Díky moderním technologiím, internetu a správě stále většího množství dat je byznys českých firem efektivnější, ale také zranitelnější
Problematika kybernetických rizik a jejich pojištění se dostává do popředí zájmu stále většího množství firem. Finanční a telekomunikační firmy, eshopy, online sázkové kanceláře, společnosti z oblasti IT a médií, hotely nebo třeba nemocnice vytvářejí a obsluhují stále větší elektronické databáze, díky kterým rozvíjejí svou činnost. Zároveň ale vytvářejí obsah, který může po úniku na veřejnost napáchat velké škody.
A který je také stále větším lákadlem pro profesionální počítačové piráty.
Jak je snadné ukrást citlivá data, ukazuje řada medializovaných případů. Někdy může jít o únik dat ze zdravotní dokumentace pacienta, jindy nabourání obchodní databáze společnosti či přímo hackerský útok na banku.
Roste proto zájem českých firem mít v této oblasti o něco větší klid a především se na riziko úniku dat a s tím spojenou odpovědnost vůči svým klientům/partnerům připravit.
Úplná ztráta nebo jen únik části klientských databází pro ně může být existenční otázkou. Škody související jen s krátkodobým výpadkem činnosti mohou jít do milionů. Nemluvě o ztrátě dobrého jména a reputace v očích klientů a partnerů v dlouhodobém horizontu.
Na poptávku ze strany firem proto začínají reagovat i pojišťovací instituce a produkt, kterému se v zahraničí říká cyber liability (pojištění proti kybernetickým rizikům), pomalu zahrnují do svých nabídek. Zatím pozvolné zavádění tohoto typu pojištění je dáno především tím, že jeho příprava patří k těm nejnáročnějším. Vyžaduje totiž nejen dobrou znalost pojišťovacího odvětví, ale také IT prostředí. Pojišťovny proto musejí úzce spolupracovat s IT společnostmi a ptát se jich nejen na detaily rizik, ale i postup a úskalí při řešení škodních událostí.
NA CO SE POJISTIT
Pojištění poskytuje ochranu pojištěné společnosti pro případ její odpovědnosti za ztráty nebo odcizení dat z informačních systémů, ať už se jedná o únik z nedbalosti, nebo v souvislosti s napadením. Zahrnuje v sobě pojištění odpovědnosti za škody (hradí se z něj škody způsobené třetím osobám, za které pojištěný právně odpovídá) a majetkové pojištění (pojistné plnění za škody způsobené přímo pojištěnému ve formě různých připojištěných nákladů).
Pojištění proti kybernetickým rizikům kryje firmám odpovědnostní škody, které jsou únikem jejich dat způsobeny třetím stranám, včetně nákladů na právní zastoupení, identifikaci úniku dat a zabezpečení provozu informačního systému. V případě problémů lze pak plnění využít také na úhradu oznámení úniku dat veřejnosti a dozorovým orgánům a komunikaci s postiženými klienty nebo zákazníky nebo k ochraně dobré pověsti společnosti a také na náklady na případné pokuty.
Nadstavbově pak může pojistné krytí zahrnovat i vydírání pojištěného prostřednictvím sítě nebo přerušení provozu pojištěného z důvodu napadení a výpadku interní informační sítě.
Pojištění naopak zatím nepočítá s krytím škod na vlastních datech. Je otázkou na pojišťovny a vývoj tohoto produktu do budoucna, zda budou připraveny krýt i odcizení a zneužití dat samotného pojištěného.
KOLIK STOJÍ ÚNIK
Na kolik samotné pojištění firmu přijde, pak záleží hlavně na objemu spravovaných dat, způsobu jejich ochrany ve firmě nebo i rozsahu outsourcingu dat mimo společnost. Jisté ale je, že jde o zlomek případných škod, které mohou dosahovat až milionových částek.
K jednomu z nejznámějších a nejnákladnějších patří útok hackerů na síť známého obchodního řetězce ve Spojených státech. Během něho došlo k odcizení údajů o účtech a platebních kartách klientů. Finanční újma držitelů platebních karet přesáhla částku 14 milionů dolarů a na další dva miliony přišly společnost náklady na IT odborníky a na komunikační experty, kteří zachraňovali dobrou pověst společnosti.
Dalším případem, který stál postiženou organizaci nejen spoustu peněz, ale i reputaci, se odehrál v jedné z nemocnic, která neuhlídala citlivé informace o zdravotním stavu pacienta. Způsobila mu tak vážnou osobnostní újmu, protože, jak důkladně prokázal u soudu, nemohl kvůli veřejné informaci o svém zdraví dál vykonávat svou práci. A úspěšně se domohl odškodnění. Celková škoda včetně pokuty dané nemocnici se vyšplhala na 150 tisíc eur.
Do třetice příklad ze studentského prostředí, kdy se hackerům podařilo ukrást a zveřejnit 117 tisíc osobních údajů studentů z databáze vysoké školy. Celková škoda včetně nákladů na IT experty, PR na zlepšení reputace a pokutu za nezabránění zveřejnění citlivých informací se vyšplhala na 100 tisíc eur. I z těchto případů je zřejmé, proč se pojištění proti kybernetickým rizikům dostává stále více do hledáčku manažerů firem.
Historicky tento typ pojištění připomíná nástup pojištění odpovědnosti členů statutárních a dozorčích orgánů (D&O pojištění), který byl na počátku pozvolný, ale dnes se jedná o standardní produkt v portfoliu korporátních pojištění většiny firem.
O autorovi| MICHAL PILECKÝ, produktový manažer, Renomia
