Lloyd´s a společnost Cyence, nejvýznamnější firma zabývající se modelací kybernetických rizik, zkalkulovaly v rámci aktuální studie na základě dvou scénářů průběhu událostí potenciální hospodářské dopady kyberútoku. V případě napadení poskytovatele cloudových služeb vycházejí experti z odhadované škody na úrovni 53 miliard dolarů. Ve druhém scénáři simulovali napadení celosvětově využívaného firemního počítačového systému a došli k částce 28,7 miliardy dolarů.
Klíčová úloha pojišťoven
Lloyd´s počítají s průměrnou ekonomickou škodou 4,6 miliardy způsobenou velkou událostí a 53 miliardami dolarů u extrémního případu. Řada expertů předpokládá na základě nejistoty při stanovování celkových škod z kybernetických ataků dokonce částky škod 15 miliard v příznivějším případě a až 121 miliard dolarů při gigantickém rozsahu.
„Tato zpráva přináší výstižný pohled na rozsah škod, jež může světové hospodářství v důsledku kybernetických útoků utrpět. Ukazuje, že velmi podobně jako při nejhorších přírodních katastrofách mohou mít zcela zásadní účinky na firmy a národní ekonomiky. Že mohou vyžadovat víceoborová opatření a drasticky navýšit náklady na pojistná plnění od pojišťoven. Pojišťovny tak stojí před nutností zohlednit kybernetická nebezpečí ve svých krytích a současně zajistit, aby pojistné drželo krok s reálnou mírou kybernetického ohrožení,“ komentovala analýzu šéfka Lloyd´s Inga Beale.
„Výsledky studie nám odhalují fakt, že ztráty způsobené kyberútoky mají potenciál vyrovnat se škodám z velkých hurikánů. Pojišťovny na to musí myslet a explicitně zohlednit při agregaci kybernetické katastrofy. Pro tento účel je důležité shromažďování a zpracování velkých množství dat, protože kybernetická rizika se neustále proměňují,“ doplnil komentář šéf inovací v Lloyd´s Trevor Maynard.
Mohlo by vás zajímat: Sloupek Kateřiny Lhotské: Jiskra v oku, selský rozum a trojčlenka
Pojistné poroste
S ohledem na potenciál kumulovaných škod rozlišuje studie mezi hospodářskou a pojištěnou škodou. A rozdíl mezi těmito hodnotami zrcadlí současný stupeň celosvětového podpojištění. Příčiny vidí odborníci v přetrvávající a převládající nejistotě malých a středních firem, a také jejich pojistných makléřů, stejně jako v absenci standardizovaných pojistných řešení.
Současně se liší průměrné pojistné plnění kalkulované ze strany Lloyd´s od 620 milionů za velkou škodu až po 8,1 miliardy dolarů za extrémní škodu. V případě scénáře počítajícího s bezpečnostní mezerou u masově využívaného software se pohybují průměrné škody od 9,7 miliardy u velké události až po 28,7 miliardy dolarů za extrémní událost.
Analýza pracuje s různými zdroji, podle nichž se celkové světové náklady na kybernetickou kriminalitu odhadují na 450 miliard dolarů, zatímco globální pojistné na krytí těchto nebezpečí by mohlo být na úrovni 3,5 miliardy dolarů. Lloyd´s současně odhaduje meziroční růst pojistného v této branži o 35 %.
Dodatečný impuls pro další navýšení by mohla přinést pravidla General Data Protection Regulation (GDPR), podle níž výrazně vzroste odpovědnost společností a také hrozba enormních sankcí za jejich porušení.
Mohlo by vás zajímat: Unikátní spojení. Společnost MARSH pomohla tradiční Barum rallye
Slabé základy analýz
Vzhledem k tomu, že ovšem u škod z kybernetické kriminality nejsou k dispozici žádné roční statistiky, zakládají se výše uvedená čísla na modelacích škod pro typicky postihované podniky a ostatní uživatele. Ty jsou pak dopočítány na celosvětové bázi. Přitom jsou zohledněny běžné výluky z pojištění, jako jsou výpadky poskytovatelů sítě, poruchy v dodávkách elektrické energie („Public Infrastructure Exclusions“).
Nicméně i tak by člověk asi mohl mluvit o „věštění z kávové sedliny“ – i když na nejvyšší úrovni, se zohledněním všeho myslitelného a s dobrou vůlí. Následkem by ovšem bylo, že případné zakoupení potřebné zajistné kapacity, stejně jako odhad vlastní zbývající rizikové expozice, by spočívaly na slabých základech.
Další riziko plyne vedle technických inovací, jako jsou například chytré domácnosti, a i nadále z vysoké chybové frekvence v kódování softwaru. Vychází se z 15 až 50 chyb na každých tisíc kódovacích řádek. Vývojáři často vytváří programy jen pro „zasvěcené hlavy“, i s tzv. backdoors, které se však stanou všeobecně známými. Mnohé chyby jsou pak vstupní branou pro hackery a jejich viry. U některých veřejně dostupných programů chybí standard kvality; v mnohých případech hraje roli lidský faktor a nedbalost.
Mohlo by vás zajímat: Konference RISKfest: Jaká je profesní role makléře a agenta
Motivy kybernetických útoků
Motivy pro spáchání takových ataků jsou každopádně různorodé, počínaje nátlakem a vydíráním, přes úmyslné poškozování až po sabotáž. Také rozsah může sahat od menších zásahů až po generální útok na celé národní sítě. Typickým znakem je skrytá nebo falšovaná identita pachatelů – zejména stojí-li za takovou aktivitou nějaký stát.
Právě posledně jmenovaný faktor, totiž státní aktéři jako pachatelé nebo programátoři příslušného softwarového modulu, vrhá kyberkriminalitu v mnohých ohledech do sféry politických rizik. V extrémním případě - například při cíleném napadení digitální infrastruktury jiné země – by mohl takový čin splňovat vlastně i definici války. V takovém případě by se mohla uplatnit smluvní výluka na události této povahy.
Jak to bylo v Kataru?
Jaké důsledky může mít takový atak, ukázala aktuálně v létě krize okolo Kataru: podle jedné zprávy z Washington Post jsou údajně za hackery odpovědné Spojené arabské emiráty s cílem vyvolat diplomatickou krizi.
Podle těchto zpráv byly na sociálních sítích a ve zprávách už letos v květnu citovány údajné výroky katarského Emíra, v nichž se pochvalně vyjadřoval o radikálním islámském hnutí Hamás a o dění v Íránu. Krátce na to vláda Kataru dementovala, že by tyto zprávy byly autentické, a informovala, že za nimi stojí hackeři. Příslušné zprávy a citáty byly vymazány.
Následkem bylo přerušení diplomatických vztahů se Saudskou Arábií a sousedními arabskými státy. Doposud však není známo, zda SAE stály za aktivitou samy nebo zda někoho třetího pověřily.
Komentáře
Přidat komentář