Hlavní navigace

Pojistěte se před hackerskými útoky i pokutami spojenými s GDPR

Jana Langerová

S počítači a internetem pracuje dnes většina firem a podnikatelů a s tím je spojeno mnoho rizik. Jejich krytí může zajistit pojištění.

Doba čtení: 8 minut

Sdílet

Pojištění kybernetických rizik (Cyber Liability) je kombinací pojištění odpovědnosti za škody, protože jsou hrazeny škody způsobené třetím osobám, za které pojištěný právně odpovídá, a majetkového pojištění, protože je poskytováno pojistné plnění za škody způsobené pojištěnému.

O co se jedná?

Pojištění kybernetických rizik by mělo být součástí risk managementu firem a doplňovat komplexní sadu opatření, kterými společnost snižuje riziko škod způsobených jak externím „útokem“, tak pochybením vlastních zaměstnanců. Jedná se o produkt určený pro soukromé společnosti jakéhokoliv zaměření a instituce nebo organizace, které mají ve své správě data klientů, zaměstnanců nebo obchodních partnerů. To jsou v dnešní době v podstatě všechny typy společností. Z naší zkušenosti jsou terčem útoků jak výrobní podniky, tak poskytovatelé služeb,  např. e-shopy, nemocnice, školy atp, dodává na úvod Marko Antič, Casualty Underwriting Manager z Colonnade Insurance. Daniel Konečný z konzultační společnosti Principal engineering dodává, že argument, že se mě to přeci netýká anebo že nejsem pro hackery zajímavý, je naprosto lichý. Kromě cílených útoků s cílem poškodit váš business existují i tzv. plošně automatizované. Ty si cíle nevybírají konkrétně, nýbrž analyzují, kudy na vás zaútočit, vysvětluje dále. 

K hlavním kybernetickým rizikům patří ztráta informací z počítače nebo mobilního telefonu, omezení či zamezení přístupu k firemním informačním systémům, přerušení webových služeb nebo hrozby spojené se ztrátou dat při užívání cloudových služeb. Rizika se navíc neustále vyvíjejí a stávají komplexnějšími. Pokud se některé z uvedených rizik stane skutečností, může vést nejen ke ztrátám dat klientů, partnerů či zaměstnanců společnosti, ztrátě zisku postižené společnosti, ale také k poškození dlouho budovaného dobrého jména společnosti a tím ztrátě důvěry zákazníků a klientů, doplňuje Michal Pilecký, produktový manažer pojištění kybernetických rizik ze společnosti RENOMIA, pojišťovacího makléře.

Za kybernetické riziko bývá často považováno pouze napadení společnosti prostřednictvím nedostatečně zabezpečené firemní sítě či útoky prostřednictvím podvodných emailů. Je v něm však kryto také selhání zaměstnanců (např. neúmyslné zveřejnění citlivých údajů o klientech) nebo škody způsobené ztrátou či odcizením hardwaru s důležitými informacemi. Roman Jandík, manažer online distribuce a marketingu z MAXIMA pojišťovny, upozorňuje, že počet vydírání, zneužití či úniků dat a poškození počítačů nebo sítí kybernetickým útokem dramaticky roste a podnikatelé a firmy nejsou vždy na tyto hrozby adekvátně připraveni. Tato příprava je přitom podle něj nezbytným předpokladem dlouhodobého úspěšného fungování podniku.

O bezpečnosti webových stránek jsme psali v článku Hackerské útoky se nestávají jen ve filmech. Nepodceňujte bezpečnost webu

Nabídka pojištění

Pojištění kybernetických rizik momentálně nenabízí mnoho pojišťoven, například AXA nebo ČSOB Pojišťovna je momentálně nabízí jednotlivcům, tedy nikoliv podnikatelům a firmám. Tento produkt reaguje na překotný vývoj na poli digitálních technologií a s tím spojené společenské a ekonomické změny chování. Růst prodejů je však podle Daniela Konečného konzervativní. Hlavní důvody spatřuji v poměrné složitosti produktu, respektive nutnosti ho vysvětlovat. K tomu je nutná určitá odbornost a vhled do problematiky IT bezpečnosti, což není v prodejních kanálech relevantních pro tento produkt běžné, popisuje. Dalším omezujícím prvkem může být podle něj pro některé podnikatele překryv s jinými pojistkami anebo výluky na škodu na majetku způsobenou kyber incidentem.  

Pojištění kybernetických rizik od pojišťovny Colonnade kryje především škody vzniklé zveřejněním citlivých informací nebo osobních údajů, které má pojištěný ve své správě a za které nese odpovědnost. Kryto je také pochybení ze strany zaměstnanců pojištěného, a to jak úmyslné (krádež interní databáze zaměstnancem), tak i neúmyslné (ztráta notebooku, odeslání citlivých informací nesprávnému adresátovi). Vztahuje se také na náklady související s pochybeními, jako jsou například náklady na služby znalce v oboru kybernetika, obnovu elektronických dat nebo nápravu dobrého jména společnosti (PR služby). Klientům jsou rovněž kryty náklady právního zastoupení v případě žaloby ze strany poškozeného. Velmi důležitou oblastí, kterou pojištění kybernetických rizik zahrnuje, je krytí sankcí a pokut dozorových orgánů, např. pokut od Úřadu na ochranu osobních údajů, dodává Marko Antič. 

Klienti se mohou také připojistit, a to sjednáním pojištění proti vydírání v případě útoku hackerů a dále pojištěním proti škodám způsobeným výpadkem sítě. V druhém případě se jedná o přerušení provozu z důvodu selhání IT systému společnosti, kdy pojištění pokrývá ušlý zisk po dobu přerušení provozu. Maximální výše pojistného plnění je dána limity, které si klient určí při sjednávání pojistné smlouvy. Naši klienti zpravidla volí limity v řádech desítek až stovek milionů korun. Od toho se také odvíjí výše pojistného, která se pohybuje v řádech desítek a stovek tisíc korun ročně, popisuje Marko Antič.

Pojištění kybernetických rizik od Kooperativy je určeno pro všechny podnikatele, firmy i neziskové organizace, které uchovávají osobní i jiná data svých zákazníků, pacientů, žáků, zaměstnanců a obchodních partnerů a pracují s nimi. Toto pojištění kryje v případě kybernetického incidentu například škody na datech v elektronické podobě, náklady regulatorního řízení, náklady na PR, odpovědnost za újmu způsobenou únikem dat v elektronické podobě a volitelným připojištěním je pak přerušení provozu. Za kybernetický incident je považován DOS útok, poškození, zničení, ztráta nebo odcizení dat v elektronické podobě způsobené úmyslným jednáním například hackera a nedbalostní pochybení vedoucí k poškození či ztrátě dat v elektronické podobě. Konkrétně se může jednat například o situaci, kdy zaměstnanec nechá zařízení bez dozoru v nezabezpečeném režimu nebo když omylem pošle dokument s citlivými osobními údaji neoprávněné osobě. 

Podmínkou pro sjednání pojištění u Kooperativy je skutečnost, že organizace dbá na určitá bezpečnostní opatření, jako jsou používání silných hesel a antivirů, práce v oficiálních a aktuálních verzích programů, pravidelné zálohování dat, šifrování harddisku apod. Důvod je podle Milana Káni, tiskového mluvčí společnosti Kooperativa zřejmý: Každý systém je napadnutelný, největším rizikem je však lidská chyba, tedy zanedbání bezpečnostních procesů, které mohou vést k úniku nebo zneužití osobních dat klientů, nefunkčnosti počítačových systémů, přerušení provozu i poškození dobrého jména firmy.

Nabídce přerušení provozu jsme se věnovali v článku Trápí vás, co by se stalo při přerušení provozu? Problémy zmenší pojištění

Širokému spektru společností, které shromažďují a pracují s velkými objemy dat klientů, nabízí pojištění také česká makléřská společnost OK Group. Spadá pod pojištění speciálních rizik a chápou jej jako typ pojištění právní ochrany. Vztahuje se například na přerušení provozu vinou narušení počítačového systému nebo zásahu hackera, lidské chyby nebo chyby programu, náklady na urychlení procesu navrácení do běžného provozu, eliminaci prostojů po události, která způsobila přerušení provozu, ztrátu či narušení dat a náklady na obnovu dat, odpovědnost vyplývající z neoprávněného přístupu do počítačového systému pojištěného nebo vydírání prostřednictvím sítě. 

Produkt Pojištění kybernetických rizik a odpovědnosti za data (GDPR) MAXIMA pojišťovny je určen pro všechny podnikatele, kteří mohou být ohroženi únikem dat svých nebo dat třetích osob, jež zpracovávají, nebo kteří mohou být ohroženi útokem hackerů vedeným proti pojištěnému podniku, nebo naopak s neoprávněným využitím počítačů a sítí pojištěného. Z pojištění jsou kryty také náklady na obnovu poškozeného softwaru nebo dat, ušlý zisk a stálé náklady při přerušení provozu. Podnikatelé, kteří přijímají platby platebními kartami, mohou být také vystaveni nákladům a sankcím, souvisejícím s únikem dat o platbách a porušením protokolů PCI DSS. 

V souvislosti s GDPR má každý podnikatel také nejen odpovědnost za spravovaná data třetích osob, ale je vystaven také riziku udělení pokuty dozorovým orgánem, eventuálně mu mohou vzniknout náklady na oznámení úniku dat osobám, jejichž data unikla. Velkou výhodou našeho produktu je, že tyto náklady kryje, a to bez ohledu na to, zda únik dat souvisí s IT technologiemi či ne, tedy může jít o únik dat v neelektronické formě, vysvětluje Roman Jandík. Výše plnění se v této pojišťovně standardně pohybuje do 50 milionů korun, v individuálních případech však podle Romana Jandíka lze pojistit limit v řádu stovek milionů korun. 

O pokutách spojených s GDPR jsme psali v článku Mohou pokuty za porušení GDPR ohrozit vaši firmu?

Na pojištění kybernetických rizik se zaměřuje také pojišťovací makléř RENOMIA. Její pojištění kryje například škody a náklady na právní zastoupení pojištěného v souvislosti s jeho odpovědností vůči třetím stranám za porušení ochrany osobních údajů nebo citlivých korporátních dat a informací, škody třetích stran v důsledku výpadku webových nebo síťových služeb a úniku osobních údajů, dat a informací a s tím spojenou odpovědností pojištěného nebo náklady pojištěného na jednání před dozorovými orgány a jimi udělené pokuty. Nadstavbově pak lze připojistit vydírání pojištěného prostřednictvím sítě nebo výpadek sítě – přerušení provozu pojištěného. Výše pojistného se odvíjí od řady faktorů a stanovuje se individuálně. Důležitý je obor činnosti a objem dat a údajů, se kterými zájemce o pojištění pracuje a shromažďuje, roli hraje způsob ochrany dat ve společnosti, rozsah outsourcingu služeb a v neposlední řadě požadované krytí a limit pojistného plnění, vysvětluje Michal Pilecký. 

PR Summit tip Nulickova

Nabídka pojištění kybernetických rizik
Instituce Název produktu
Colonnade Pojištění kybernetických rizik
Kooperativa Pojištění kybernetických rizik
OK Group Pojištění kybernetických rizik
MAXIMA pojišťovna Pojištění kybernetických rizik a odpovědnosti za data (GDPR)
RENOMIA Pojištění kybernetických rizik

Hlavní je prevence

Podle Milana Káni se předpokládá, že význam pojištění kybernetických rizik bude v budoucnu srovnatelný například s pojištěním motorových vozidel. Přibývá totiž dat a informací a ty je třeba chránit. Citlivé údaje o zákaznících i dodavatelích mohou vynést bývalí zaměstnanci nebo se data jednoduše ztratí, e-shop mohou kdykoliv napadnout hackeři. Potom ztráta dat, důvěry zákazníků a často i finančních prostředků mohou být pro podnikání skutečně fatální – náklady na objasnění, obnovení dat a přerušení provozu jsou vysoké, popisuje.

Marko Antič uvádí, že se v pojišťovně často setkávají s tím, že firmy nemají ani základní bezpečnostní prvky IT, chybějí jim pravidelné aktualizace softwaru, zaměstnanci nejsou školeni v oblasti zacházení s citlivými údaji a nejsou stanoveny interní postupy pro práci a uchovávání dokumentů s těmito údaji. Naším doporučením je tedy jednoznačně prevence: investice do řádného zabezpečení interních systémů a vzdělávání zaměstnanců, radí. Souhlasí s tím také Daniel Konečný, podle kterého je prevence důležitým aspektem celého kontextu pojištění kybernetických rizik. Čím lépe jsem potenciálně jako firma připravena z hlediska organizačních a technických opatření v ochraně dat, tím čitelnějším partnerem pro pojišťovnu jsem a tím méně závažnější dopady kyber incident a následná pojistná událost má, uzavírá.