O důležitosti pojištění kybernetických rizik s předním specialistou
Pojištění kybernetických rizik patří aktuálně mezi velmi vyhledávaný produkt na pojistném trhu.
S rostoucí digitalizací a modernizací IT technologií rostou i obavy z kybernetických útoků různých typů. O pojištění kybernetických rizik, jeho možnostech, problematice kyberútoků, predikci do budoucna a o tom jaké společnosti jsou hackery nejvíce ohroženy, jsme si povídali s Ing. Tomášem Staňkem, předním specialistou na pojištění kybernetických rizik.
Tomáši, mohl byste specifikovat, co je kybernetické riziko a pro koho je pojištění kybernetických rizik určeno?
Kybernetické riziko je ve smyslu pojištění kybernetických rizik chápáno jako hrozba útoků na počítačové systémy (hacking, phishing, malware...), data a přístup k nim, jejich zneužití či smazání nebo omezení činnosti firmy v důsledku pochybení či úmyslu vlastních zaměstnanců.
Produkt pojištění kybernetických rizik je komerčním pojištěním pro všechny soukromé či státní subjekty bez ohledu na jejich zaměření. Každá společnost, která ukládá a shromažďuje data, provozuje informační systém nebo má třeba tyto činnosti zajištěné externě je potencionálním terčem kybernetických incidentů.
Jaká kybernetická rizika ohrožují firmy nejčastěji?
Nejčastěji se jedná o útoky hackerů (kybernetické vydírání, zahlcení systémů a nedostupnost dat), únik dat a s tím související jejich obnova, nečestné jednání vlastních zaměstnanců za účelem úniku dat nebo zpřístupnění sítě, přerušení provozu firmy, pokuty od dozorových orgánů související s porušením nařízení GDPR apod.
V problematice pojištění kybernetický rizik se pohybujete déle než 5 let. Zaznamenal jste za tu dobu nějaký progres v rámci vnímání tohoto produktu ze strany klientů?
Určitě ano. S rostoucím počtem kybernetických útoků nejen ve světe, ale i u nás, roste samozřejmě i povědomí o těchto rizicích a možnosti jejich krytí pojistným produktem. Aktuálně je to tedy jeden z nejžádanějších pojistných produktů na trhu, alespoň z toho pohledu, že klienti chtějí vědět, co jim takové pojištění přinese, v jakých případech je ochrání, jaké pojišťovny tento produkt nabízejí, jak probíhá likvidace škodních událostí, jaké jsou příklady škod nebo kolik takové pojištění bude v konkrétním případě stát. Když to porovnám s dobou před několika lety, tak toto pojištění jsme znali pouze ze zahraničních pojistných trhů a u nás v této podobě vůbec nabízené nebylo. S rostoucím významem kybernetických rizik se však i tento druh pojistného krytí brzy stal standardní a nezbytnou součástí kvalitního pojistného programu klienta.
Z důvodů nedávné koronavirové pandemie většina firem přistoupila k práci svých zaměstnanců v režimu home office. Může práce z domova zvyšovat riziko kyberútoků?
Ano, tato situace, kdy na jednu stranu část klientů nemusí díky vyspělým technologiím téměř vůbec omezit svou činnost a její zaměstnanci mohou plnohodnotně pracovat z pohodlí domova, však přináší v oblasti kybernetické bezpečnosti velká rizika na straně druhé. Zaměstnavatelé mají jen malou kontrolu nad tím, jaká HW a SW opatření jsou součástí domácnosti jednotlivých zaměstnanců a vzdálené připojování do sítě svého zaměstnavatele (přes tzv. VPN) tak může být ideální příležitostí pro hackery, aby se poměrně jednoduchým způsobem dostali k datům společnosti, které by se jim za normálních okolností podařilo třeba jen velmi stěží zpřístupnit.
V loňském roce byla provedena série kybernetických útoků na české banky, znáte podrobnosti k těmto případům?
Jednalo se o útok na několik velkých bankovních ústavů v České republice během jednoho dne. Proruská aktivistická skupina, která se pravidelně zaměřuje na české cíle, měla za cíl znemožnit provoz internetového bankovnictví těchto bank, což se jí také podařilo. Jednalo se o tzv. DDoS útoky, kdy cílem těchto útoků je znefunkčnit a znepřístupnit cílovou službu ostatním uživatelům. Dojde k tomu zahlcením obrovským množstvím požadavků či využitím nějaké chyby, která sice útočníkovi neumožní službu ovládnout, ale znemožní její použití. Zákazníci se tak na několik hodin nemohli dostat ke svým finančním prostředkům v rámci internetového bankovnictví a zároveň byly vyřazeny z provozu i webové stránky bank.
Jaký vývoj ohledně rizika kybernetických útoků lze očekávat do budoucna? Směřujeme k trendu zvyšování těchto útoků vlivem prudkého rozvoje informačních technologií, nebo naopak již existují formy zabezpečení, které nelze jen tak prolomit?
Do budoucna se opravdu nedá očekávat, že počty a zejména sofistikovanost kybernetických útoků bude mít klesající tendenci. Rozvoj informačních technologií je s trochou nadsázky nekonečný, kdy s jejich nepochybnými klady však vznikají i nová a nová rizika pro jejich zneužití. Stejně tak samozřejmě roste i kvantita a zejména kvalita bezpečnostních opatření, které mají za úkol podobným útokům zamezit. Tady se však bohužel domnívám, že nikdy nebude dosaženo takových opatření, které absolutně znemožní podobná jednání a asi vždy bude platit pravidlo, že „hackeři jsou vždy o krok napřed“.
S jakými typy útoků se můžeme setkat nejčastěji? A jak by se firma měla zachovat, v případě, že dojde k napadení systémů, úniku dat nebo narušení informačních systémů?
Mezi nejčastější typy útoků vedených zvenčí lze obecně řadit útoky na dostupnost a integritu sítě (tj. DDoS a Ransomware útoky, Phishing apod.) a v poslední době časté útoky známé pod názvem Social Engineering, kdy se ve stručnosti jedná o vysoce sofistikované podvody na konkrétní osoby či společnosti nejčastěji za účelem realizace převodu finančních obnosů. Pokud již dojde k nějakému incidentu v rámci společnosti, je bezesporu tím nejdůležitějším faktorem čas. Je potřeba ihned jednat, aktivovat plán na obnovu činnosti, okamžitě kontaktovat své nebo externí IT odborníky a v případě sjednaného pojistného krytí kontaktovat také pojistitele, který může svými prostředky v rámci pojistného plnění suplovat předchozí zmíněné kroky a osoby vč. následného právního zastoupení.
Mohl byste vysvětlit, jak je toto pojištění nákladné, od čeho se odvíjí jeho cena?
Na tento dotaz lze jen velmi těžko konkrétně odpovědět. Tak jako i u ostatních typů pojištění, tak i zde záleží na mnoha faktorech, které zásadním způsobem ohodnocují riziko možného vzniku škodní události. Sjednání pojištění předchází zodpovězení několika dotazů týkající se kvality zabezpečení informačních technologií a nastavených procesů v oblasti kybernetické bezpečnosti. Až na základě vyhodnocení těchto informací se stanovuje hodnota daného rizika a tím pádem i výše pojistného. Jeho výše se tak u menších firem může pohybovat řádově od několika tisíc korun ročně až po stovky tisíc korun u velkých firem nebo subjektů s vysoce exponovaným rizikem.
Jak zajistit kybernetickou bezpečnost na takové úrovni, aby bylo možné co nejvíce eliminovat možné útoky a minimalizovat jejich dopady?
Na trhu jsou již dnes běžné služby tzv. IT auditorů. Specializovaná firma vám provede audit kybernetické bezpečnosti s ohledem na provozovanou činnost, využití IT, množství shromažďovaných dat a možná rizika s tím související. Zhodnotí stávající stav a doporučí různá opatření, která povedou k co možná nejvyšší úrovni kybernetické bezpečnosti. Aplikovaná opatření doporučená odborníky pak mají pozitivní vliv i na sjednání možného pojištění. Nejen že pojištění může být výrazně levnější, ale zároveň je možné sjednat širší rozsah pojistného krytí. Bez základních prvků kybernetické bezpečnosti není možné pojištění sjednat vůbec.
Závěrem, existují nějaké statistiky nebo informace o tom, jaké společnosti patří mezi nejčastější terče kybernetických útoků, a to z pohledu jejich činnosti nebo velikosti?
Tyto trendy lze dobře sledovat např. ze statistiky společností vyvíjející antivirové programy, nebo i ze statistik právě pojistitelů, kteří nabízejí pojištění kybernetických rizik. Obecně lze tedy říct, že mezi časté terče kybernetických útoků patří subjekty z oblasti zdravotnictví, vzdělávání, technologie a výroby, finanční instituce a hotely a pohostinství. Zajímavostí je také jistě to, že přestože z médií se samozřejmě dozvídáme nejčastěji o útocích na velké a známe subjekty u nás nebo ve světě, tak statistiky prozrazují, že drtivá většina kybernetických útoků (přes 80 %) je vedena spíše na menší a střední firmy, a navíc se zpravidla jedná o anonymní útoky bez cíle poškodit konkrétní společnost. Tímto lze velmi snadno vyvrátit velký omyl, kdy se právě spousta takto velkých firem řídí heslem „nám se to stát nemůže, my nejsme pro nikoho zajímavý“.
Ing. Tomáš Staněk, Specialista na pojištění kybernetických rizik
Tomáši můžete vyjmenovat některá konkrétní kybernetická rizika, která lze pojistit?
Rozsah pojištění je velmi široký, uvedu tedy alespoň ta nejčastější:
- Odpovědnost za neoprávněné nakládání s údaji a narušení sítě (selhání bezpečnosti sítě, neoprávněný přístup či užití, únik osobních údajů, DoS, DDoS útoky...)
- Mediální odpovědnost (poškození pověsti či dobrého jména, pomluva, urážka, plagiátorství, počítačové pirátství, porušení autorských práv, zneužití loga, značky...)
- Kybernetické vydírání (související ztráty a náklady vč. výkupného)
- Náklady na obnovu dat a systémů (náklady na použití pronajatých zařízení, alternativní pracovní postupy, dodávky externích subjektů, zvýšené náklady na pracovní síly...)
- Přerušení provozu (ztráty v důsledku neoprávněného přístupu či zásahu, vydíráním, lidskou chybou, selháním bezpečnosti sítě, selháním programu...)
- Související náklady při incidentu (právní náklady, služby externích IT odborníků, oznamovací povinnosti, PR náklady...)
- Pokuty dozorového orgánu (pokuty plynoucí z odpovědnosti za únik dat nebo neoprávněného nakládání)
Pokud máte zájem dozvědět se více o možnostech pojištění kybernetických rizik a tom, jak můžete ještě více chránit Vaši firmu, neváhejte nás kontaktovat. Jsme tu, abychom Vám poskytli podrobné informace a navrhli Vám vhodné řešení na míru.
Mějte náskok před hrozbami digitálního světa!