Co potřebuje pojištění kybernetických rizik pro svůj lepší start?

Problems

Žijeme v revoluční době, kdy digitalizujeme všechny typy informací, masivně nasazujeme zařízení trvale spojená s internetem a zavádíme rozličné cloudové informační systémy a webové služby. Trendy při rozšiřování IoT a aktivity Industry 4.0 také vedou k prudkému nárůstu online softwarově řízených zařízení v průmyslu, dopravě, logistice a v dalších tradičních oborech. Díky této transformaci se tak do řízení firem a organizací stále hlouběji promítají požadavky na kybernetickou bezpečnost a zvládání nových IT rizik.

Kybernetická bezpečnost je v dnešních firmách či organizacích tradičně nastavena jako standardizovaná omezení, která jsou doplněna k existujícím podnikovým procesům. Tato omezení jsou vesměs zajištěna technologickými a organizačními opatřeními a spadají téměř výlučně do pravomocí IT. Praxe ale ukazuje, že takové vnímání kybernetických rizik je zastaralé. Moderní přístupy v řízení podniků proto považují zabezpečení IT za nezbytnou podmínku k zajištění správného fungování všech firemních procesů. Podle hierarchického postupu definuje základní politiky bezpečnosti management, který je za zajištění ochrany informací a informačních systémů společnosti zodpovědný. Techničtí a další pracovníci pak zavádějí do praxe opatření, která provádění těchto politik zajistí tak, aby se kybernetická bezpečnost dotkla opravdu každého pracovníka.

Kybernetická bezpečnost je také těsně spjata s řízením podnikových rizik. Kybernetické incidenty dokáží závažně poškodit nejen primární business firem, ale způsobují vedlejší škody jako je ztráta pověsti, pokuty, právní spory a další. Část takových rizik spojených s kybernetickými událostmi dokáží některé pojistné produkty, které jsou již dnes na trhu, ošetřit. Nicméně pojišťovny s těmito pojistnými produkty řeší poměrně zásadní problémy. Nemají totiž na rozdíl od majetkového, životního nebo automobilového pojištění dostatečné množství údajů k tomu, aby pro výpočet rizik v kyberprostoru vytvořily funkční matematické modely. Je proto zapotřebí, aby k úvodnímu hodnocení rizikovosti klientů používaly dostatečně spolehlivé nástroje, které by jim pomohly firemní kybernetická rizika ve větší míře pojišťovat.

Trh s kybernetickým pojištěním má dnes slušný potenciál k růstu. Na druhou stranu jsou zde problémové oblasti, které mohou tento růst zpomalit a rovněž omezit možnosti využití pojištění v řízení podnikových kybernetických rizik. Momentální diskuze pojišťoven nad tématy kolem pojištění kybernetických rizik se tedy soustředí do tří základních aspektů: hodnocení rizik, posouzení škod a definice podmínek bezpečnosti, které mají zajistit bezpečnost pojištěnce během pojištění.

Odhad rizikovosti budoucího klienta

Posouzení rizik v oblasti informačních technologií je mimořádně složitou činností jak pro velké společnosti, tak i pro střední a malé firmy. Posouzení rizik souvisejících s kybernetickými událostmi obecně zahrnuje pravděpodobnost výskytu této událostí a možné negativní dopady, které by tato událost mohla na činnost podniku vyvolat. V tradičních typech pojištění, které se týkají škod způsobených požárem, záplavami, krádeží a automobilovými nehodami je hodnocení rizik relativně jednoduché. Pro všechny tyto oblasti existuje velký počet případů, které umožňují vyhodnotit rizika na statisticky relevantních údajích. Vedle těchto statistik navíc existují přehledy materiálních škod, které také lze objektivně posoudit. Podobná hodnocení jsou v oblasti kybernetických rizik zatím velmi složitá.

Pojišťovny se tedy snaží úvodní rizika klientů hodnotit různými nástroji. Nejčastěji to jsou poměrně složité a hluboce strukturované dotazníky, které již od prvního pohledu mohou klienta spíš odradit než přesvědčit k uzavření takové pojistky. Pomoci by ale mohly technologické analytické nástroje, které rizikovost klienta dokáží odvodit nebo dokonce z jeho současného chování předvídat.

Posuzování reálných škod

Dalším důležitým faktorem pro poskytování kybernetického pojištění je schopnost správného posouzení škod způsobených neúmyslným jednáním, nehodou, zlým úmyslem nebo kybernetickým útokem. Je ale zatím málo případů, kdy je toto hodnocení proveditelné a objektivní. V současné praxi se může jednat například o posouzení škod v rámci Pojištění přerušení provozu, kdy kybernetická událost způsobí nedostupnost webu elektronického obchodování sice na omezenou a měřitelnou dobu ale v exponovaném čase, kdy se realizuje množství obchodů.  V takovém případě lze škody vypočítat analýzou obratu, který tento elektronický obchod vytvořil v obdobných obdobích. Ve většině dalších případů však toto hodnocení není vůbec jednoduché a je mnohdy třeba použít pro dokazování složité a nákladné forenzní vyšetřování.

Samostatnou kapitolou jsou také pojistné podvody, jejich vyšetřování a prokazování.  Zde by velmi významnou měrou pomohl jakýsi registr kybernetických rizik, který by společně využívaly nejen pojišťovny pro evidenci kybernetických incidentů, pojistných podvodů a jejich příznaky, způsobů vyšetřování apod.

Jak na definici pojistných podmínek

Naprostá většině incidentů a kybernetických útoků se dnes děje díky neúmyslné spoluúčasti zaměstnanců firem a organizací. Podvody jsou často prováděny například prostřednictvím podvržených e-mailů s falšovanými odesílateli, které nedostatečně edukovaní zaměstnanci nevědomky otevřou. Další časté případy zahrnují malware nebo ransomware, který ve firemních počítačích a sítích nainstalují a spustí pracovníci, kteří rádi klikají na „lákavé“ odkazy v phishingových e-mailech. Typickým případem z nedávné minulosti je ransomware WannaCry, který byl replikován na stovkách tisíc počítačů díky neprovedené aktualizaci operačních systémů Windows. Tu přitom vydal Microsoft o několik týdnů před tím. WannaCry proto zasáhl pouze jen ty společnosti, které řádně nezajistily aktualizace svých počítačových nástrojů.

Lze pokračovat výčtem dalších prohřešků, které má na svědomí právě chování uživatelů. Ty se dějí zejména proto, že není důsledně šířeno důležité bezpečnostní povědomí mezi zaměstnanci. Na pojišťovnách pak je, aby přístup k budování bezpečnostního povědomí kontrolovali jednak při úvodním hodnocení rizikovosti klienta. A dále zvážili zahrnutí klíčových podmínek a pravidel kybernetické bezpečnosti i do svých smluvních podmínek a výluk.

Velký prostor pro rozvoj a inovativní řešení

Navzdory výše popsaným úskalím je i tak zřejmé, že trh s pojištěním kybernetických rizik se připravuje na výrazný růst v blízké budoucnosti. Aby byl tento růst zajištěn a pojišťovací produkty rovněž přispěly ke správnému řízení kybernetických rizik ve společnostech a organizacích různých velikostí, je třeba již dnes připravovat podpůrné nástroje a technologická řešení, definovat nové strategie a metodiky. Tak bude možné získat přesnější hodnocení různých typů rizik vyplývající z využívání informačních technologií, a zajistit flexibilitu nastavení pojištění na zatím neznámé typy rizik a nebezpečí.

Petr Moláček, petr.molacek@principal.cz
Daniel Konečný, daniel.konecny@principal.cz