Pojistný obzor je k přečtení ZDE
V současnosti jsme svědky toho, že čím dál tím více malých a středních podniků požaduje krytí kybernetických rizik, protože potřebují ochránit své operace nejen pomocí IT bezpečnostních řešení, ale i pomocí pojištění kybernetických rizik, což se stále více stává zřejmým řešením. Narůstající digitální transformace, trend směrem ke globální konektivitě a propojenosti, internet věcí, narůstající počet virtuálních platforem a obchodních modelů téměř ve všech odvětvích, požadavky na řízení pomocí interního řízení rizik nebo zvýšené státní a legislativní úsilí, jako je např. obecné nařízení o ochraně osobních údajů, budou bezpochyby hnacími faktory dalšího vývoje.
I skutečnost ukazuje, že jsou čísla trhu pojištění kybernetických rizik slibná: na konci roku 2017 přesáhlo celosvětové pojistné částku 3,5 mld. USD, kdy největší podíl měly USA. Nyní se však zdá, že většinový podíl USA klesá, vzhledem k tomu, že evropský trh vykazuje velmi kladný trend, kdy pojistné roste téměř ve všech zemích Evropy. Obecně lze tedy říci, že pojištění kybernetických nebo souvisejících rizik je a nadále bude mnohem více než jen krátkodobým „humbukem“ na trhu.
Mohlo by vás zajímat: Přikryl a Čechová: Co přináší revize motorové směrnice?
Klíčové výzvy
Trh pojištění kybernetických rizik se v posledních letech rychle vyvíjel a nabízel různé druhy pojistného krytí. Náročnost kybernetiky jako nebezpečí a vývoj povahy rizika vyústily ve výzvy při tvorbě pojistných produktů, upisování, řízení rizik a řízení akumulace. Stejně jako v jiných odvětvích, řádné posouzení kybernetických rizik je klíčové pro jejich pojištění. Je třeba dále rozvíjet definici správného přístupu, od pohledu outside-in, s nástroji pro automatické hodnocení kybernetických rizik, až po inside-out posouzení, pomocí nástrojů monitorování nebo vcelku tradičních dotazníků kybernetických rizik a pohovorů.
Správná metodika posuzování rizik znamená jeden z nejdůležitějších pilířů při tvorbě ceny za kybernetická rizika. I když došlo k rozvoji modelů pro tvorbu cen, pokročilá tvorba ceny vycházející z ověřených historických dat a pojistněmatematických modelů nebyla zatím dostatečně otestována. To může u underwriterů vyvolat pocit, že kybernetická rizika je možné spolehlivě posoudit a ocenit, i když tomu tak není, alespoň ve srovnání s ostatními odvětvími pojištění.
Vzhledem k obchodnímu potenciálu rostoucího trhu pojištění kybernetických rizik vstoupilo do tohoto odvětví mnoho nezkušených hráčů, přičemž konkurence může nutit některé z nich nabízet pojištění kybernetických rizik bez hlubšího pochopení hlavního rizika a pouze podléhat tlakům trhu. Navíc s ohledem na hojné pojistné kapacity představuje snižování pojistného za situace, kdy pojistné smlouvy nebyly zatím otestovány a nejsou k dispozici odpovídající údaje o škodách, zásadní riziko. Krom toho dodatky ke smlouvám pojištění kybernetických rizik ve formě volného textu, které mají za cíl udržet úroveň pojistného, vedou k systematickému zvyšování rizika.
Složitost rizika, jeho posouzení a především pak nedostatek údajů jsou klíčovými faktory při zvažování obrovského kumulačního potenciálu jak smluv pojištění kybernetických rizik, tak i běžných smluv, které rovněž mohou krýt některá kybernetická rizika. Vzhledem k tomu, že konektivita a kybernetické technologie jsou všudypřítomné, může jedna rozsáhlá událost zasáhnout mnoho pojistných smluv. Hlavními riziky kumulačních scénářů mohou být:
- rozsáhlé narušení bezpečnosti osobních údajů;
- krytí následného přerušení provozu;
- výpadek externích sítí, jako je internet, telekomunikační sítě nebo dodavatelé energií a vody;
- výpadek ostatních poskytovatelů služeb s vysokou koncentrací klientů, jako jsou poskytovatelé cloudů a DNS serverů;
- bezpečnostní mezery v běžně používaných standardních softwarových produktech.
Mohlo by vás zajímat: ČAP: Pojistný trh meziročně narostl o 6 miliard korun!
Kumulace, která by vznikla z výpadku internetu, by měla na pojistitele i zajistitele velký dopad, což je důvod, proč je tak důležité mít povědomí o tom, jak jsou tyto aspekty řešeny v textu smluv a jak jsou kryty. Výpadek externí sítě, jako je internet, energie nebo telekomunikace, které mají značné finanční dopady na klienty v závislosti na druhu sítě, nepovažujeme za pojistitelné riziko – tedy alespoň ne za riziko, jež by bylo možné krýt soukromým pojistným sektorem jako takovým, ale možná pouze ve spolupráci se státem a pooly kybernetických rizik. Proto texty pojistných a zajistných smluv musí obsahovat výluky týkající se těchto rizik.
Další výzvy, se kterými se budeme muset v budoucnu vypořádat, zahrnují harmonizaci posouzení rizik a procesy výběru rizika, texty smluv, definice a terminologie prvků pojistného krytí. Kromě pojišťovnického sektoru mohou k překonání stávajících výzev přispět i ostatní zainteresované strany, jak to vyplývá z výsledků on-line hlasování účastníků konference OECD Insurance Conference v Paříži ve dnech 22.–23. února 2018 (viz graf 1). Tento průzkum velice dobře ukazuje, že je při řešení nevyzrálosti současného trhu a vyvíjecího se prostředí hrozeb zapotřebí mnohem více než jen individualistického přístupu pojišťoven. Klíčem bude spolupráce na různých úrovních a mezi mnoha ekosystémy.
Pojištění kybernetických rizik – nikoli zda, nýbrž jak
Vedle požadované spolupráce se zainteresovanými stranami, jako jsou poskytovatelé služeb IT bezpečnosti, oblast vědy a výzkumu, vlády, regulátoři a vlastníci rizika, bude muset být příspěvek pojišťoven ohromný, aby se vyrovnal se současnou digitalizovanou obchodní skutečností. Bude tedy třeba vytvořit a nabízet nové produkty pojištění kybernetických rizik, kdy trendem bude jasné samostatné pojištění kybernetických rizik. Klienti budou zahrnovat jak soukromé osoby, tak i malé, střední, až velké podniky a korporace.
Vzhledem k vývoji, kterému jsou firmy čím dál tím více vystavovány, by se měla každá pojišťovna zamyslet nad hledáním řešení těchto nových rizik – a především pamatovat na to, že některé stávající pojistné smlouvy sjednané jak u pojišťoven poskytujících pojištění kybernetických rizik, tak i u nových hráčů na trhu, kteří se rozhodli pojištění kybernetických rizik nabízet, mohou být již nyní vystaveny tzv. „skrytému kybernetickému riziku“, i když to není specificky ve smlouvě uvedeno. Skryté vystavení kybernetickým rizikům může nastat i v rámci obvyklých krytí, pojištěním majetku počínaje a pojištěním odpovědnosti konče.
Mohlo by vás zajímat:Sloupek Kateřiny Lhotské: Brexit, aneb dost bylo fňukání
Také životní pojištění může být postiženo skrytým kybernetickým útokem, protože nejen zařízení pro zdravý životní styl, ale i implantáty, jako je kardiostimulátor, jsou chytrými zařízeními, která jsou navíc propojená, a proto mohou být vystavena kybernetickým hrozbám. Z pohledu řízení rizik je důležité, aby pojišťovnický sektor zajistil zvážení a přímé řešení případných skrytých rizik.
Pojišťovny by se měly vyvarovat přijímání rizik bez řádného underwritingu, cenotvorby za posouzení rizik a řízení kumulace. Je třeba se zbavit nejistoty formulováním jasných výluk nebo zavedením jasného jazyka popisujícího krytí v tradičních odvětvích pojištění. Kybernetická rizika je třeba řešit samotnými smlouvami pojištění kybernetických rizik nebo dodatky o pojištění kybernetických rizik.
Role zajištění
Klíčem je spolupráce – a to se týká především partnerství se zajištěním. Vzhledem ke složitosti rizika a jeho významnému potenciálu kumulace spoléhají pojistitelé značnou měrou na zajistné kapacity a na to, že se s rizikem vyrovnají. Z důvodu velkých očekávání týkajících se růstu trhu pojištění kybernetických rizik je třeba vyčlenit značné zdroje na úpis kybernetických rizik a likvidaci kybernetických škod, zaměstnat zkušené kybernetické odborníky a vyčlenit underwritery kybernetických rizik a skupinu kybernetických odborníků pro příslušné trhy.
Mohlo by vás zajímat: Jaroslav Besperát: Za kvalitu pojišťovny odpovídá její šéf
V případě úspěšného kybernetického útoku je ohrožena existence dané společnosti. Zajistná řešení by tedy měla vždy záviset na vlastní struktuře, znalostech a příslušné ochotě riskovat primárního pojistitele. To s sebou nese nabídku pojištění kybernetických rizik pro firmy s vysokými pojistnými částkami. Modulární kybernetická řešení pro firemní klienty obsahují tradiční krytí, od narušení bezpečnosti osobních údajů přes krytí nákladů na výkupné v případě kybernetického vydírání až po krytí přerušení provozu, včetně forenzních nákladů.
V závislosti na rizikovém profilu klientů doporučujeme integrovat inovativní koncepty, jako je krytí poškození reputace, ochrana před osobní a materiální škodou, smluvní pokuty nebo platby záruk v případě škody způsobené kybernetickým útokem. Tyto různé služby a problémy ukazují, že je třeba dělat mnohem více než pouze převádět riziko: zajištění musí společně s pojistiteli přispět k ochraně malých a středních podniků před likvidačními škodami, a to komplexně a v souladu s danou rizikovou situací.
Pojistný obzor je k přečtení ZDE
Martin Kreuzer
Korporátní underwriter kybernetických rizik
Munich Re
Komentáře
Přidat komentář