28. 5. 2020 – Martin Pacholet | Doba čtení: 4 min
Kybernetické pojištění je nejrychleji se vyvíjejícím pojistným produktem na trhu. Je to stále poměrně mladý produkt a vzhledem k tomu, že počítačoví „zločinci“ neustále mění taktiku, jedná se o pojištění, které se bude ještě dlouho vyvíjet. Ale o jeho důležitosti v dnešním světě není pochyb. A týká se úplně všech – nemocnic, kde může jít o životy, výrobních podniků, kterým IT řídí továrny, i malých e-commerce firem.
Pojďme se podívat na některé varianty pojištění kybernetické bezpečnosti.
Některé kybernetické útoky mají zcela nečekaný charakter, hackeři nic moc neukradnou, ale společnost to stejně může stát spoustu peněz. Jedná se o jeden z nejmodernějších typů útoků, kdy cílem je zjednodušeně řečeno ukradení výpočetního výkonu serverů společnosti. Na serverech pak útočník může spouštět svoje programy a například „těžit Bitcoiny“ a vy mu zaplatíte elektřinu. V případě, že jsou servery dlouhodobě vytížené na maximální výkon, dá se takový útok poměrně snadno odhalit, ale pokud si hackeři počínají chytře, nemusí to na první pohled být zřejmé.
Dle některých zdrojů tento typ útoků roste o stovky procent ročně. Vzhledem k výkonnosti dnešních chytrých telefonů se dokonce může stát, že podobný útok bude proveden i u nich. A pak ještě existuje jedna trochu odlišná varianta krádeže zdrojů – zneužití telekomunikačních systémů VOIP.
Starší generace pojištění kybernetických rizik (i když v tomto případě mluvíme o stáří 2-3 roky) se vyhýbala krytí zodpovědnosti za fyzické poškození majetku. Nicméně některé kybernetické útoky mohou být prováděny tak, že ať už úmyslně nebo jako vedlejší efekt doženou váš hardware k extrémní zátěži. Následně pak může nastat jeho fyzické poškození – typicky se jedná o pevné disky, paměti či procesory. Novější kybernetická pojištění tedy začínají myslet už i na tuto oblast.
Tak jako taxikář bez auta bude těžko generovat příjmy/zisk, tak spousta společností je na tom úplně stejně, pokud útočník zhroutí jejich klíčové informační systémy. Pokud e-shop týden neběží, tak se celkem dobře dá vyčíslit, k jak velké ztrátě příjmů došlo. Samozřejmě zde mluvíme o neúmyslném či neplánovaném selhání kritických systémů společnosti, nikoliv o nepovedeném plánovaném upgradu.
Dokonce existují i situace, kdy se pojistné krytí na tuto situaci může vztahovat nejenom na software firmy, ale i na jeho závislost na třetí straně. V dnešní době jsou velké systémy různými způsoby integrované s jinými systémy či zdroji dat a bez nich také nemohou fungovat. Pro představu asi nejjednodušší situace by bylo vyřazení všech používaných platebních bran a rázem je firma také bez příjmu.
Na první pohled se jedná o úsměvnou situaci – na hlavním firemním webu se objeví pár naháčů, ale podobné útoky mohou konkrétní firmě výrazně ublížit. Poškodí se PR, sníží se důvěryhodnost společnosti, poklesne příjem, je třeba vynaložit dost prostředků na opravu hacknutého webu a následně zainvestovat do opětovného získání dobrého jména.
Právě proto kybernetická pojištění myslí i na krytí ztráty reputace. V tomto případě se ovšem jedná o poměrně složitou záležitost, protože reputace jako taková a její pokles se ne zcela jednoduše vyčísluje. Výsledkem bývá, že takové krytí je poměrně úzce specifikováno na konkrétní situace.
Oblast GDPR a ochrana osobních dat je z pohledu pojištění stále ještě tak trochu v plenkách. Očekává se, že pojišťovny (ty, které kyberpojištění řeší) své produkty budou postupně vylepšovat podobně jako firmy budou lépe chápat, co všechno vlastně GDPR znamená. Zneužití či krádež osobních údajů je každopádně téma, které může každé firmě hodně zatopit.
Pojištění proti zneužití dat, krádeži, či třeba jejich zašifrování (které je typicky následované požadavkem na výkupné) jsou samozřejmě jedním z ukázkových kybernetických útoků. Na rozdíl od pojištění krytí GDPR je toto oblast, kterou specializované pojišťovny umí nějakou dobu řešit.
Je ovšem nutné říct, že z hlediska krádeže či zneužití dat není kybernetický útok jako kybernetický útok. Jedním z nejslabších článků digitální bezpečnosti jsou totiž přímo interní zaměstnanci či externí spolupracovníci.
Určitě jste již slyšeli o někom, kdo přišel na internetu o peníze. A teď tedy nemyslíme situaci, kdy vám z Číny nepřišel superlevný telefon. Například pro případ, že se hackeři nabourají do internetových bankovnictví či platebních bran, jsou konkrétní společnosti velmi dobře pojištěny. Ano i tady je opět nejslabším článkem člověk – koncový uživatel, nicméně obvykle je obtížné určit a posléze prokázat příčinu napadaní bankovního účtu a právě v takových chvílích se využívá služeb pojišťoven.
Tím, jak stále více aplikací pracuje s penězi (eshopy, B2C či P2P služby) nebo nějakou jejich obdobou (body, kredity,…) se dá očekávat, že o toto pojištění bude mít zájem stále více společností.
Pojišťovny, které řeší kybernetické pojištění, se dříve pojištění přímých hmotných škod nebo dokonce pojištění nějakého zranění spíše vyhýbaly obloukem. Ale situace, kdy hacker ovládne během letu dron a nechá ho někde havarovat nebo ho dokonce zkusí zcizit, je takový jednoduchý příběh, na kterém si můžeme nutnost tohoto krytí dobře demonstrovat. A i v této oblasti se od pojišťoven v nejbližší době očekává změna k lepšímu, alespoň tedy v možnosti pojištění sjednat. Cena takového pojištění je již věc jiná.
A co vy, již jste se s kybernetickým pojištěním setkali? Podělte se o své zkušenosti na našem twitteru.
Zdroj: insurancethoughtleadership.com
Foto od Luther Bottrill, Clint Patterson a Mitch Nielsen na Unsplash
blockchain, UX, openbanking, BankID a wealth management, to jsou aktivity, kterým se v posledních letech intenzivně věnuje.
