Jak na scoring kybernetických rizik v pojišťovnictví

risk-scoring-matrix00-750x310Podobně jako jiné ratingy, je úlohou cyber risk scoringu kybernetické riziko kvantifikovat, porovnat a ocenit. Jinými slovy, měl by pomoci transferu částí kybernetických rizik do pojištění. Pokud chce pojišťovna odpovědně kybernetická rizika pojišťovat, je systematický scoring těchto rizik pro svět pojištění a risk managementu alfou a omegou. 

Mnohostranná povaha dnešních kybernetických rizik vytváří potřebu standardizovaných měření, které by poskytovalo porovnatelné, konzistentní, odůvodněné, porovnatelné a v pojišťovnictví využitelné výsledky. Nicméně, dnešní dynamická povaha kybernetických hrozeb a účinnosti obrany je pro standardizaci takového hodnocení velkou výzvou.

Jak tedy scoring kybernetického rizika provádět a proč jej pojistitelé, makléři a další poskytovatelé těchto pojistných produktů mají využívat?

Bez ohledu na to, zda využívaná metoda scoringu hodnotí kybernetické riziko na stupnici od 1 do 1000 nebo jen prostě nízké/průměrné/vysoké, je hodnocení využitelné jako způsob k získání potřebných informací o klientovi a k dosažení obchodu.

Základní hodnocení kybernetických rizik klienta zpravidla probíhá z pohledu jeho schopnosti zajištit důvěrnost, integritu a dostupnost dat prostřednictvím IT infrastruktury a pracovníků. K bližšímu modelování možného rizika je třeba zvážit i velikost firmy, obor působení, atraktivita zpracovaných dat nebo objem obchodu a další parametry.

To vše může pojistitelům posloužit jako jistá metrika o stavu kybernetické bezpečnosti a digitálním životě dané společnosti. Výstupy scoringu spolu s aktuálními a reálnými kybernetickými hrozbami a událostmi, které mohou vést k úniku dat nebo přerušení provozu, pak mohou přesvědčit budoucího klienta ke koupi tohoto typu pojištění.

Mnoho managerů ve středních a malých firmách a organizacích se ale často domnívá, že jsou vystavení malému kybernetickému riziku nebo že je malá pravděpodobnost, že na ně kybernetická událost dopadne. A proto by pro ně pojištění znamenalo vyhazování peněz. Zde by scoring kybernetického rizika v kontextu s reálnými kybernetickými událostmi mohl jejich slabiny ukázat ve zcela jiném světle. Pojistitelům a makléřům to může pomoci překonat námitky firem a organizací, zdá má pojištění kybernetických rizik opravdu smysl.

Metoda scoringu kybernetických rizik by měla také odpovídat potřebám pojišťovny a povaze jejího obchodu. Buď je třeba odbavit velké množství malých a středních firem, kde je velikost škody a tedy i pojištění relativně nízké, nebo se jedná o jednotlivé velké podniky, kde mohou vzniknout velké škody a tomu bude odpovídat i výše pojištění. V pohledu reálného života pojišťoven tak mohou být využitelné dva základní způsoby scoringu kybernetických rizik.

1/ Automatizovaný scoring – pomáhá zejména při obsloužení vysokého počtu klientů ze segmentu malých až středních firem a zjednodušení hodnocení jejich rizikovosti. Nasnadě je samohodnocení (touch free /touch to go), které klient provádí vlastními silami prostřednictvím poskytnutých nástrojů např. ve webovém prostředí. V tomto hodnocení jsou zpravidla zahrnuta nejvážnější kritéria rizik s největším dopadem s přihlédnutím na rizikovost segmentu, ve kterém klient působí. Další analytické nástroje vyhodnotí na základě údajů rizikovost klienta a doporučí úroveň pojistného limitu.

  • Výhoda: relativně levný provoz a vysoká obslužnost, nevyžaduje kapacity pracovníků na vyhodnocování poskytnutých parametrů. Dokáže obsloužit a vyhodnotit velké množství požadavků na ohodnocení klientů.
  • Nevýhoda: nezajistí dostatek relevantních a kvalitních údajů k optimálnímu ohodnocení klienta. Je zde vyšší chybovost a nižší spolehlivost výsledků.

2/ Manuální scoring – probíhá zpravidla u větších středních a velkých klientů při snaze o co největší objem relevantních dat a přesné vyhodnocení rizik. Tento typ hodnocení probíhá delší dobu a vyžaduje podstatně větší interakci odborných hodnotitelů rizik, pracovníků klienta a analytiků, kteří výsledná data vyhodnocují.

Při tomto způsobu hodnocení je také účelné nasadit analytické nástroje na úrovni CIEM, které po určitou dobu monitorují a vyhodnocují provoz na vnějším a vnitřním perimetru sítě, interakci uživatelů s jednotlivými prvky IT systémů nebo pohyb dat. Časté je také využití takzvaných penetračních testů, které pomohou odhalit konkrétní slabiny v bezpečnosti a ochraně dat. Díky tomu lze efektivně doplnit informace z úvodního šetření rizik.

  • Výhoda: Relativně přesnější výsledy a ohodnocení rizikovosti klienta. Spolehlivější zdroj pro výpočet pojištění. Vyšší ochrana pojišťovny.
  • Nevýhoda: Dlouhý obchodní cyklus. Nedostatečné množství odborných kapacit k provádění hodnocení rizik. Vysoké náklady na analýzu rizik.

Jistě se v životě pojišťoven také najdou situace, při kterých lze efektivně využít společně části scoringu jak automatizovaného, tak i manuálního. Scoring je také jen jednou ze špiček ledovce. Celkové ohodnocení by mělo vzít v potaz řadu dalších parametrů, jako je třeba pravděpodobnost, dopad na pojišťovanou společnost nebo kvalifikovaný odhad “co se stane, když … „.

Cílem by ale měl být vždy takový scoring kybernetických rizik, který podpoří pojistitele při úpisu a reálně pomůže ochránit klienty před nenadálými dopady kybernetických rizik.

Rozalie Ryčlová, rozalie.ryclova@boxtrap.net
Petr Moláček, petr.molacek@principal.cz
Daniel Konečný, daniel.konecny@principal.cz