Jakou roli, pane řediteli, mohou pojišťovny zastat v prevenci vzniku kybernetických rizik?
Během procesu úpisu tohoto pojištění je klíčové správně vyhodnotit rizika, a to na základě klientem poskytnutých informací. Pokud je toto hodnocení rizika vypracováno opravdu důkladně, může pojistitel pomoci klientům identifikovat nedostatky a navrhovat opatření, která v konečném důsledku mají preventivní charakter před vznikem incidentu-škody. Naše pojišťovna má celou řadu rizikových inženýrů, kteří se setkávají s našimi současnými nebo potenciálními klienty a mohou řešit nastavení IT procesů nebo zabezpečení z mnoha pohledů.
Pojišťovna tedy může zcela určitě napomoci svým klientům při prevenci vzniku kybernetických incidentů. Příkladů z praxe je celá řada – již nyní u zhruba třetiny všech klientů, kteří oslovují naši pojišťovnu, navrhujeme a doporučujeme určitá opatření, která by měla společnost nastavit v rámci vnitropodnikových procesů.
Jaké následky kybernetických rizik může pojištění eliminovat či snížit?
Pojištění kybernetických rizik dává pojištěným přístup k expertům, jako jsou forenzní IT specialisté, právníci, odborníci na krizové řízení a další, kteří jim pomohou zmírnit následky kybernetického incidentu v podobě úniku dat, hackerského útoku, kybernetického vydírání či přerušení provozu. Tyto incidenty mohou mít negativní dopad na finanční stabilitu společnosti, její reputaci nebo v dnešním dynamickém světě kritický dopad na budoucnost celé společnosti.
Mohlo by vás zajímat: PojištěnáFaktura.cz pro podnikatele ještě dostupnější
Proti čemu se klienti pojišťují nejčastěji?
S ohledem na blížící se termín účinnosti nařízení GDPR je jednoznačně nejčastějším důvodem k pojištění právě toto nařízení, resp. pojištění možných následků při úniku dat, a související pokuty ze strany regulátora. Nicméně pojištění úniku osobních dat je jen jedním z několika typů pojistného krytí, které si klient v rámci pojištění kybernetických rizik může sjednat. Zájem registrujeme čistě ze strany společností, které jsou samozřejmě exponovány mnohem více než fyzické osoby. Navíc povědomí fyzických osob o možnosti pojištění kybernetických rizik je naprosto minimální, což se však dá říci do značné míry i o korporacích. Dalším problémem je fakt, že ne u všech pojišťoven může sjednat pojištění fyzická osoba.
Co vše pojišťovna zkoumá, aby dokázala svým klientům doporučit adekvátní výši pojištění
kybernetických rizik?
Hodnocení rizika v případě pojištění kybernetických rizik je velmi komplexní. Pojišťovny posuzují celou řadu skutečností, např. odvětví, ve kterém firma podniká, výši obratu, geografické faktory, informační systémy společnosti a jejich ochranu, risk management, bezpečnost sítě a provozu, zabezpečení serverů, typ a počet záznamů, které společnost shromažďuje, standardy ochrany osobních údajů apod.
Dopady kybernetických útoků mohou být nedozírné. Jsou na jejich krytí pojišťovny připraveny?
Nemohu bohužel vyhodnotit, jak jsou připraveny ostatní pojišťovny. My nabízíme kapacitu 600 mil. Kč na jedno riziko a nabízíme možnost postavit program pro největší klienty až do výše 16 mld. Kč. Pokud nabízíme takovéto kapacity, musíme být i připraveni na kybernetické incidenty a škody.
Mohlo by vás zajímat: První GDPR pojištění v ČR od Colonnade Insurance
Jak hodnotíte rozvoj pojištění kybernetických rizik v posledních letech a co lze v tomto ohledu očekávat v roce 2018?
S blížícím se nařízením GDPR jednoznačně očekáváme výrazný nárůst zájmu o toto pojištění. Podíváme-li se na vývoj na ostatních pojistných trzích, tak míra regulace a škody jsou hlavní hnací silou pro další rozvoj pojištění kybernetických rizik. A obojí se v Evropě nyní děje. Důležité je také zmínit, jak mladý tento pojistný produkt je a jak malá propojištěnost na trhu existuje.
Na jedné straně skýtá pro pojišťovny nemalou příležitost, avšak na druhé straně stojí velmi dynamicky se rozvíjející riziko a kyberprostor, o kterém víme tak málo. Hrozby a možné dopady na pojištění ve smyslu závažnosti a výše škod lze jen velmi těžko predikovat. Odhadujeme, že trh pojištění kybernetických rizik se zdvojnásobuje každý rok. To samé lze očekávat do budoucna.
Co byste pro další rozvoj pojištění kybernetických rizik uvítal?
Bohužel se stále potýkáme s tím, že mnozí klienti dávají přednost ceně před kvalitou pojištění a služeb s ním spojených. V tomto ohledu bych osobně uvítal intenzivnější edukaci trhu a inovativní přístup, což samozřejmě povede k dalšímu pozitivnímu rozvoji nejen tohoto pojištění, ale k celkové profesionalitě a kultivaci pojistného trhu.
Existuje na trhu pro tuto specifickou oblast dostatek kvalifikovaných odborníků? Mají pojišťovny know-how pro řešení kybernetických rizik?
Český pojistný trh se v případě pojištění kybernetických rizik teprve utváří, proto není v porovnání s jinými zeměmi tolik rozvinutý. Je tu bezesporu limitovaný počet expertů. Toto je také důvod, proč je u tohoto produktu tak důležité vybírat pojišťovnu se zkušenostmi, včetně zkušeností s likvidací pojistných událostí v mezinárodním měřítku. Know-how je pro řešení kybernetických incidentů bezpochyby jednou z kritických částí pojištění kybernetických rizik. Pojišťovny nejsou schopny samy o sobě řešit veškeré případy – potřebují IT odborníky, právní poradenství, posudky apod. A co víc, potřebují je v mnoha zemích, aby byl zabezpečen i bezproblémový proces likvidace pro nadnárodní korporace.
Mohlo by vás zajímat: Překvapení: Návrat Zdeňka Sluky do čela Broker Trust
Jaké úrovně dosahuje pojištění kybernetických rizik v jiných zemích? Můžete uvést příklady úspěšné inovace v zahraničí?
Oproti západním zemím jsme prozatím pozadu. Omezené množství pojistitelů, lidských zdrojů, inovace, menší know-how či osvěta, velmi krátká doba, kdy se toto pojištění v ČR nabízí, to jsou dle mého hlavní důvody, proč tomu tak je. Tento produkt je v podstatě kontinuálně inovován posledních několik let a bude inovován i nadále. Neustále se modifikuje tak, aby co nejvíce splnil očekávání společností. Stejně jak se dynamicky vyvíjejí technologie a s tím se neodmyslitelně zvyšují rizika, tak se rozšiřuje rozsah pojištění. Osobně považuji za úspěšnou inovaci rozšíření krytí i o újmy na zdraví či na majetku nebo možnost pojistit klienta de facto kdekoliv na světě.
Jakou váhu v pojištění kybernetických rizik přikládáte následujícím oblastem: předcházení škodě, kompenzace za vzniklou škodu, odstranění škody a řešení následků?
Pojištění kybernetických rizik je proces mající svůj životní cyklus. Každý úsek tohoto cyklu je něčím unikátní a má v něm své místo. V rámci risk managementu každé společnosti je fundamentální prevence, tedy předcházení vzniku škod nebo incidentů. Nicméně nic není dokonalé a škody se zkrátka stávají. Pak přichází na řadu další klíčová část procesu – řešení incidentu.
Chubb spolupracuje celosvětově se stovkami forenzních firem, právních kanceláří a s dalšími odborníky, kteří pomáhají našim klientům eliminovat negativní následky incidentu co nejrychleji a nejefektivněji. Myslím si, že váhy důležitosti jsou velmi vyrovnané a jak prevence, tak odstranění následků mají vesměs stejnou váhu.
Co podle Vás představuje největší výzvu, jejíž překonání by napomohlo významnému rozvoji pojištění kybernetických rizik?
Přerušení provozu, kybernetické vydírání a GDPR jsou hlavními tématy, která klienty nejvíce zajímají. Toto se zřejmě nezmění z krátkodobého pohledu. Nicméně hlavní výzvou stále zůstává přesvědčit klienty, že toto pojištění by mělo být součástí jejich řízení rizik a celkové strategie kybernetické bezpečnosti. Vzhledem k tomu, že budou kybernetické útoky do budoucna představovat jednu z nejzávažnějších globálních hrozeb, čeká toto pojištění ještě mnoho výzev.
Jindřich Bajer
Vystudoval ČZU v Praze. Svou kariéru v pojišťovnictví započal v roce 2004 v AIG Europe, S. A. Zde působil jako senior upisovatel pojištění finančních rizik, zejména pojištění odpovědnosti managementu (D&O), pojištění profesní odpovědnosti, pojištění zpronevěry či pojištění kybernetických rizik. Od roku 2010 působí v pojišťovně Chubb European Group Ltd.
Mgr. Libor Hlavička
šéfredaktor Pojistného obzoru
Česká asociace pojišťoven
Komentáře
Přidat komentář