Likvidace a nároky pojistných plnění: co se děje, když dojde k úniku dat?

cyber-claim-form-520x245

Pojištění kybernetických rizik je v Česku spíš v ranných začátcích. Nicméně už nyní se potenciální klienti tohoto nového typu pojištění ptají, jak budou pojišťovny v případě pojistné události plnit jejich nároky na pojistné plnění. Proto se případům ohrožení, narušení nebo zničení dat a jejich šetření snaží stále více pojistitelů a pojištěnců lépe porozumět.

Při šetření kybernetické pojistné události hrají důležitou roli vyšetřovací týmy. Vedle vlastního zjišťování okolností narušení dat je také jejich úkolem co nejefektivněji provést postiženou firmu či organizaci procesem reakce na kybernetickou událost. Proto se pojišťovny kvůli možné složitosti těchto událostí snaží své týmy sestavit jak z odborníků na IT bezpečnost ale také z právníků, risk manažerů nebo specialistů na krizové PR.

Stejně tak se členové týmu musí orientovat v oblasti pojištění. Celá řada pojistných produktů může totiž zahrnovat aspekty kybernetických rizik. Ať to jsou samostatná pojištění kybernetických rizik, obecné pojištění odpovědnosti, pojištění profesní odpovědnosti, pojištění D&O a další smíšené produkty. Každé z těchto pojištění podléhá dalším omezením, sublimitům, výlukám apod.

Je také důležité si uvědomit, že pojistky zejména pro velké klienty často kombinují služby více pojistitelů. To bude třeba zohlednit při řešení požadavků třetích stran. Tým určený k šetření nároků pak může být zodpovědný i za koordinaci požadavků třetích stran dle podmínek jednotlivých pojistitelů.

Reakční tým je tedy důležitým propojovacím bodem mezi pojistitelem a pojištěncem. Proto je důležité, aby pojištěnci předem věděli, kam se v případě události obrátit. Což je důležité zejména u velkých organizací, které mají významné pojistné limity.

Jaký je životní cyklus reakce na narušení dat

Hlášení pojistné události a uplatnění nároku na pojistné plnění je vyvoláno narušením kybernetické bezpečnosti, poškozením, krádeží, ztrátou nebo zneužitím dat nebo osobních údajů. Povinností pojištěnce je oznámit tuto událost pojistiteli nebo svému agentovi. Vzhledem k tomu, že se negativní dopady narušení bezpečnosti dat včetně nežádoucí publicity mohou šířit velmi rychle, měl by po oznámení události co nejdříve následovat návrh řešení reakce.

Po oznámení události musí začít šetření. To bude zahrnovat forenzní a právní analýzu. Jejich rozsahy a složitosti budou se budou řídit velikostí a hodnotou potenciální ztráty.

Forenzní šetření má za úkol odhalit technické aspekty porušení zabezpečení, včetně použitých metod, rozsahu narušené bezpečnosti a dopadů na pojištěnce a třetí stranu. V závislosti na složitosti infrastruktury IT pojištěnce a rozsahu narušení budou odborníci z technického týmu pojistitele, nebo jejich externí spolupracovníci, spolupracovat s IT managementem pojištěnce.

Komplexní forenzní vyšetřování budou zajišťovat vlastní nebo externí odborníci s expertními znalostmi v oblasti šetření kybernetických incidentů, odstraňování následků a prevence kybernetické bezpečnosti.

Při úvodní reakci na kybernetickou pojistnou událost spojenou s únikem dat je nutné pamatovat na povinné hlášení úniku osobních údajů. Od 25. května 2018 podle čl. 33 Obecného nařízení o ochraně osobních údajů budou pojištěnci povinni v případech porušení zabezpečení osobních údajů bez zbytečného odkladu a pokud možno do 72 hodin od okamžiku, kdy se o něm dozví, ohlásit porušení dozorovému úřadu. Podle čl. 34 pak bude nutné také oznámení samotným poškozením. Tyto náklady mohou být v případech rozsáhlých úniků poměrně vysoké.

Po úvodním šetření nahlášené kybernetické pojistné události a odhadu škody by měl pojištěnec také obdržet od pojistitele tzv. “krycí dopis“ s jejím vyjádřením k rozsahu krytí nároků pojistných plnění.

Jakou hodnotu má pro klienta komplexní služba

Souběžně s forenzním šetřením incidentu se také začne formovat plán následné reakce. V závislosti na povaze narušení zabezpečení to může také zahrnovat informování osob postižených únikem dat, monitorování výskytu zneužití dat, nápravu vztahů s veřejností, obnovu dat, zvýšení ochrany systému a zavedení nových bezpečnostních produktů, služeb a postupů, jakož i nácvik reakce na narušení kybernetické bezpečnosti. Náklady se tak mohou rychle zvýšit a tým likvidace pojišťovny je zodpovědný za koordinaci všech těchto činností a za zaplacení všech faktur. Stejně tak by pojištěnci měli k dispozici průběžně aktualizovaný stav čerpání poskytnutého krytí.

Po došetření a naplánování odezvy se zaměření přesouvá na zajištění ochrany pojištěnce. Ta v rámci kybernetické události totiž zahrnuje vedle technicko-organizačních opatření i ochranu v možných soudních sporech, v řízení s regulačními orgány ohledně pokut a sankcí, v minimalizaci poškození pověsti, omezení ztráty příjmů a dalších.

Přitom je třeba koordinovat s pojišťovnou využití doporučených nebo vlastních právních zástupců.  Pojišťovny mohou souběžně pracovat na předčasném řešení v rámci řešení nároků prvních a třetích stran prostřednictvím mimosoudních vyjednávání.  V opačném případě se nároky postoupí soudu.

Likvidátoři kybernetických pojistných událostí by tedy měli mít hluboké znalosti s  řešením kybernetických událostí. A dobře by měli také rozumět pojistným podmínkám a smlouvám k řešení škod vlastních a škod třetích stran. I v českých podmínkách je logické, že pojišťovny budou postupně budovat kompetenční centra ať již spolu s partnery či interně, aby likvidaci kybernetických pojistných událostí hladce zvládly.

Klíčová doporučení pro pojištěnce:

  • Zjistěte, kde je vaše kontaktní místo u vašeho pojistitele, zprostředkovatele, nebo agenta, které se zabývá podporou klientů a likvidací škod z kybernetické události.
  • Snažte se důkladně porozumět službám a podmínkám pro řešení událostí narušení dat, které vám váš pojistitel poskytne.
  • Likvidátoři kybernetických pojistek by měli být odborníky na kybernetickou bezpečnost a měli by rovněž dobře porozumět pojistným podmínkám ohledně vlastních nároků pojištěnce a nároků třetích stran. Pojistitel by měl zajistit dostatečnou kvalitu svých služeb.
  • Zaměřte se na pojistitele, který má dostatečné zkušenosti s pojišťováním organizací, které mají podobnou velikost, jakou má vaše firma či organizace.
  • V případě kybernetické události informujte všechny vaše poskytovatele pojištění. Mohlo by se jednat o krytí i dalších událostí, než na jakou je nastavena vaše kybernetická pojistka.

Klíčová opatření pro pojistitele:

  • Informujte své klienty předem o tom, koho kontaktovat a jak podávat informace o kybernetických událostech
  • Seznamte se s klienty při podepisování kontraktu a proveďte je procesem reakce na kybernetickou událost
  • Ujistěte se, zda pojištěnci rozumí službám, které mají od vás k dispozici
  • Důkladně se předem seznamte s působením kybernetických rizik u vašich klientů, abyste se v případě narušení jejich dat vyvarovali chyb.

Petr Moláček, petr.molacek@principal.cz
Daniel Konečný, daniel.konecny@principal.cz