Pozor na Silent Cyber! Aneb reálná hrozba skrytých kybernetických rizik

Thumb Silent Cyber2

Firmy se obvykle pojišťují v řadě oblastí, jako je majetek, obecné odpovědnosti až po speciální profesní odpovědnosti. Pokud se něco pokazí, zástupce společnosti běží za poskytovatelem pojištění a domáhá se pojistného plnění. A může se stát, že se pojišťovny domnívají, že svým pojištěncům ve sjednaném pojištění kryjí pouze smluvený rozsah krytí. To ale nemusí pravda.

Kdy nastane „Silent Cyber“?

„Silent Cyber“ je stav, který nastane v situaci, v níž pojištěný předpokládá, že mu bude poskytnuto krytí kybernetických rizik bez ohledu na to, za jakých smluvních podmínek mu pojistitel krytí poskytne. Jinými slovy, „Silent Cyber“ udeří na pojistitele, když závěry soudu jsou ve prospěch pojištěnce, protože jeho pojistná smlouva jasně krytí kybernetických rizik nevylučuje.

Poskytovatelé pojištění mají v podstatě tři možnosti, jak problematiku „Silent Cyber“ řešit:

  1. Mohou afirmativně poskytovat samostatné produkty pro krytí kybernetických rizik. Je to na jednu stranu příležitost, jak uvádět na trh odlišné produkty, ale není to zatím příliš běžný přístup. Pokud pojistitelé poskytují pojištění kybernetických rizik, tak jej vedou jako samostatné krytí bez toho, aby bylo zahrnuto v jiné produktové řadě pojištění.
  2. Mohou zůstat neutrální v jakémsi status quo. Pojistitel se může rozhodnout vytvořit mlhu, ve které netvrdí, že kybernetická rizika kryje ale ani to nepopírá. Tento stav je ale poměrně rizikový a pojišťovna musí mít dobré důvody k tomu, aby uzavírala pojistné smlouvy v podobném duchu.
  3. Mohou kybernetická rizika ze všech svých pojistných podmínek striktně a jasně vyloučit. To je poměrně častý jev a dělá to tak stále více pojišťoven. Zde je třeba věnovat pojistným podmínkám poměrně velkou péči, protože v IT světě je mnoho situací, které lze chápat v rozdílných situacích rozdílně.

Tyto tři možnosti se zdají celkem racionální, ale jako je to v běžném životě – všechno může být jinak. Pokud byly pojistné podmínky napsány pro pojistný produkt před 10 ti nebo i 5 ti lety, jejich jazyk nebude natolik aktuální, aby vyhovoval současným technologiím a situaci na trhu. To si někteří poskytovatelé prostě neuvědomují nebo váhají s aktualizací formulací pojistných podmínek. Tím ale můžou slušně frustrovat makléře, kteří jejich pojištění nabízejí.  A zákazníci, kteří u nich s požadavky na jasnou formulaci nepochodí, si prostě najdou pojišťovnu, která jim vyhoví.

Kde se často „Silent Cyber“ vyskytuje

Obecná pojištění odpovědnosti za újmy z vlastnictví nemovitosti nebo způsobené činností firmy mohou rovněž zahrnovat škody na majetku třetích stran vzniklé v důsledku bouří, přírodních katastrof nebo vyšší moci. Mnoho pojištěnců se také doposud domnívá, že by podle stávajících smluvních podmínek měly být podobně kryty i kybernetické události v případě, že vedou k poškození majetku třetí osoby nebo k fyzickému zranění nebo smrti osob.

Pojištění podnikání proti nečestnému jednání zaměstnanců nebo pojištění pro případ zneužití důvěry (proti zpronevěře) často pokrývá situace, kdy banky a další podniky v důsledku podvodu nevědomky provádějí finanční transfery. Buď jsou změněny cílové účty, na které jsou peníze převáděny, nebo jsou změněny pokyny k platbě. Často jsou úmyslně měněny jak účty, tak i pokyny současně. Tento druh podvodu je často páchán hackerem, který získá přístup k e-mailové autorizaci ředitele nebo jiného výkonného pracovníka v organizaci, kterou hacker žádá o převod. Tradičně samostatná kybernetická pojištění tyto situace nepokrývají. Pojišťovna se tak může octnout v „Silent Cyber“ situaci, kdy nemá v úmyslu poskytovat pojistné krytí nečestného jednání zaměstnanců nebo fraud, protože ale nežádoucí případy kybernetických událostí nejsou vyloučeny nebo jinak ošetřeny, musí plnit.

Co tedy ze „Silent Cyber“ vyplývá

  1. Uvědomte si, že nejednoznačnost pojistných podmínek, pokud jde o krytí kybernetických rizik, může způsobit stav „Silent Cyber“, když ho nejméně očekáváte. Ideálním stavem je exaktní definice vašeho krytí kybernetických rizik. To znamená buďto je vyloučit nebo potvrdit, ale rozhodně nezůstat v neutrálním stavu. Nejasnosti činí věci mnohem obtížnější jak pro vaše zákazníky, tak pro makléře, kteří se jim pojištění pokoušejí prodat.
  2. Pokud řídíte v pojišťovně více produktových linií, iniciujte diskuzi s kolegy nekybernetických pojistných produktů. Je třeba kolegy např. z pojištění majetku, podnikání nebo odpovědnosti dobře a srozumitelně informovat o skrytých hrozbách kybernetických rizik. Dále s nimi diskutujte jejich pojistné podmínky a rozsah krytí a pomozte jim při úpravě produktů s ohledem na možná skrytá kybernetická rizika. Stejně tak budou potřebovat pomoc při formulaci argumentů pro správné informování jejich klientů.
  3. Spolupracujte s odborníky a připravte v rámci rozšíření portfolia o kybernetická krytí i další služby pro vaši organizaci. Může se jednak například o různé typy školení, metody hodnocení kybernetických rizik, podporu klientů a prevenci. Pomůže Vám to lépe řídit vaše portfolio kybernetických a nekybernetických pojistných produktů a zvyšovat ziskovost obchodů.

Petr Moláček, petr.molacek@principal.cz
Daniel Konečný, daniel.konecny@principal.cz