Šedé zóny pojištění kybernetických rizik

Smysluplný úpis kybernetických rizik je poměrně věda. Stále existují mnohá šedá místa, na která se budou ještě dlouho hledat odpovědi a řešení. Pojištění kybernetických rizik by přitom dnes, kdy zatím neexistuje regulace a standardizace, mohlo přispět k lepší kybernetické bezpečnosti firem, organizací a ekonomiky celého státu.

greyzones_digi1

Pokusme se pro větší ilustraci přirovnat svět kybernetických rizik k ekologii, kterou si určitě představíme lépe. Když dnes vznikne jakákoliv ekologická škoda, stát a společnost nasadí všechny k síly k zastavení ekologické havárie, vyčištění a likvidaci škodlivých látek. Viníci jsou pochopitelně označeni, souzeni a potrestáni za to, že nedbalostí či úmyslně způsobili škodu na životním prostředí, ve kterém žijeme my všichni.

Když ale společnosti jako třeba T-mobile nebo Mall.cz díky zanedbání bezpečnosti zaviní úniky milionů osobních údajů, jejich managementy dál sedí bez následků ve svých židlích. A pokutu, kterou tyto firmy dostaly od regulátora, si odepíšou od jejich příjmů, nebo jim je dokonce proplatí pojišťovny. A bez větších obtíží jedou dál. Přitom množství uniklých záznamů u výše zmíněných firem odpovídá velké části dospělých osob v našem státě. Jak to, že firmy a jejich managementy za tuto nekompetentnost nenesou žádné důsledky? Je skutečně morální, nechat v takových případech díky pojištění pachatele bez trestu?

Morální hazard v pojištění kybernetických rizik

Pro případy, kdy jedinec či společnost díky pojištění nenesou za své konání plné riziko či následky svých činů, používá pojišťovnictví termín „morální hazard“. S tímto jevem se pojištění potýká již od dob svého vzniku, kdy se začaly pojišťovat obchodní lodě. Pojištění by totiž mohlo vést pojištěné jednotlivce či firmy k tomu, že by byli méně opatrní a pro pojišťovnu tak více rizikoví.

Proti tomu se ale pojišťovny brání různými finančními nástroji, jako jsou spoluúčasti, bonusy za bezškodní průběh, či omezením výše vyplácených limitů. Tak pojišťovna zvyšuje podíl pojištěných jednotlivců či firem na případných finančních ztrátách. Proto se řidiči snaží jezdit bezpečněji, firmy instalují detektory kouře nebo posilují kybernetickou bezpečnost.

„Morální hazard“ je pro pojišťovny při pojišťování kybernetických rizik velký strašák. Trh je s tímto pojišťovacím produktem poměrně v plenkách a firemní manageři, kteří počítačovým technologiím moc nehoví, se totiž mohou do této pasti lehce dostat. Proč zabezpečovat firemní data a IT, když se mohou pojistit. Pojištění vyjde určitě levněji než trvalé vysoké úsilí o bezpečnost dat a systémů. K takovému závěru mohou dojít i manageři, často tlačeni akcionáři a majiteli, kteří se při vyhodnocování rizik rozhodují mezi nákladnými opatřeními k jejich zmírnění nebo možným transferem rizika na pojistitele.

Stále se také diskutuje, jak se pojišťovny a pojištěné firmy zachovají při velkých kybernetických incidentech. Jak lze odlišit škody, které jsou sice stejně vysoké, ale v jednom případě jsou kybernetickým incidentem dotčeni jen akcionáři firmy a ve druhém plošně velké množství jejích klientů. Je tedy etickou otázkou, jak má pojišťovna plnit pojištěné firmě, která způsobila kybernetický incident s vážným dopadem na velké množství jednotlivců. Kvůli morálnímu hazardu proto může být kybernetické pojištění poměrně nevhodné k tomu, aby umožnilo takové firmě se vypořádat se zaviněnou událostí, která způsobila vážné škody masám jednotlivců například při velkých únicích osobních, platebních nebo zdravotních údajů.

Nejisté vody hodnocení kybernetických rizik

Podmínky pojištění kybernetických rizik mohou být u různých pojišťoven různě složité a manažeři firem jej mohou uzavřít i bez toho, aby plně pochopili, co a jak je kryto. A pojišťovny, které hledí především na růst businessu, pojištění uzavřou i bez toho, aby s klientem probrali přiměřenou míru skutečného rizika, kterým pojišťovaná firma čelí.

Realistické ohodnocení kybernetického rizika není totiž jednoduché a pojistitelé, kteří logicky neznají na řadu otázek odpovědi, zatím spíš tápou. Jak vlastně lze kybernetické riziko efektivně hodnotit? A jak mohou být nastaveny ceny? Jak firmám nastavit optimální ošetření jejich kybernetické rizika? Co pojistka vlastně kryje a jaké služby může pojišťovna klientovi v případě pojistné události poskytnout a uhradit?

To jsou zatím jedny z nejčastějších a často nezodpovězených otázek v celém odvětví. A tak je tuto chvíli upisování kybernetických rizik spíše šamanství než systematická věda. Dnešní klienti to pocítí zejména tehdy, když s nimi pojišťovák začne vyplňovat více či méně rozsáhlé dotazníky, kterým ale on sám těžko rozumí. A stejně tak, když jim začne vysvětlovat podmínky příslušného pojištění, případy likvidace nebo dodávaných služeb v rámci likvidace.

Citelně také už dnes chybí standardizace pro upisování rizik. Kybernetická rizika totiž patří k nejdynamičtějším rizikům, která působí současně na území více států. Každý pojistitel přitom má k hodnocení těchto rizik vlastní přístup. Užitečné by bylo ve spolupráci s odbornými sdruženími nebo regulátorem vypracovat úvodní sjednocení například názvosloví nebo hodnocení rizik.

Pro spolupráci s pojišťovnami je zde významný prostor pro odborné firmy a asociace z oblasti kybernetické bezpečnosti a bezpečnostní složky státu včetně mezinárodních organizací minimálně na úrovni EU. Stejně tak by se mohly pojištěním kybernetických rizik začít zabývat i regulátoři. Kybernetická rizika jsou bez diskuze vážným tématem pro ekonomiku státu. Anebo ČNB snad ještě dnes nepoužívá počítače?

Petr Moláček, petr.molacek@principal.cz
Daniel Konečný, daniel.konecny@principal.cz