřebu tohoto pojištění. Pojistitelé vidí krytí proti hackerským útokům jako jeden ze svých nejslibnějších trhů, když odhadují, že platby za pojištění se v příštích čtyřech letech ztrojnásobí. Pro řadu globálně působících pojišťoven, jako například Allianz, je již dnes kybernetické pojištění klíčovou oblastí růstu.

Tato nová oblast pojištění přitom nemohla přijít v lepším okamžiku. Pojišťovny se dnes úporně snaží rozšiřovat svůj business na většině zavedených trhů při pomalém hospodářském růstu a nízkých výdajích za likvidace, které mají na jejich výnos největší dopad. Výnosy z pojistného přitom v minulém roce v Evropě víceméně stagnovaly a největší optimisti očekávají že příští rok vzrostou o necelých 1,3 procenta. Zajistitel Munich Re přitom odhaduje, že by pojistné kybernetického pojištění mohlo do roku 2020 vzrůst mezi 8,5 a 10 miliardami dolarů z dnešních 3,4 miliardy dolarů.

Velká naděje pro růst poptávky pojištění kybernetických rizik se přitom vkládá do nařízení GDPR, které začne platit v celé EU v příštím roce. Tato legislativa bude od společností a organizací pod hrozbou „mastných“ pokut striktně vyžadovat, aby řádně chránily osobní data a rovněž v předepsaném čase oznámily regulačnímu orgánu a postiženým osobám kybernetický incident a případný rozsah úniku osobních údajů.

Odborníci také přirovnávají kybernetické pojištění k tehdejšímu pojišťovacímu hitu, kterým bylo pojištění odpovědnosti (D&O) pro ředitele nebo členy managementů firem. Po nesmělých začátcích se pojištění D&O stalo v posledním desetiletí jedním z nejlépe prodávaným pojišťovacím produktem. Tento pojišťovací šlágr nyní představuje globální pojistné ve výši přibližně 10 miliard € (11 miliard USD).

Globální problém řízení firemních kybernetických rizik

V posledních letech se ve firmách a organizacích stala skutečným problémem kybernetická rizika. I když na jednotlivé oblasti hospodářství nebyly doposud vedeny široké destruktivní útoky, významně stoupá už tak vysoký počet menších ztrát způsobených kybernetickými incidenty.

Aktuálním hitem mezi kybernetickými útoky je ransomware, jehož výskyt narostl v loňském roce o více než 50 %. Ransomware je škodlivý software, který zločinci používají k zašifrování dat uživatele a k požadování „výpalného“ za odšifrování. Od loňského roku je zřejmý posun zaměření ransomwaru od jednotlivých uživatelů k podnikům a organizacím, kde zločinci očekávají vyšší finanční efekt. Nejčastějším cílem těchto ransomware útoků jsou dnes státní organizace a úřady, dále zdravotnictví a finanční služby.

V případě požáru, přírodních katastrof nebo fyzických krádeží měly pojišťovny celá desetiletí, aby nasbíraly data o rizicích a jejich průbězích. Počítačová kriminalita jim ale do jejich zvyklostí „hází slušné vidle“, když s každým rokem využívá nová a sofistikovanější schémata. S růstem škod je přitom dnes pro pojišťovny největší výzvou stanovení správné ceny za pojistku a limitů pro jejich krytí. Aby tedy pojišťovny zůstali ve hře ve stále více technologicky řízeném podnikatelském prostředí, měli by se s výzvami čestně popasovat a využít této příležitosti pro řízení firemních rizik.

Zahraniční pojišťovny s celosvětovou působností, které do moderního rychlovlaku pojištění cyber rizik již nastoupily, spolupracují při zajištění velkých rizik s globálními zajišťovnami. Pro představu se v praxi krytí zajišťovnou může na jednoho klienta vyšplhat například na (pro nás nepředstavitelných) 100 milionů €. Zajištění pojišťovny může být přitom poskytnuto například dvěma nebo více zajišťovnami.

Například vzniknul nárok, kdy hackeři získali přístup do infrastruktury nemocnice z mezinárodní sítě poskytovatelů zdravotní sítě. Zde ukradli jména, adresy a informace o zdravotním stavu minulých a současných pacientů z různých zemí. Odškodnění zahrnovalo informování ohrožených osob, náklady za reakci na incident, na vyšetřování a pokuty pro regulátora, náklady na krizové PR. V dalších případech nároky zahrnovaly například datové centrum pro online obchodníka, který jej byl nucen po útoku dočasně vypnout, obchodní systém výrobce automobilových komponent, který byl zašifrován a provozovatel byl vydírán výkupným.

Hrozba globálních „lavinovitých“ událostí

Pojišťovny se také shodují nad velkou společnou obavou, že globální počítačová událost, jakou může být ničivý virus šířící se z Asie do Evropy a USA nebo třeba selhání globálního poskytovatele cloudové služby, by mohl mít fatální dopad na velké množství společností, na které se vztahuje jeden typ pojistky nebo jsou pojištěny u jedné pojišťovny.

Příkladem může být třeba živelná pohroma jako je hurikán, který s pravděpodobností, že se stane jednou za 25 let, může velkou mezinárodní pojišťovnu stát až 150 milionů dolarů a celý pojišťovací průmysl zhruba 30 miliard dolarů. Vzhledem k nedostatku historických dat si ale málokdo troufne tipnout, zda při kybernetickém incidentu velkého rozsahu se ztráta 30 miliard dolarů stane jednou za 5 let, 15, 25 let nebo jednou za 100 let.

Evropa se konečně probouzí

Evropské pojišťovny začínají být díky silnému tempu růstu v oblasti kybernetického pojištění konečně optimističtější, než dříve. Jednou z příčin je také růst cen za kybernetické pojištění.

V USA, kde je trh kybernetického pojištění nejrozvinutější,  celková výše pojistek na kybernetická rizika roste již 10 čtvrtletí za sebou. Sazby většiny ostatních globálních pojišťovacích produktových streamů přitom pokračovaly v poklesu.

Řada firemních klientů, které si obstarávají kybernetické krytí pro své aktivity, požadují dnes především krytí pro zničení nebo narušení dat. Přichází ale doba, kdy se klienti začínají pídit i po velkých, holistických kybernetických programech, které pokryjí vše, od zničení nebo narušení dat po poškození majetku a přerušení podnikání.

Na závěr uveďme jeden příklad z praxe. Mezinárodní výrobce kabelů Leoni se sídlem v Německu a pobočkami ve střední Evropě přišel v loňském roce o 40 milionů € díky tomu, že podvodníci používali falešnou elektronickou komunikaci, aby pronikli do účtů výkonnému řediteli a následně převedli hotovost na zahraniční účty. Nakonec firma získala asi 5 milionů € z pojištění zpronevěry. Společnost sice měla dostatečné kybernetické pojištění, ale to se neuplatňovalo, protože podvodníci nenarušili systémy společnosti. Je proto třeba se při sjednávání pojistky na kybernetická rizika zamyslet, jaké hrozby firmě hrozí a co může pojistka reálně krýt.

Petr Moláček, petr.molacek@principal.cz
Daniel Konečný, daniel.konecny@principal.cz