Pojištění kybernetických rizik: Od rizik k příležitostem


			Pojištění kybernetických rizik: Od rizik k příležitostem

Kybernetické hrozby dozajista představují jeden z největších bezpečnostních problémů 21. století. Především velké společnosti je považují za velmi rizikové, a to nejen pro data klientů nebo interní IP adresy, ale i pro mnoho probíhajících finančních operací. Nepřekvapí tedy, že v obchodním prostředí roste poptávka po pojištění kybernetických rizik. Více se dočtete v článku, který vyšel v odborném časopise Pojistný obzor.


Pojistný obzor je k přečtení ZDE


 V současnosti jsme svědky toho, že čím dál tím více malých a středních podniků požaduje krytí kybernetických rizik, protože potřebují ochránit své operace nejen pomocí IT bezpečnostních řešení, ale i pomocí pojištění kybernetických rizik, což se stále více stává zřejmým řešením. Narůstající digitální transformace, trend směrem ke globální konektivitě a propojenosti, internet věcí, narůstající počet virtuálních platforem a obchodních modelů téměř ve všech odvětvích, požadavky na řízení pomocí interního řízení rizik nebo zvýšené státní a legislativní úsilí, jako je např. obecné nařízení o ochraně osobních údajů, budou bezpochyby hnacími faktory dalšího vývoje.

I skutečnost ukazuje, že jsou čísla trhu pojištění kybernetických rizik slibná: na konci roku 2017 přesáhlo celosvětové pojistné částku 3,5 mld. USD, kdy největší podíl měly USA. Nyní se však zdá, že většinový podíl USA klesá, vzhledem k tomu, že evropský trh vykazuje velmi kladný trend, kdy pojistné roste téměř ve všech zemích Evropy. Obecně lze tedy říci, že pojištění kybernetických nebo souvisejících rizik je a nadále bude mnohem více než jen krátkodobým „humbukem“ na trhu.


Mohlo by vás zajímat: Přikryl a Čechová: Co přináší revize motorové směrnice?


Klíčové výzvy

Trh pojištění kybernetických rizik se v posledních letech rychle vyvíjel a nabízel různé druhy pojistného krytí. Náročnost kybernetiky jako nebezpečí a vývoj povahy rizika vyústily ve výzvy při tvorbě pojistných produktů, upisování, řízení rizik a řízení akumulace. Stejně jako v jiných odvětvích, řádné posouzení kybernetických rizik je klíčové pro jejich pojištění. Je třeba dále rozvíjet definici správného přístupu, od pohledu outside-in, s nástroji pro automatické hodnocení kybernetických rizik, až po inside-out posouzení, pomocí nástrojů monitorování nebo vcelku tradičních dotazníků kybernetických rizik a pohovorů.

Správná metodika posuzování rizik znamená jeden z nejdůležitějších pilířů při tvorbě ceny za kybernetická rizika. I když došlo k rozvoji modelů pro tvorbu cen, pokročilá tvorba ceny vycházející z ověřených historických dat a pojistněmatematických modelů nebyla zatím dostatečně otestována. To může u underwriterů vyvolat pocit, že kybernetická rizika je možné spolehlivě posoudit a ocenit, i když tomu tak není, alespoň ve srovnání s ostatními odvětvími pojištění.

Graf 1 Spuštění případného pojištění kybernetických rizik

Vzhledem k obchodnímu potenciálu rostoucího trhu pojištění kybernetických rizik vstoupilo do tohoto odvětví mnoho nezkušených hráčů, přičemž konkurence může nutit některé z nich nabízet pojištění kybernetických rizik bez hlubšího pochopení hlavního rizika a pouze podléhat tlakům trhu. Navíc s ohledem na hojné pojistné kapacity představuje snižování pojistného za situace, kdy pojistné smlouvy nebyly zatím otestovány a nejsou k dispozici odpovídající údaje o škodách, zásadní riziko. Krom toho dodatky ke smlouvám pojištění kybernetických rizik ve formě volného textu, které mají za cíl udržet úroveň pojistného, vedou k systematickému zvyšování rizika.

Složitost rizika, jeho posouzení a především pak nedostatek údajů jsou klíčovými faktory při zvažování obrovského kumulačního potenciálu jak smluv pojištění kybernetických rizik, tak i běžných smluv, které rovněž mohou krýt některá kybernetická rizika. Vzhledem k tomu, že konektivita a kybernetické technologie jsou všudypřítomné, může jedna rozsáhlá událost zasáhnout mnoho pojistných smluv. Hlavními riziky kumulačních scénářů mohou být:

  • rozsáhlé narušení bezpečnosti osobních údajů;
  • krytí následného přerušení provozu;
  • výpadek externích sítí, jako je internet, telekomunikační sítě nebo dodavatelé energií a vody;
  • výpadek ostatních poskytovatelů služeb s vysokou koncentrací klientů, jako jsou poskytovatelé cloudů a DNS serverů;
  • bezpečnostní mezery v běžně používaných standardních softwarových produktech.

Mohlo by vás zajímat: ČAP: Pojistný trh meziročně narostl o 6 miliard korun!


Kumulace, která by vznikla z výpadku internetu, by měla na pojistitele i zajistitele velký dopad, což je důvod, proč je tak důležité mít povědomí o tom, jak jsou tyto aspekty řešeny v textu smluv a jak jsou kryty. Výpadek externí sítě, jako je internet, energie nebo telekomunikace, které mají značné finanční dopady na klienty v závislosti na druhu sítě, nepovažujeme za pojistitelné riziko – tedy alespoň ne za riziko, jež by bylo možné krýt soukromým pojistným sektorem jako takovým, ale možná pouze ve spolupráci se státem a pooly kybernetických rizik. Proto texty pojistných a zajistných smluv musí obsahovat výluky týkající se těchto rizik.

Další výzvy, se kterými se budeme muset v budoucnu vypořádat, zahrnují harmonizaci posouzení rizik a procesy výběru rizika, texty smluv, definice a terminologie prvků pojistného krytí. Kromě pojišťovnického sektoru mohou k překonání stávajících výzev přispět i ostatní zainteresované strany, jak to vyplývá z výsledků on-line hlasování účastníků konference OECD Insurance Conference v Paříži ve dnech 22.–23. února 2018 (viz graf 1). Tento průzkum velice dobře ukazuje, že je při řešení nevyzrálosti současného trhu a vyvíjecího se prostředí hrozeb zapotřebí mnohem více než jen individualistického přístupu pojišťoven. Klíčem bude spolupráce na různých úrovních a mezi mnoha ekosystémy.

Pojištění kybernetických rizik – nikoli zda, nýbrž jak

Vedle požadované spolupráce se zainteresovanými stranami, jako jsou poskytovatelé služeb IT bezpečnosti, oblast vědy a výzkumu, vlády, regulátoři a vlastníci rizika, bude muset být příspěvek pojišťoven ohromný, aby se vyrovnal se současnou digitalizovanou obchodní skutečností. Bude tedy třeba vytvořit a nabízet nové produkty pojištění kybernetických rizik, kdy trendem bude jasné samostatné pojištění kybernetických rizik. Klienti budou zahrnovat jak soukromé osoby, tak i malé, střední, až velké podniky a korporace.

Vzhledem k vývoji, kterému jsou firmy čím dál tím více vystavovány, by se měla každá pojišťovna zamyslet nad hledáním řešení těchto nových rizik – a především pamatovat na to, že některé stávající pojistné smlouvy sjednané jak u pojišťoven poskytujících pojištění kybernetických rizik, tak i u nových hráčů na trhu, kteří se rozhodli pojištění kybernetických rizik nabízet, mohou být již nyní vystaveny tzv. „skrytému kybernetickému riziku“, i když to není specificky ve smlouvě uvedeno. Skryté vystavení kybernetickým rizikům může nastat i v rámci obvyklých krytí, pojištěním majetku počínaje a pojištěním odpovědnosti konče.


Mohlo by vás zajímat:Sloupek Kateřiny Lhotské: Brexit, aneb dost bylo fňukání


Také životní pojištění může být postiženo skrytým kybernetickým útokem, protože nejen zařízení pro zdravý životní styl, ale i implantáty, jako je kardiostimulátor, jsou chytrými zařízeními, která jsou navíc propojená, a proto mohou být vystavena kybernetickým hrozbám. Z pohledu řízení rizik je důležité, aby pojišťovnický sektor zajistil zvážení a přímé řešení případných skrytých rizik.

Pojišťovny by se měly vyvarovat přijímání rizik bez řádného underwritingu, cenotvorby za posouzení rizik a řízení kumulace. Je třeba se zbavit nejistoty formulováním jasných výluk nebo zavedením jasného jazyka popisujícího krytí v tradičních odvětvích pojištění. Kybernetická rizika je třeba řešit samotnými smlouvami pojištění kybernetických rizik nebo dodatky o pojištění kybernetických rizik. 

Role zajištění

Klíčem je spolupráce – a to se týká především partnerství se zajištěním. Vzhledem ke složitosti rizika a jeho významnému potenciálu kumulace spoléhají pojistitelé značnou měrou na zajistné kapacity a na to, že se s rizikem vyrovnají. Z důvodu velkých očekávání týkajících se růstu trhu pojištění kybernetických rizik je třeba vyčlenit značné zdroje na úpis kybernetických rizik a likvidaci kybernetických škod, zaměstnat zkušené kybernetické odborníky a vyčlenit underwritery kybernetických rizik a skupinu kybernetických odborníků pro příslušné trhy.


Mohlo by vás zajímat: Jaroslav Besperát: Za kvalitu pojišťovny odpovídá její šéf


V případě úspěšného kybernetického útoku je ohrožena existence dané společnosti. Zajistná řešení by tedy měla vždy záviset na vlastní struktuře, znalostech a příslušné ochotě riskovat primárního pojistitele. To s sebou nese nabídku pojištění kybernetických rizik pro firmy s vysokými pojistnými částkami. Modulární kybernetická řešení pro firemní klienty obsahují tradiční krytí, od narušení bezpečnosti osobních údajů přes krytí nákladů na výkupné v případě kybernetického vydírání až po krytí přerušení provozu, včetně forenzních nákladů.

V závislosti na rizikovém profilu klientů doporučujeme integrovat inovativní koncepty, jako je krytí poškození reputace, ochrana před osobní a materiální škodou, smluvní pokuty nebo platby záruk v případě škody způsobené kybernetickým útokem. Tyto různé služby a problémy ukazují, že je třeba dělat mnohem více než pouze převádět riziko: zajištění musí společně s pojistiteli přispět k ochraně malých a středních podniků před likvidačními škodami, a to komplexně a v souladu s danou rizikovou situací.  


Pojistný obzor je k přečtení ZDE


Martin Kreuzer
Korporátní underwriter kybernetických rizik
Munich Re

Sledujte nás

Facebook Twitter LinkedIn

Komentáře

Přidat komentář

Nejsou žádné komentáře.

RSS

Související články