Pojištění kyber rizik je náplast, firmy musí řešit hlavně prevenci

Nízké povědomí, minimální zájem a malá propojištěnost. To je ve zkratce pojištění kyber rizik v Česku. Navzdory tomu, že roste počet a sofistikovanost kybernetických útoků i závislost firem na ICT. „Pojištění kyber bezpečnosti ale není prevence ani ochrana, je to maximálně náplast, která překryje ránu po útoku,“ říká Jaroslav Slavíček, produktový manažer pro síťovou bezpečnost v O2. „Primárně by firmy měly řešit bezpečnost ICT a to, aby na vyplácení pojistky vůbec nedošlo.“

Zástupce jedné tuzemské pojišťovny v článku pro zpravodajský portál iRozhlas.cz zmínil, že pro firmy není jednoduché dostát podmínkám, jejichž splnění po nich pojišťovny v případě zájmu o pojištění kybernetických rizik vyžadují.

Stejně jako třeba v případě životního pojištění, kdy si vás pojišťovna proklepne skrze zdravotní dotazník a někdy si vyžádá i zprávy o vašem zdravotním stavu u vašeho lékaře. I v případě pojištění firmy proti kybernetickým rizikům zjišťuje, jak na tom druhá strana je.

„Nás se kyber útoky netýkají. My jsme malá firma!“ Říkáte si to stejné? Pak pozor: Podle dat společnosti Verizon se 48 % všech útoků týká malých firem. Podíl navíc meziročně roste. Ostatně, hovořili o tom i etičtí hackeři Cyber Rangers v článku Papíroví bezpečnostní manažeři dávají firmám falešný pocit bezpečí.Zatímco někteří hackeři se specializují na velké firmy, jsou tu tací, kteří využívají zranitelnosti v systémech a útočí plošně. Bez ohledu na to, jak velká, respektive malá firma je na druhé straně.

Zajímají ji informace o velikosti a obratu firmy, oboru podnikání, její závislosti na IT řešeních, ale třeba i množství a citlivost dat 3. stran, se kterými firma pracuje. „U dat pak bude pojišťovny velmi pravděpodobně zajímat, zda k nim má firma zmapované všechny přístupy, zda ví, kdo k nim přistupuje, kdo s nimi pracuje. Která data jsou jen pro čtení, nikoli pro zápis. Bude zjišťovat třeba i to, jestli monitorujete odchozí provoz,“ nastiňuje Jaroslav Slavíček.

„Požadavky pojišťoven vycházejí obvykle z nějakých směrnic, standardů, či norem. Velmi často to bývá rodina mezinárodních standardů ISO 27000, nebo eurounijní směrnice NIS, ze které vychází i český zákon o kybernetické bezpečnosti.“ doplňuje Ivo Kubíček, konzultant IT bezpečnosti v O2. „Když to zjednoduším, pojišťovna vám řekne: Poznejte, co máte, kde to máte, zjistěte, jak to spravujete a jakou to má kritičnost. A podle toho pak vznikne nabídka na pojistné krytí a výši pojistného.“

Pokud firma podmínky pojišťovny splní a akceptuje její nabídku, pak jí pojišťovna poskytuje ve sjednaném krytí a jeho výši pojistnou ochranu. Ta se nejčastěji skládá ze dvou složek:

• Pokrývá riziko odpovědnosti pojištěného za data, osobní údaje 3. stran a v případě kybernetického útoku pokrývá (do výše pojistného krytí) nároky 3. stran. Ať už jsou to vaši zaměstnanci, zákazníci nebo obchodní partneři, kteří došli kvůli útoku na vaši firmu k újmě.
• Pokrývá (v různém rozsahu v závislosti na sjednaném pojištění) škody, které se staly přímo postižené firmě. V závislosti na podobě sjednané pojistky může pojišťovna pomoci s úhradou nákladů na obnovu dat a systémů. Také může (částečně) nahradit ušlý zisk v důsledku kybernetického útoku (představte si třeba výrobní firmu, které dva dny stojí kvůli výpadku IT výrobní linka). Některé pojišťovny proplácejí i náklady spojené s PR aktivitami, které mají za cíl zmenšit negativní dopady na reputací firmy. Případně uhradí náklady na platbu výkupného v případě ransomwarového útoku.

Je to jako nemít hasicí přístroj, protipožární dveře ani jiné prostředky požární ochrany a jejich absenci suplovat pojištěním majetku proti požáru. Tak by se dala popsat mylná představa některých firem, že jim pojištění kyber rizik bude suplovat díry ve firemní bezpečnosti. Je jich málo, ale jsou. „My ale naštěstí v drtivé většině případů konzultujeme zabezpečení firemního IT firmám, u kterých není impulsem splnění nějakých podmínek pro pojistku, ale uvědomění si, že právě data jsou dneska mnohdy tím nejcennějším aktivem, které firma má,“ říká Jaroslav Slavíček.

„Pojištění je ale pořád jenom náplast, ta rána pod ní tam je,“ připomíná Jaroslav Slavíček. A Ivo Kubíček doplňuje: „Vyplacení pojistky je takové trochu post mortem řešení. Firma může být v důsledku útoku, ztrátě reputace nebo důležitého klienta fakticky mrtvá a pojišťovna jen vyplatí peníze na pohřební hostinu.“

V souvislosti s daty se někdy hovoří o takzvané CIA triádě. Tedy o důvěrnosti(Confidentality), integritě (Integrity) a dostupnosti (Availability) dat. „Jasně, můžu mít po útoku data zase dostupná, protože jsem zaplatil a dostal klíč, nebo jsem je vytáhl ze zálohy. Ale kde je pak ta důvěrnost? Kde mám jistotu, že je někdo nezkopíroval, nepředal konkurenci, …“ zmiňuje se Ivo Kubíček. „A když o data jednou úplně přijdete, penězi je nenahradíte. Prostě jsou pryč a s nimi know-how a důvěryhodnost firmy. A to že firma dostala z pojistky statisíce, miliony… to je vlastně jen drobná náplast.“

Pojištění kyber rizik vám zkrátka vyřeší jen malý kousek problému a ideálně by mělo být jen jedním z mnoha dílků komplexní strategie zajištění kyber bezpečnosti ve firmě. „Určitě neříkáme, že by se firmy neměly pojistit, ale vrátil bych se k tomu, že komplexní zabezpečení je mnohovrstevnaté řešení, kdy jedna vrstva vykrývá druhou. A pojištění je jen jednou z vrstev, přičemž úroveň zabezpečení firmy samozřejmě ovlivňuje i výši pojistky“ uzavírá Jaroslav Slavíček.

Michaela Látalová
Marketingový specialista pro B2B Míša se v O2 stará o to, aby české firmy měly vždycky dost informací o trendech v cyberscurity a ICT. Plní blog články, natáčí podcasty a firmy zásobí e-mailingy se žhavými novinkami.