5 vážných kybernetických rizik, na které si je třeba dát při sjednávání pojištění pozor

Z pohledu dnešních pojištěnců se kybernetická rizika zdají často neuchopitelná a zdánlivě neubránitelná. Přesto je to dnes reálná hrozba, které se musí podniky a organizace všech typů a velikostí přizpůsobovat. A stejně tak se musí přizpůsobit pojistitelé, pokud kybernetická rizika chtějí efektivně a pokud možno co nejjednodušeji pojišťovat. Problém ale je, že software, technika, sítě a celý ekosystém prostě tak jednoduše nefunguje.

ilustr

Kybernetické rizika se totiž vzájemně prolínají a společně zesilují. A stejně tak společně působí s dalšími známými riziky jako je třeba poškození majetku, zpronevěra a nedbalosti zaměstnanců, poškození reputace, odpovědnosti za újmy a dalšími riziky. Taková kombinace pak může způsobit poměrně široké spektrum ztrát.

A tak se software, počítače a sítě stávají v podstatě hlavním jádrem různých typů hmotných škod. A to přirozeně vyvolává řadu otázek. Velká skupina dotazů se například týká toho, jaké politiky a postupy pojišťovna použije při událostech kdy došlo jak k „digitální“, tak i k fyzické škodě. Zkusili jsme proto sestavit pět oblastí kybernetických rizik, kde může docházet k „šedým zónám“ v existujících pojistných krytích.

1.  Infiltrace průmyslových systémů může vést k vážnému poškození majetku

Schopnost hackerů narušit podnikovou síť různými způsoby není nic nového. Pokud je jejich cílem způsobit fyzické škody, nikoliv jen ukrást data, mohou ve firmě například napadnout průmyslové řídící systémy a způsobit tak vážný problém.

Z praxe je také známa řada případů. V roce 2014 byl kybernetickým útokem způsoben požár a následné zničení ocelárny v Německu, když byla zvýšena rychlost výrobních zařízení. Ta se díky tomu přehřála natolik až explodovala. Stejně tak jsou známy případy nedávného napadení a vyřazení ukrajinské energetické sítě.

Pojištění majetku zvládá v takových případech pouze krytí výsledných fyzických škod, bez ohledu na příčinu. Ale samotná fyzická škoda je jen jedna část celkové škody.

Postižená firma bude totiž také muset vyšetřit, jak hackeři získali přístup k jejich systémům a zda ukradli nebo změnili jakákoliv další data z obchodního nebo výrobního procesu. Náklady na forenzní šetření, obnovení dat, oznámení a jakékoli další nároky vzniklé z odpovědnosti vůči třetím stranám by rámci pojištění majetku nebyly kryty. Bez toho, že jsou pojištěny i kybernetická rizika, by pak jakýkoliv incident fyzického poškození majetku způsobený počítačovým incidentem, byl poměrně omezen.

Pojištění kybernetických rizik by mělo zahrnovat i problémy s vlastní sítí, kdy vznikne škoda třetím osobám. Nejčastěji to může být při zcizení osobních údajů nebo při proniknutí malwaru z vlastní sítě do sítě a počítačových systémů třetí osoby. Náklady na nápravu takových vlastních škod při porušení vlastní sítě, jako jsou náklady na vyšetřování nebo na technický zásah, by měly být z pojištění kryty.

2.  Sociální inženýrství rozšiřuje možnosti krádeží a podvodů

Hackeři se vypracovali na mistry při napodobování profesionálních e-mailů, přes které žádají o převody finančních prostředků ať z pozice klienta nebo obchodníka. Daří se také podvrženým mailům, kdy se hackeři tváří jako šéf, který úkoluje podřízeného. Takto podvedený zaměstnanec si často chybu vůbec neuvědomí. A když se na to přijde, zloděj, který po sobě včas a dobře zametl digitální stopy, je s penězi dávno fuč.

Pokud jde o pojistné řešení finančních podvodů, tento typ krádeží ale vytvořil mezery na pojistném trhu. Pojištění proti zpronevěře nebo odcizení peněz často nezahrnuje ztrátu vyplývající ze sociálního inženýrství. Problém tedy nastane, když podvedený zaměstnanec peníze nakonec v dobré víře převedl. Sjednávané pojištění proti zpronevěře kryje pouze podvody, odcizení peněz nebo cenin vlastními zaměstnanci.

A pokud pojistné krytí sociálního inženýrství na trhu již existuje, má omezené použití. Hackeři totiž určitě brzy naleznou nový způsob, jak firmu poškodit. Pomoci mohou komplexní pojišťovací produkty pro krytí podvodů způsobených sociálním inženýrstvím, zpronevěrou, krádeží a dalšími kriminálními činy.

3.  IoT a kryptoměny zvyšují rizika vydírání

Když se poprvé objevily vyděračské útoky prostřednictvím ransomwaru, bylo to spíš takové osahávání terénu. Útoky byly řídké a útočníci požadovali relativně nízké částky. Firmy, které už měly vyspělá pravidla pro zálohování, věděly, že podobné útoky přečkají bez toho, aby platily výkupné. A nebyly ani dostatečně významné na to, aby vyžadovaly zásah např. do tehdejšího pojištění profesní odpovědnosti.

Dnes to již ale tak jednoduché není. A s příchodem internetu věcí (IoT) se s ransomwarem doslova roztrhl pytel. Pokud firmy nepoužívají VPN pro spojení se zařízeními a systémy provozovanými mimo vlastní podnikovou síť, jsou díky řadě slabin pro vyděrače velkým lákadlem.

Podobným hnacím motorem vydírání je také nástup kryptoměn. Stále více hackerů totiž požaduje platbu výkupného např. v bitcoinech. Vzhledem k tomu, že transakce kryptoměn nejsou na dosavadním trhu snadno zmapovatelné, pojišťovny budou potřebovat přístup k obchodníkům s těmito měnami. Předně pro případné uhrazení výkupného, jehož krytí zajišťuje pojištěnci pojistné podmínky pojišťovny.

Dříve vyděračům stačilo pár desítek tisíc korun. Dnes agresivní vyděrači ale už chtějí mnohem více. Kryptoměny přispěly k tomu, že se tyto částky zdvoj, ztroj a zvícenásobily. Pro firmy, které už mají s ransomwarem zkušenost, je takové pojištění významná nutnost. Pojištění kybernetických rizik by bez krytí za vydírání totiž mohlo skončit jednak zklamáním z pojištění a především velkými ztrátami.

4.  Úniky dat ohrožují reputaci společností

Řada známých a popsaných úniků dat ukazuje, jak může kybernetický útok způsobit veřejnou ztrátu důvěry ke společnosti či organizaci, zejména když provádí zpracování osobních údajů. Nedávným příkladem z Česka mohou být T-mobile nebo Mall. Další čerstvou obětí velkého úniku osobních údajů je i British Airways již při aktivitě legislativy GDPR.

Manažeři firem, by si měli uvědomit, že negativní publicita spojená se ztrátou či únikem dat důvěru značky skutečně poškodí. A to samozřejmě negativně ovlivní obchod a vlastní fungování firmy či organizace.

Kvantifikování dopadu negativní publicity při úniku dat je ale poměrně obtížné. Nicméně již nyní se používá několik metod.

Je například možné porovnávat obchodní výsledky s minulými obchodními obdobími. Zjištěné ztráty bude pravděpodobně možné připsat cyber události. Nicméně i zde je třeba zohledňovat řadu dalších parametrů. A bude na jednotlivých pojišťovnách a jejich likvidátorech, co vše vezmou v úvahu a jakou metodu zvolí.

Pojištěncům je dobré doporučit, aby při tyto podmínky při sjednávání pojistky ověřili. Aby si tak ujasnili, zda jsou finanční ztráty z poškození pověsti kryty a jak budou tyto ztráty vypočteny.

5.  Zpracování a ukládání osobních údajů zvyšuje riziko odpovědnosti za újmy

Obecně se má za to, že únik osobních údajů je velká hrozba pro finanční instituce, nemocnice, eshopy a další organizace, které jsou velkými správci osobních údajů. Při hlubším pohledu ale zjistíme, že zajímavým terčem mohou být i mnohem menší firmy, které s kybernetickými riziky spíše nepočítaly.

Takovými firmami mohou být například společnosti s odbornými službami jako jsou například advokátní kanceláře, účetní firmy, finanční poradci, specializovaní lékaři a další. Pokud u nich dojde k úniku osobních údajů jejich klientů, mohou očekávat nákladné soudní spory.

Pokud mají manageři pojištění profesní odpovědnosti, pravděpodobně budou tyto právní náklady kryty. Na druhou stranu toto pojištění se nebude vztahovat na vlastní škody, které souvisí se samotným únikem dat včetně výdajů na vyšetřování, oznámení a nápravu apod.

Pomůže trvalý monitoring a vyhodnocování kybernetických rizik

Kybernetické rizika se vyvíjejí mnohem rychleji než všechna ostatní rizika, se kterými doposavad pojišťovny pracovaly. Aby byly tedy pojištěnci dostatečně chráněni, musí pojišťovny vývoj rizik sledovat a pravidla a podmínky úpisu vývoji těchto rizik přizpůsobovat.

Do celého procesu monitoringu rizik a jejich úpisu budou stále šířeji zapojovány i technologické společnosti, které se bezpečností a hodnocením rizik zabývají. Ty by měly spolu s pojišťovnami připravit dostatečné podmínky ke krytí stávajících a také nových rizik. Stejně tak by měly pojišťovny a pojištěnce podpořit při případných forenzních šetřeních, technické podpoře při návratu do provozního stavu a také při zvyšování jejich odolnosti. Pojištěné firmy by také měly svoje kybernetická rizika pravidelně hodnotit. A podle toho zajistit jednak dostatečná technickoorganizační opatření a také přesunout část definovaných rizik právě na pojišťovny.

Petr Moláček, petr.molacek@principal.cz
Daniel Konečný, daniel.konecny@principal.cz