Jak využít certifikace ISO 27001 k řízení bezpečnosti informací pro pojištění kybernetických rizik?

 ISO-27001-risk-management2Pojišťovnictví je dlouholetý business postavený na čase a na informacích o dějích, které se v tom čase udály. Kybernetická bezpečnost je na druhou stranu relativně nový obor s rychlým vývojem rizik a protiopatření. Ale především s velmi omezeným množstvím dat, které by pomohly pojišťovnám pochopit četnosti, dopady a závislosti.

Pojištění kybernetických rizik, které by pojišťovny dnes chtěly podnikatelům tak moc nabízet, trpí skutečným nedostatkem dat, které by pojišťovny mohly pro úpisy jinak využít. Pojišťovnictví je přitom jedním z nejvíce regulovaných odvětví s poměrně exaktními pravidly pro definici pojistných produktů a vzájemný vztah pojišťoven a zákazníků. Neznalost dat a tedy vysoká rizikovost pro pojišťovnu je pak jedním z důvodů, proč ceny za pojištění kybernetických rizik mohou být poměrně vysoké.

Více než čtyři roky se zabýváme problematikou pojištění kybernetických rizik. Spolupracujeme se zahraničními zajišťovnami při implementaci jejích produktů u lokálních pojišťoven. Podílíme se na vývoji metodik hodnocení rizik kybernetické bezpečnosti, které pojišťovnám slouží k posouzení rizikovosti klientů. Rovněž pojišťovnám dodáváme školící programy pro jejich produktové pracovníky a obchodníky k podpoře pojištění kybernetických rizik. Stejně tak spolupracujeme s klienty při implementaci požadavků normy ISO/IEC 27001 do jejich systémů řízení bezpečnosti informací a požadavků kybernetického zákona, který z této normy vychází. Tato norma také přímo pojištění pro ošetření části zjištěných rizik doporučuje.

Protože tuto normu chápeme jako základní a prověřenou metodiku a nástroje k zajištění potřebné úrovně kybernetické bezpečnosti firem a organizací, usilujeme o její využití i v nástrojích a službách pro pojišťovny. Vidíme v tom velkou výhodu, protože díky tomu mohou pojišťovny použít řadu standardizovaných parametrů, podle kterých mnohem lépe posoudí, jaká je momentální úroveň kybernetické bezpečnosti jejich klientů.

Z tohoto pohledu doporučujeme pojistitelům, makléřům a jejich klientům, aby normu ISO/IEC 27001 a její implementaci do podnikového prostředí považovali za důležitý ukazatel pro posouzení klienta a jeho vhodnosti pro úpis pojištění kybernetických rizik.

Dosavadní zahraniční zkušenosti doporučují k posouzení vhodnosti úpisu pojištění kybernetických rizik SME firem čtyři klíčové oblasti z normy:

  • Angažovanost managementu společnosti v oblasti kybernetické bezpečnosti
  • Cílené vzdělávání a zvyšování povědomí o kybernetickém riziku
  • Investice do bezpečnostních technologií a jejich efektivita
  • Relevantní sdílení informací ve společnosti

Pro úplnost a pro zájemce uvádíme, že norma ISO/IEC 27001 je pro jednotlivé oblasti poměrně exaktní a má významné definice v těchto svých článcích:

  • Úloha managementu při zajišťování kybernetické bezpečnosti je definována v článku 5 – Vůdčí role.
  • Cílené vzdělávání a zvyšování povědomí je řešena ve článcích 7.2 – Kompetence, 7.3 – Povědomí a A 7.2.2 Povědomí, vzdělávání a školení bezpečnosti informací.
  • Investice do technologií jsou řešeny v článku 7.1 – Zdroje“ a 9.1 – Monitorování, měření, analýza a hodnocení.
  • Relevantní sdílení informací je řešeno v článcích 7.4 – Komunikace, A.6.1.3 – Kontakt s příslušnými orgány a autoritami a A.16.1 – Řízení incidentů informační bezpečnosti a zlepšování.

Z pohledu Česka jsou dle Zákona o kybernetické bezpečnosti povinni provést bezpečnostní audit především provozovatelé služeb a informačních systémů v kritické infrastruktuře, zabezpečující chod státu. Dále provozovatelé základních služeb, kteří jsou rovněž zákonem určeni. Všichni tito provozovatelé logicky dále spolupracují s velkým množstvím menších podniků a organizací, které by měli rovněž splnit zákonné požadavky na bezpečnost smluvních dodavatelů. Mohou to být tedy tisíce firem, které by bylo možné pojistit na konkrétní kybernetická rizika.

Takhle systematicky se ale zatím v Česku žádná z pojišťoven na pojištění kybernetických rizik nedívá. Proto také doposud vidíme spíše laické marketingové výkřiky jako je pojištění pokut GDPR nebo naopak velice složitá až nereálná hodnotící kritéria rizik. Doufejme ale, že postupem času pojišťovny přejdou na smysluplnější obchodní modely pojištění kybernetických rizik, které by firmám při ošetření kybernetických rizik skutečně pomohly.

Petr Moláček, petr.molacek@principal.cz
Daniel Konečný, daniel.konecny@principal.cz