Už jste mluvili se svou pojišťovnou o krytí kybernetických rizik?

Když se o tom bavíme s našimi partnery nebo klienty, nejčastěji slyšíme „raději ne“. Naše doporučení obvykle zní „tak to rychle udělejte“. Kybernetická rizika, bohužel, již dávno nejsou spojena jen s typicky IT provozy, jako jsou síťové služby, telekomunikace, zpracování multimédií nebo provoz datacenter. Dokonce jsme (jen o něco méně dávno) překonali bod, kdy kybernetická rizika zasáhla „druhou vrstvu“ nyní plně kyberneticky závislých odvětví, jako je letecká doprava, logistika, bankovnictví, tvorba průmyslových návrhů nebo specifický maloobchod.
V současné době ohrožují kybernetická rizika podstatnou část oborů, včetně zdravotnictví, cestovního ruchu, energetiky, účetnictví, stavebnictví nebo řízení měst.
Jak mohou kybernetická rizika na podnik dopadnout a způsobit mu škodu?
Jde o několik základních vektorů.
Často selžou vlastní systémy firmy, lhostejno zda výrobní, podpůrné nebo prodejní. Interní procesy se následně zastaví, nebo začnou produkovat výrobek nebo službu v chybné kvalitě, množství nebo čase. Je zde prostor pro kybernetické pojištění? Nepochybně ano. Dochází v této oblasti k výlukám z pojistných smluv nebo plnění? Odpověď je, bohužel, také ano.
Podobně často dojde ke kybertickému selhání dodavatele. Kyberneticky nezávislé dodavatele nemá již v zásadě nikdo. Od velkých firem, které nám zajišťují funkčnost prodejních kanálů nebo komunikaci s pracovníky, dodávající nám energii nebo suroviny až po lokálního dopravce nebo bezpečnostní agenturu. Jejich kybernetické selhání může způsobit zásadní škodu u jejich klienta, včetně fyzického selhání nebo neschopnosti plnit své smluvní závazky. Jak je to s pojištěním v tomto případě? Využití vlastního pojištění bývá složité – nezbývá tedy než se systematicky věnovat řízení kybernetické bezpečnosti dodavatelů. Tlačit je do jejich vlastních odpovědnostních pojistek, kryjících i kybernetická rizika a škody způsobené odběratelům. Ve skutečnosti je to však daleko složitější. Řetězce závislostí kyberneticky závislých procesů, činností a aktiv jsou zřetězeny tak, že první dodavatelská vrstva je kyberneticky závislá na další, ta ještě na jedné a tak dále. Při mapování kritických míst kybernetické bezpečnosti často nacházíme 5 až 10 nedokumentovaných externích vrstev kybernetické závislosti organizace. K pokrytí hrozících škod a nastavení dostatečného zabezpečení pojistnými produkty nestačí jen naklikat ve webovém formuláři pojišťovny podle citu ano-ano-ne-ne. Je třeba věcná analýza rizik, včetně rizik kybernetického selhání dodavatelů.
Specifickým typem škod je kybernetické selhání nějakého koupeného nebo zakázkově zhotoveného výrobku, který sami využijeme jako část naší produkce. Existují zvláštní typy kybertického selhání, které se poměrně obtížně prokazují v reklamačním řízení – například pokud dojde ke zničení celku, jehož součástí výrobek byl nebo pokud uživatel výrobku odmítne poskytnout některou jeho část k analýze (třeba proto, že obsahuje citlivá data). Jestliže společnost využívá komponenty, u kterých existuje možnost kybernetického selhání, musí uplatňovat specifické způsoby uchovávání obrazů stavu a funkčnosti programového vybavení, jeho nastavení a bezchybného provozu. V opačném případě bude jednání s pojišťovnou velmi složité.
Dalším možným zdrojem škod je kybernetické selhání odběratele. Nejedená se o nic mimořádného a řada firem se již setkala s tím, že chybná funkce nějakého systému odběratele (nebo jiného jeho dodavatele) mu zabránila odebrat objednanou službu, zboží nebo poskytnout potřebnou součinnost. Tento typ kybernetického rizika se pojišťuje poměrně složitě a je třeba tlačit na odběratele, aby ho měl ošetřené on a nedostal se do situace, kdy nebude schopen dostát svým závazkům kvůli neošetřenému kybernetickému riziku.
Také se vám zdá, že by aktivnější měly být spíše pojišťovny? Toto se pomalu stává realitou. Začíná to drobnými výlukami, tlakem na certifikace, vyčleňováním kybernetických rizik z obecných smluv, podrobným zkoumáním úrovně kybernetické bezpečnosti klienta při likvidaci pojistné události, najímáním forenzních expertů a podobně. Pojišťovny zatím sledují spíše svá pojistná rizika než specifická rizika klientů. Nelze se tomu divit. Nelze se nechat ukolébat tím, že se zatím zdánlivě nic neděje.
Jaké jsou důvody tak pomalého nástupu pojištění kybernetických rizik na straně pojišťoven? Podle relativně nedávného výzkumu, který proběhl ve Velké Británii, obecně uznávané za evropskou kolébku pojištění kybernetických rizik, jsou to zejména:
  • Pojištěnci ani makléři kybernetickým rizikům většinou nerozumí – pojem kybernetická bezpečnost je pro ně těžce uchopitelný. Možní klienti pojišťoven dostatečně nerozumí produktu a krytí. Pojistné podmínky jsou pro běžného podnikatele či majitele společnosti vrcholně komplikované.
  • Katastrofální události se sektorovým nebo průřezovým dopadem – kumulativní události, které se mohou lavinovitě šířit odvětvím nebo mezi nimi, mohou drasticky ovlivnit způsob stanovení pojistného rizika. Důsledkem je velice konzervativní přístup k Cyber Insurance produktům.
  • Agregovaná rizika – kybernetická rizika nelze posuzovat odděleně. Působí ve svém souhrnu, vzájemně se zesilují nebo generují.
  • Pojištěnci i pojišťovny neadekvátně měří dopady kybernetických rizik – naprostá většina společností nedostatečně měří možné finanční náklady na recovery procesy po události typu úniku dat. Často dokonce vůbec. Sotva tedy dokáží reálné dopady posoudit. Stejná situace platí pro ransomware kampaně nebo cílené útoky s dopadem na kontinuitu procesů – včetně přerušení provozu.
  • Pojistné podmínky jsou odtrženy od reálných kybernetických hrozeb – není snadné propojit základní typy kybernetických hrozeb a znění pojistných podmínek. Ty často koncipují pojistní právníci a původní termíny z oboru kybernetické bezpečnosti a ICT jsou promíchány s nesrozumitelným právním žargonem. Výsledkem je, že podmínkám nerozumí ani právník, ani ajťák.
  • Nezávislé hodnocení kybernetických rizik a stavu bezpečnosti se nevyužívá – přestože využití dotazníků pojišťoven pro hodnocení rizikovosti klientů není dostatečné, velmi málo používají se externí specializovaní konzultanti.
  • Chybné řízení rizik v této oblasti – neschopnost pochopení významu a váhy rizik často vede k chybné úvaze o nastavení míry akceptovatelného rizika a společnosti riziko prostě přijmou, místo aby ho sdílely nebo přenesly.
  • Nedostatek vnitřní motivace – velké společnosti často volí pojištění kybertických rizik na základě auditních nálezů externích odborníků. Malé a střední firmy tuto motivaci často nemají, protože takovými audity nebo Due Diligence neprocházejí.
  • Neschopnost pojišťoven měřit a řídit pojistné riziko technickými prostředky – přestože v jiných oblastech k tomu již dochází – kamery nebo GPS v dopravních prostředcích, telemedicína v oblasti pojištění života a zdraví – v oblasti kybernetických rizik zatím není přílišná ochota pojišťoven využívat komponenty internetu věcí, centralizace logů, vzdáleného dohledu a podobné nástroje.
Velké množství pojišťoven zatím není na komplexní služby v oblasti krytí kybernetických rizik připraveno. Nečekejte, až se vaše pojišťovna probudí a zavolá vám. Projděte své pojistné podmínky s právníky, riskaři a IT odborníky. Možná přijdete na to, že zavolat byste měli spíš vy.
 
Martin Uher, předseda představenstva CyberGym Europe
Ilustrační foto Jobstack