České společnosti pojištění kybernetického rizika přehlížejí, zatímco rizika stále stoupají

Risk Mitigation: The insurance solution

Kybernetické riziko je stále častější realitou našeho každodenního bytí. Druhy narušení a úniků dat jsou stále rozmanitější, tak jak jsou jejich tvůrci stále kreativnější. Ransomware je přitom dnes pátá nejčastější příčina napadení, přičemž náklady na vyplacení vyděračů a osvobození počítačů z jejich zajetí se od roku 2016 více než ztrojnásobily. A s počtem narušení firemních počítačových prostředí přitom logicky stoupají i náklady na jejich ochranu.

Přesto firmy na pojištění standardních aktiv (majetek, vybavení apod.) utrácejí mnohem více, než za pojištění kybernetických rizik. Zatímco v západní Evropě je to zhruba čtyřnásobek,  v Česku a ostatním regionu střední Evropy je z tento poměr ještě mnohem větší. A i když hodnota firemních aktiv v datech je dnes mnohonásobně větší než cena samotného hardwaru a dalšího vybavení, firmy takto stále stereotypně pohlížejí na ošetření rizik pro jejich podnikání.

Obchodníci se zkušenostmi s pojištěním cyber rizik přitom kladou velký důraz na to, aby si klienti nejdříve udělali vlastní domácí úkol, při kterém sami pochopí, jaká jim hrozí rizika. Teprve poté se mohou starat o správný produkt v oblasti cyber risk pojištění. Řada nových postupů v oblasti řízení firemních počítačových rizik jednak zohledňuje vlivy různých okolností, jako je míra zapojení managementu firmy, jak je kladen důraz na fyzickou kybernetickou ochranu firmy ale rovněž zahrnuje i pojištění těchto rizik. Díky tomu se investice do kybernetické bezpečnosti daří zvyšovat.

Na evropském trhu včetně Česka je již dnes řada pojištění, která poskytují krytí v případě ztráty dat a softwaru, vydírání, porušování integrity dat ale kryjí i fyzické škody, jako je smrt nebo zranění následkem kybernetické události. Nicméně stále zatím stále chybí porozumění a dostatečné vysvětlení toho, jaké kybernetické pojistky jsou pro jednotlivé případy rizik a událostí vhodné. Potíže způsobuje také neexistence alespoň základních standardů podmínek pojištění a stejně tak výluk nebo krytí.

Pravidla pro pojištění firem či organizací by tedy měla odpovídat konkrétním rizikům a jejich působením. A pokud by pojištění mělo být jednou ze základních součástí efektivního programu obrany proti kybernetickému riziku, bylo by třeba, aby si společnosti zajistily, že kybernetická bezpečnostní politika, kterou si prostřednictvím pojištění kupují, byla vhodná pro jejich specifické kybernetické riziko.

Návrh roadmapy pro postup při rozhodování o nákupu pojistky kybernetických rizik

  • Poznejte kritické obchodní procesy a rizika pro vaše aktivity a majetek
    • Pojištění cyber rizik může krýt taková specifická rizika, jako je například průmyslová špionáž, úmyslné škody zaměstnanců, případné pokuty v případě GDPR, krizovou komunikaci nebo forenzní vyšetřování. K prvním krokům by ve firmách mělo být sestavení jakéhosi seznamu (registru) rizik.
  • Vyhodnoťte působení rizik a jejich finanční dopady na vaši firmu
    • Hodnota těchto kritických stavů a jejich dopadů lze kvantifikovat například modelováním možných finančních dopadů (například jaký finanční dopad by mohl mít kybernetický útok, vedený na nezabezpečené a nechráněné systémy)
  • Rozhodněte se, zda vaše úroveň ochrany dostatečná
    • Posuďte, zda a jak lze případná zjištěná rizika zmírnit nebo odstranit. A dále vyhodnoťte, zda je požadovaná finanční ochrana v pojistné smlouvě v případě kybernetického incidentu dostatečná
  • Zaveďte pravidla a postupy ke zmírnění zjištěných rizik
    • Vyhodnoťte potřebu pojištění pro ta rizika, která nebudete moci vyloučit nebo zmírnit vhodnými pravidly nebo dalšími opatřeními.

Roadmapa

Petr Moláček, petr.molacek@principal.cz
Daniel Konečný, daniel.konecny@principal.cz