Kybernetické pojištění není náhradou za základní proaktivní kroky, kterými by firmy měli zmírnit rizika. Je to ale jedna z důležitých částí IT bezpečnostního plánu. Pro krytí různých katastrofických živelných událostí zpravidla nabízí pojišťovny širokou škálu pojišťovacích produktů.
A tak proti škodám při různých kalamitách jsou k dispozici pojištění proti záplavám, krupobití, vichřici a další. Kybernetické hrozby, kterým dnes firmy čelí a patří k nejvážnějším hrozbám, jsou v podstatě s přírodními živly na stejné úrovni. Kybernetická bezpečnost se proto musí ve firmách opravdu dostat na nejvyšší úroveň pozornosti.
Pro pachatele kybernetických průniků jsou přitom jedním z nejatraktivnějších soust zejména finanční instituce. Jejich databáze s čísly účtů a osobními informacemi jsou totiž pro ně hotovým pokladem. Náklady na kybernetickou bezpečnost firem a zejména pak bank proto exponenciálně stoupají, tak jak útočníci vyvíjejí nové a nové metody průniků. Pro ilustraci předkládáme pár údajů především z amerického trhu, kde trh pojištění kybernetických rizik je již poměrně dobře zavedený.
Například banka J. P. Morgan Chase, která patří k největším bankám v USA, navýší své náklady na kybernetickou bezpečnost pro několik dalších let o 50 mil. USD. Podle těchto údajů bychom si tedy mohli říct, že takto proaktivně profinancované technologické kroky jistě mohou rizika zmírnit. Nicméně náklady na zásahy při nečekaných únicích dat stále zůstávají neúměrně vysoké. A to je důvod, proč by se mělo začít uvažovat o pojištění kybernetických rizik.
Kyberneticky zlý sen
Kybenertické průniky se pro firmy a pro hospodářství rychle mohou stát drahou pohromou. Poté co došlo k úniku či narušení dat, společnostem vznikají bezprostřední náklady na zjištění narušení, forézní analýzy a implementace dalších bezpečnostních opatření. Další náklady vznikají při povinném oznámení napadení, krizové komunikaci se spotřebiteli nebo klienty nebo další údržbě nových security opatření.
A to je teprve začátek. Následně po narušení mohou banky čelit vlně žalob a soudních sporů s privátními a firemními klienty nebo se státními institucemi. Může se přitom jednat o nedbalost, podvod, porušení smluvních ujednání nebo akcionářských práv. Dále mohou vznikat spory s dodavateli či například ve finančním prostředí s provozovateli platebních kartových systémů a podobně. A tak jak se bude zpřísňovat kybernetický zákon, budou stoupat další náklady zejména na vyšetřování a vysvětlování před státními úřady.
Pro příklad opět několik údajů z USA. Amerika je totiž velký trh a tomu odpovídají i náklady na likvidaci škod způsobené kybernetickými útoky.
V roce 2013 po hakerském útoku unikly obchodnímu řetězci Target, který je druhý největší v USA, data všech 40 milionů zákazníků. Celková likvidace dosáhla 236 milionů USD, podle dalších analýz mohla ale dosáhnout až jedné miliardy.
Další masivní útok a následný únik dat zákazníků, který zažila společnost Home Depot v roce 2014, způsobil únik téměř 50 milionů údajů platebních karet. Únik vedl k vice než 100 samostatným žalobám, vedených především bankami a finančními společnostmi.
Odhaduje se, že likvidace následků úniku dat menšího než 100 000 záznamů, stál postiženého přibližně 5,85 mil. USD. Nicméně 33% z těchto nákladů byly “přímé” náklady , které jsou obecně pojistitelné. A toto zjištění poskytuje naději, že některé z těchto finančních nákladů mohou být zmírněny pojištěním.
K čemu se hodí pojištění
Americké ministerstvo financí trvale doporučuje firmám a především finančním institucím, aby ve světle rostoucích kybernetických útoků zvážili kybernetické pojištění. Jak již bylo několikrát řečeno, pojištění není automaticky náhradou za proaktivní kroky, které by firmy měly děla pro zmírnění potenciálního nebezpečí. Je to částečná ale i tak velmi důležitá část bezpečnostního plánu. Každá firma by především měla mít cybersecurity bezpečnostní plán a pravidelně testovat jeho účinnost včetně výcviku odpovědných pracovníků. Tak může být zajištěno, aby firma měla včas a adekvátně reagovala v případě potřeby na kybernetický útok.
A jak by měl bezpečnostní plán vypadat a co by měl obsahovat?
- Jméno šéfa IT Security
- Implementaci bezpečnostních opatření
- Ohodnocení bezpečnostních opatření
- Plán odezvy na různé stupně cyber ohrožení
Ohodnocení bezpečnostních opatření je přitom rozhodující. Poskytuje porozumění, kde se skutečně nachází klíčové informace a kdo k nim má přístup, kde jsou potenciální slabiny a jaké dopady bude mít jejich průnik.
Bez detailního bezpečnostního plánu totiž není možné vyhodnotit, zda pojistné produkty poskytnou firmám to, co potřebují. Proaktivní kroky a ohodnocení jejich účinnosti jsou proto nutnou vstupní podmínkou pro zvážení sjednání kybernetického pojištění.
Jaké možnosti cyber pojištění poskytuje?
Kybernetické pojištění je ve své podstatě určeno k pokrytí tří typů výdajů spojených s narušením dat v závislosti na typu zvolených politik:
- Náklady na komunikaci, odezvy a vyšetřování.
- Soudní spory, právní obrana a likvidace škod.
- Regulační obrany a sankce.
Typické cyber insurance produkty na současném trhu poskytují krytí vůči vlastním nárokům, vůči nárokům třetích osob nebo obojí.
Pokrytí vlastních nároků zahrnuje především náklady na reakce, jako je najímání odborníků při zásahu nebo pro vyšetřování. Rovněž to může zahrnovat právníky na poradenství při plnění zákonných povinností jako je např. oznamovaní úniků dat. Dále mohou být zahrnuti PR specialisté, odborníci na krizové řízení a forenzní šetření. Krytí rovněž může zahrnovat monitoring poškozených a dotčených zákazníků, zřízení call centra, šablony bezpečnostních reakcí na incident nebo obnovu ztracených dat.
Krytí nároků třetích stran obvykle zahrnuje náklady na soudní spory a vypořádání s poškozenými. Některé produkty mohou při vypořádání nároků třetích stran zajistit krytí náklady na sankce či pokuty.
Samozřejmě roli hraje mnoho faktorů, které firmy musí firmy zvážit při vyhodnocování výhodnosti pojištění. Faktory jsou samozřejmě rovněž závislé na povaze businessu. Jiné budou pro banku a jiné například pro nemocnici.
No a nakonec náklady na pojistné samo budou rozhodující faktor. K tomu pak ještě přichází možnosti krytí vzniklých škod, odhad složitosti rizika a rozsah nabídek a možností pojišťovny. A přidejme k tomu ještě kritický nedostatek historických údajů a zkušeností, které obavy firem rozhodně nerozptýlí.
Co je potřeba vědět, než se rozhodnete pro pojištění
- Jaké oznamovací povinnosti vyplývají z platné legislativy pro vaši společnost
- Zda má vaše společnost získat pojistné krytí pro nezjištěné průniky, tzn. úniky dat, které vznikly před datem účinnosti pojištění. K narušení bezpečnosti osobních údajů může totiž docházet nepozorovaně již delší dobu. Firma pak nemá jistotu, že jsou její data neporušeny.
- Zda zvažované pojištění cyber risk zahrnuje krytí poškození dobrého jména nebo ušlého zisku. K výpočtu krytí je užita metodika pojistitele.
- Zda se pojištění vztahuje i na třetí strany dodavatelů, kteří mají přístup k citlivým informacím firmy.
- Zda se výjimky, které platí pro obecná pravidla pojištění, lze uplatnit I na kybernetické pojištění. Týká se to například porušení pracovních postupů nebo úmyslné jednání členů managementu nebo pracovníků.
Při výběru a rozhodování o sjednání kybernetického pojištění by měl být ve firmách uplatňován mezi-disciplinární přístup. Výkonní pracovníci či týmy by měli podmínky pojištění konzultovat s kolegy s dalších oddělení jako IT, právní, HR, business operations nebo risku. Po shromáždění a vyhodnocení potřebných informací a požadavků je dobré připravit kompletní firemní bezpečnostní profil se specifikovanými nároky na cyber security.
Rovněž je možné zvážit, zda stávající pojištění odpovědnosti za škodu z výkonu povolání by nebylo dobré rozšířit o nějaký cyber insurance produkt.
Jaké jsou trendy v kybernetickém pojištění
Trh s kybernetickým pojištěním se na rozvinutých trzích v USA a západní Evropě vyvíjí velmi rychle a díky konkurenčnímu prostředí se budou moci klienti těšit z klesajících cen. Nicméně protože cyber risk pojištění je vlastně ještě v plínkách, pojistné podmínky jsou vlastně vždy ušity na míru potřebám konkrétního zákazníka a jeho vyjednávacím schopnostem. Což se rozhodně vyplatí silným hráčům, jako jsou třeba banky.
Trh s pojištěním kybernetických rizik, který zahrnoval předepsané pojistné, měl v roce 2009 objem 600 tis USD. V roce 2014. tak jak firmy se zaměřily na zvýšení své kybernetické bezpečnosti, to byly už 2 mld. USD.
Podle společnosti MARSH USA, která je součástí jednoho z největších globálních pojišťovacích brokerů, trh s kybernetickým pojištěním narostl v 2013 o 23% a v první polovině roku 2014 se oproti stejnému období předchozího roku už zdvojnásobil. Podle AIG je 18 % pojistek přitom uzavíráno firmami ze segmentu financí.
A zde se nabízí další pohled na pojišťovací trh v USA. I přes nárůsty kybernetická pojištění stále zaostávají za jinými druhy pojištění zejména v objemu pojistek. Nárůsty obchodních aktivit byly rovněž doprovázeny růstem nároků krytých pojistkou. Podle pojišťovací společnosti Barbican ze syndikátu Lloyd došlo v prvním čtvrtletí 2015 k 50% nárůstu vyplacených náhrad z pojištění oproti stejnému období v 2014. Jsou proto k dispozici bližší údaje o struktuře nárokovaných částek dle smluvních pojistných podmínek. V roce 2013 byla například průměrná výše pojistného plnění 3,5 milionu USD. Z toho průměrná výše nákladů na právní ochranu byla 580 tis USD a na urovnání 260 tis. USD. Krizové služby, které zahrnuly forenzní audity, povinná oznámení, call centra a právní poradenství stály průměrně 740 tis. USD.
Z dosavadní soudní praxe, soudy doposud zkoumaly krytí podle klasických podmínek. Doposud zde nebyly zaznamenány významné soudní spory ohledně krytí podle podmínek sjednaného pojištění kybernetické bezpečnosti.
Co můžeme dále očekávat
Zopakujme, že pojištění kybernetických rizik nemůže firmu samo od sebe ochránit firmu od úniků dat. Nicméně již kvalifikace rizik pro cyber risk pojištění může poskytnout velmi užitečné informace o úrovni bezpečnosti, možných rizicích a nástrojích na jejich zmírnění. Podobně sjednáním pojistky proti kybernetickému riziku pomůže firmám zvýšit schopnost vyrovnat se s následky kybernetických průniků a s rostoucími požadavky státu.
Tedy firmy, které zamýšlí sjednat si kybernetické pojištění, musí být připraveny poskytnout komplexní a konkrétní informace ohledně svých kybernetických bezpečnostních postupech nebo o struktuře rozpočtu na bezpečnost firmy. Jedná se zejména o náklady na technické, administrativní nebo fyzické bezpečnostní opatření, správu a uchování dat, security politiky a postupy.
Finanční instituce by také měly být připraveny poskytnout pojišťovnám informace o bezpečnostních politikách, ochraně soukromí a užití dat, zabezpečení sítě, vyškolení pracovníků, evidence a správa informací, plány reakcí na incident.
Tímto způsobem bude proces podání žádosti o pojištění kybernetických rizik firmám nápomocen při vytvoření plnu informační bezpečnosti a získané pojištění pomůže firmám zmírnit případné následky kybernetického napadení, úniků nebo zničení dat.
Petr Moláček, Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.
