Nárůst každodenního rizika na firemní nebo osobní informace je dle světových zajistitelů obrovský a v současnosti svým významem již převyšuje např. živelní škody. Ztráty způsobené kybernetickým rizikem tak mohou mít zásadní vliv na hospodaření firmy nebo na dobrou pověst společnosti.
Unikátní pojistná ochrana v této oblasti kombinuje odpovědnostní rizika i rizika vlastních škod.
Rozhovor s TOMÁŠEM STAŇKEM, senior brokerem divize Industry se specializací na pojištění kybernetických rizik pro korporátní klientelu společnosti RESPECT, a.s.
Pojištění kybernetických rizik je poměrně mladý obor. Co bylo podnětem pro jeho zařazení do nabídky pojistných produktů?
Kybernetická rizika hodnotí pojistný trh, potažmo světoví zajistitelé, jako vůbec největší hrozbu, se kterou se mohou aktuálně firmy potýkat. Riziko ztráty dat a jejich zneužití je trvale přítomné a pravděpodobně ani nelze dosáhnout stavu nenarušitelné komplexní ochrany proti útokům hackerů, a s tím spojeným zablokováním celofiremních informačních systémů či porušení GDPR pravidel.
Spolupracujete v rámci pojistných programů také s IT firmami, vyvíjejícími antivirové programy a obdobné systémy zaměřené na kybernetickou bezpečnost?
Ano, několik takto specializovaných firem je i našimi dlouhodobými klienty a spolupráce v oblasti kybernetické bezpečnosti je tak vlastně prohloubením našich dobrých obchodních vztahů. Tyto služby pak nabízíme dalším našim klientům, kteří mají zájem na zlepšení úrovně kybernetické bezpečnosti a jsou si vědomi možných dopadů kybernetických incidentů. Kvalitní risk management v této oblasti předchází rizikům a samotné sjednání pojistného produktu posiluje ochranu klienta před kybernetickými hrozbami.
Jaké oblasti či obory jsou vůči kybernetickým útokům nejzranitelnější a kde jsou nejčastější? Jak se mohou firmy a instituce bránit proti takovýmto útokům?
Obecně lze říct, že nejvíce kybernetických útoků se vede proti malým a středním firmám a subjektům. Tyto útoky jsou z velké většiny vedeny anonymně a mnohdy nemají ani konkrétní cíle, nicméně pro nechráněné firmy mohou znamenat až katastrofální důsledky způsobené smazáním dat nebo zamezením přístupu k nim. Cílené útoky jsou na druhou stranu vedeny na firmy a subjekty s velkým množstvím „zajímavých“ dat, jako jsou zejména nemocnice, pojišťovny, nebo velké výrobní firmy. Těchto útoků je sice o poznání méně, ale o to větší riziko představují, a to nejen pro konkrétního postiženého klienta, ale také pro potenciálně velké množství lidí, jejichž údaje mohou být zneužity. Pro maximální možnou ochranu je důležitá prevence, tj. soubor SW a HW opatřeních doplněných o pojistnou ochranu pro případ, že přijaté kroky nezafungují nebo nejsou dostatečné.
Zvýšil se počet kybernetických útoků během pandemie? A jak se to projevilo v pojišťovnictví?
Počet kybernetických útoků roste již několik let a během pandemie tomu samozřejmě nebylo jinak. Tento trend podpořil fakt, že velké množství zaměstnanců pracovalo a pracuje z domova, na home office, a zabezpečení proti kybernetickým útokům se tak snadno dostalo mimo kontrolu firem. Nezabezpečené přístupy zaměstnanců z domova nebo z jiných veřejných sítí dávají větší prostor hackerům k útokům na firemní či osobní data. V pojišťovnictví se trend nárůstu kybernetických útoků projevuje především v tom, že pojistitelé požadují pro přijetí rizika do pojištění kvalitnější opatření v rámci kybernetické bezpečnosti, popř. rostou sazby pojistného. Výjimkou nejsou ale ani firmy, které není z důvodu slabé úrovně kybernetické bezpečnosti vůbec možné do pojištění umístit.
Co dělat, když všechna preventivní opatření selžou, dojde k nedbalostnímu jednání jednoho zaměstnance, nebo firma dostane pokutu od dozorového orgánu? Lze se proti takovým následkům vůbec pojistit?
Je potřeba si uvědomit, že v této oblasti nelze dosáhnout stavu 100% zabezpečení, kdy je možné konstatovat, že ochrana je nepřekonatelná. Nedbalostní nebo i úmyslné jednání zaměstnance je zároveň jedním z nejčastějších incidentů a není možné jej ani různými opatřeními zcela ošetřit. Pojištění je pak vlastně nejvhodnější a často i jedinou ochranou. Pokryje škody způsobené zaměstnancem, stejně jako pokuty udělené dozorovým orgánem v rámci dodržování pravidel stanovených nařízením GDPR.
Jak byste charakterizoval produkt pojištění kybernetických rizik?
Jedná se v zásadě o ojedinělý specializovaný pojistný produkt s poměrně širokým rozsahem pojistného krytí. Kombinuje v sobě pojištění odpovědnostních rizik vyplývající z nakládání s daty s pojištěním vlastních rizikspočívajících např. v nákladech na obnovu dat, ušlý zisk v případě přerušení provozu, nákladech kybernetického vydírání, nebo v pokutách od dozorového orgánu. Zároveň je to hodně variabilní produkt, který lze „šít na míru“ podle konkrétních potřeb a situace klienta.
Jaké výše mohou pokuty za nedodržení legislativy dosáhnout a lze je opravdu hradit z pojištění?
Nyní je maximální výše pokuty 20 mil. EUR, nebo 4 % z celkového ročního obratu společnosti (vyšší z obou možností). Za důležité považuji upozornit na to, že maximální výše pokuty může být udělena např. i menší společnosti se třemi zaměstnanci. Většina útoků je vedena anonymně, a proto častá argumentace „nám se to stát nemůže, my nejsme zajímaví“, je velkým omylem. A ano, náklady na tyto sankce lze krýt z pojištění kybernetických rizik (vč. pokut preventivního charakteru).
Pro koho je pojištění kybernetických rizik určeno?
Produkt pojištění kybernetických rizik je komerčním pojištěním pro všechny soukromé či státní subjekty bez ohledu na jejich zaměření. Každá společnost, která ukládá a shromažďuje data, provozuje informační systém nebo má třeba tyto činnosti zajištěné externě, je potencionálním terčem kybernetických incidentů. To mohou být události v různé podobě. Nejčastěji se jedná o útoky hackerů (kybernetické vydírání, zahlcení systémů a nedostupnost dat), únik dat a s tím související jejich obnova, nečestné jednání vlastních zaměstnanců za účelem úniku dat nebo zpřístupnění sítě, přerušení provozu firmy, pokuty od dozorových orgánů související s porušením nařízení GDPR apod.
Jsou obory podnikání, kde mají data vyšší hodnotu, či jsou vystavena většímu riziku?
Hodnota dat je pro každého jiná a záleží pak na soudních nárocích, resp. přiznaných náhradách škod. Obecně lze ale samozřejmě konstatovat, že některé obory činností představují více exponované riziko úniku dat, jako např. nemocnice a jiná zdravotnická zařízení, banky, pojišťovny, hotely, e-shopy apod. Oproti tomu třeba u výrobních společností není riziko úniku dat tak velké, respektive nemusí být tak velké jeho možné finanční dopady, ale je tam zase velká hrozba přerušení provozu společnosti v důsledku kybernetického incidentu (vnitřního i vnějšího). A ztráty z takového přerušení činnosti mohou dosáhnout obrovských hodnot, aniž by došlo k nějakému úniku dat. I toto je pak předmětem pojistného krytí u pojištění kybernetických rizik.
Jaká je dostupnost tohoto pojistného produktu na českém pojistném trhu a jak je takové pojištění nákladné?
Nabídka tohoto pojištění je na českém trhu bohužel stále do jisté míry omezená, i přes to, že zájem firem je veliký. Díky naší spolupráci s mezinárodní sítí UNiBA máme kontakty na zahraniční zajistitele a jsme tak schopni toto pojištění zprostředkovat i ze zahraničních trhů a splnit tak individuální požadavky našich klientů. Cena se stejně jako u jiných druhů pojištění odvíjí od tzv. „informacích o riziku“. V tomto případě je nutno sdělit skutečnosti týkající se zabezpečení informačních systémů, pravidel pro nakládání s daty, plánu pro obnovu činnosti v případu výpadku informačního systému apod. Tyto údaje jsou pak společně s parametry pojistného krytí (limit pojistného plnění, spoluúčasti apod.) základními cenotvornými faktory.
S koronavirovou epidemií mnoho firem i živnostníků muselo přejít na prodej přes e-shopy. Mohou si vaše pojistné produkty dovolit i malé firmy či jednotlivci?
Určitě ano. Někteří pojistitelé se dokonce na nabídku pojistného produktu proti kybernetickým rizikům pro malé a střední podnikatele specializují. Cena takového pojištění se odvíjí od několika faktorů (úroveň kybernetické bezpečnosti, limit pojistného plnění, spoluúčast apod.), ale obecně lze říci, že ve srovnání s jiným typem pojištění toto nikterak nevyčnívá, a i vzhledem k možné výši škod si jej jistě může dovolit v podstatě každý.
Pojištění kybernetických rizik je jedna věc, ale ztráta cenných dat je těžko nahraditelná. Co byste doporučil firmám i menším subjektům, jak si mohou nejlépe ochránit svoje data a svoje firemní systémy?
Je pravdou, že i v případě sjednání pojištění mohou být finanční náhrady způsobených škod nedostatečné, a že pro firmu je často největší ztrátou smazání či zcizení cenných dat. Pro tyto případy lze doporučit kvalitní systém zálohování, tj. vytváření pravidelných a častých datových záloh na vzdálená úložiště (tzv. cloudová řešení) nebo na úložiště fyzicky umístěná v jiných lokacích, ke kterým není možný vzdálený přístup.
Pravidelně se umisťujete na prvních příčkách ocenění Makléř roku. Co pro vás toto ocenění znamená? Co je podle Vás charakteristické pro službu od kvalitního pojišťovacího makléře?
Ocenění RESPECT Makléř roku, které získáváme vlastně pravidelně od roku 2014, kdy jsme se do této soutěže poprvé zapojili, je pro nás odměnou a určitou pečetí, potvrzením, že naši klienti a obchodní partneři vnímají kvalitu pojišťovací služby, kterou jim jako pojišťovací makléř poskytujeme. Kvalitu makléře dělá především praxe, odborná zkušenost, trvalý profesní rozvoj, koncepčně-servisní týmová expertní spolupráce. Samozřejmostí je individuální přístup ke klientovi, precizní risk management, a nastavení takového pojistného systému a jeho správa, aby byl dlouhodobě optimalizovaný a zajišťoval funkční pojistnou ochranu, a v neposlední řadě hladkou likvidaci v případě pojistné události.
Děkuji za rozhovor.
Foto: Poskytnuto Tomášem Staňkem
Zdroj: Renáta Lucková
Sdílet
Hodnotit
Autor článku
