Policie ČR v roce 2016 šetřila 5 344 kybernetických zločinů, což je o 321 (resp. 6,4 %) více než v předchozím roce. Z propočtů České asociace pojišťoven vychází, že v ČR může ročně dojít k až 1,7 mil. kybernetických útoků s potenciálními celkovými ztrátami v případě úspěchu útoku ve výši až 5,4 mld. Kč. Dopad kybernetického rizika pro firmu představuje paradoxně zásah z obou stran.
Společnost je jak přímou obětí kybernetického útoku, tak současně viníkem, který nese odpovědnost za sekundární škody vůči svým klientům, což se projevilo například při aktuálním útoku ransomwaru WannaCry. Princip odpovědnosti vůči třetím stranám ještě více posílí Obecné nařízení o ochraně osobních údajů (angl. General Data Protection Regulation neboli GDPR) – nová revoluční legislativa EU, která výrazně zvýší nároky na ochranu osobních dat občanů.
Nejen v kontextu prohlubující se regulace, jež povede k potenciálně vyššímu odškodnění klientů, ale i rostoucímu důrazu na automatizaci, digitalizaci a provázanost informačních systémů ve většině odvětví ekonomiky, kybernetická rizika rozhodně narůstají. Pro ochranu před následky kybernetických útoků je nutná prevence spojená s adekvátními bezpečnostními opatřeními, ale také pojištění. Je proto logické, že se pojišťovny touto problematikou intenzivně zabývají.
Firmy i jednotlivci se obvykle věnují primární ochraně v podobě technických a IT prostředků, které útočníkovi mají zabránit v kybernetickém útoku nebo jej co nejvíce ztížit. Málo společností se však dosud zabývalo otázkou, jak řešit situace, kdy je útok úspěšný a dojde například k úniku dat klientů společnosti. I škody způsobené „banálními“ kybernetickými útoky přitom mohou jít až do milionů korun. Což dokládá nedávný únik klientských dat mobilního operátora, který stál společnost přes 3 mil. Kč. Přitom při platnosti GDPR a vyšší náchylnosti k uplatňování imateriální újmy z těchto událostí by byla škoda výrazně vyšší. Nová legislativa počítá se sankcí pro napadenou společnost za neochránění dat svých klientů až do výše 4 % ročního obratu společnosti.
Role pojištění
Logickou cestou, jak eliminovat nepříznivé finanční dopady kybernetického útoku, je vhodně se pojistit. Je však nutné zcela zdůraznit, že pojištění nemá a nesmí nahrazovat systém IT bezpečnosti. Pojištění by nemělo představovat morální hazard v absenci opatření k minimalizaci situace, kdy k selhání systémů a naplnění rizika dojde. Pojištění může fungovat pouze pro nahodilé situace, kdy přes veškerá odpovídající opatření na straně pojištěného přesto dojde ke kybernetickému incidentu.
Pojištění kybernetických rizik spočívá v kompenzaci pojištěného v případě selhání/napadení jeho IT infrastruktury (nefunkčnost systémů, ztráta dat…) vedoucí k naplnění jiného rizika (např. poškození infrastruktury, přerušení provozu a s ním spojeným finančním ztrátám). Dále pojištění kompenzuje např. poškození dobré pověsti, náklady na obnovu dat, odškodnění imateriální újmy pro poškozené, náklady na související soudní spory, ale i odškodnění za usmrcení a zdravotní újmy v případě výpadku životně důležitých systémů. Takové byly například následky květnového útoku ransomwaru WannaCry, který paralyzoval i řadu státních institucí včetně zdravotnických zařízení a nemocnic.
„Pro úspěšnou implementaci pojistných produktů pokrývající kybernetická rizika je celosvětově za nejdůležitější považováno získání dostatku relevantních dat umožňujících další vývoj pojistných produktů na míru dle potřeb konkrétních zákazníků. Lze očekávat, že pozitivní roli v přenosu zahraničních zkušeností sehrají zajistitelé (společnosti, u kterých se pojišťují pojišťovny), jež působí globálně, a mají tak největší praktické znalosti z nejrozvinutějších trhů pojištění kybernetických rizik (zejména USA). Nezbytný však bude také dostatek kvalifikovaných odborníků upisovatelů, kteří u velkých společností již nebudou posuzovat tradiční rizika a jejich zábranné systémy, ale zaměří se na posouzení zabezpečení IT architektury, IT systémů, a tím i podmínek jejich pojistitelnosti,“ říká Petr Jedlička, vedoucí oddělení pojistné matematiky a analýz České asociace pojišťoven.
Oblasti ohrožené kybernetickými útoky
Mezi nejohroženější sektory s potenciálně katastrofickými sekundárními dopady v případě nefunkčnosti systémů v odvětví rozhodně patří energetika/síťové distribuce, finanční sektor, zdravotnictví, státní instituce (vláda/armáda/policie), výrobní firmy (průmysl 4.0) – známé případy nutnosti svolávat vadné série automobilů (potenciálně i život ohrožující chyby), elektroničtí obchodníci (zejm. podvody s platebními kartami), vzdělávací instituce (zneužití osobních dat). Příklady konkrétních rizik, jež lze zařadit mezi kybernetická, je možné dále rozdělit z pohledu klientů domácností (fyzických osob) a z pohledu firemních klientů (právnické osoby):
DOMÁCNOSTI zneužití platebních prostředků (platební karta na internetu, zneužití elektronického bankovnictví atd.); řešení sporných situací při nákupu přes e-shop (nedodání zboží); odcizení elektronické identity; krádež dat (ransomware atd.); zneužití nebo jakákoliv porucha zařízení chytré domácnosti a tím způsobení škody (potenciálně nejen) na majetku (včetně požáru, vytopení atd.). FIRMY (navíc oproti domácnostem) zneužití uchovávaných (citlivých) údajů svých klientů a dalších subjektů, jehož význam naroste v souvislosti s GDPR implementovanou od května 2018; výpadek sítí (konektivita), obecně přerušení provozu ICT a tím přerušení poskytování potenciálně jakýchkoliv služeb (webové služby, on-line aplikace pro klienty), resp. přerušení (výrobní) činnosti dané firmy a dopad do celého výrobního řetězce (např. kybernetický útok u subdodavatele automobilky); zneužití moderních technologií – internet věcí (v budoucnu autonomní vozidla, chytré budovy atd.) – ale v blízké budoucnosti i rizika spojená s provozem domácnosti (napadení systémů jejího řízení s potenciálně závažnými dopady); poškození značky/reputace společnosti – výzvu představuje vůbec vyčíslení a doložení těchto dopadů – nejcennější světové značky v řádech stovek miliard dolarů; úmyslný „útok“ zaměstnance a s ním spojená krádež dat, prodej konkurenci; nehody/pohromy vedoucí k výpadku ICT a naplnění některých z výše uvedených scénářů.Související
18. ledna 2024 11:21
23. října 2023 14:13
20. září 2023 12:21
31. srpna 2023 11:21
30. srpna 2023 10:44
20. června 2023 10:35