Kyberhrozby jsou pro pojišťovny strašákem

Digitalizace se v dnešní době promítá do všech firemních procesů. Pokud nejste online, jako byste neexistovali. Ruku v ruce s těmito trendy však stoupá riziko kybernetických útoků, které mohou zásadně ovlivnit fungování organizací. Lukáše Pavlíka, odborníka na cyber security, jsme se zeptali, jak je to v dnešní době s pojištěním proti těmto hrozbám.

Uvědomují si dnes firmy důležitost pojištění proti kybernetickým hrozbám? Jak moc narůstá zájem o tento typ pojištění?

Pojištění proti kybernetickým hrozbám (u pojišťoven pod názvem „pojištění kybernetických rizik“) je relativně novým typem pojištění, které je na českém trhu dostupné od roku 2013. Zájem o tento typ pojištění se u organizací různí a to s ohledem na jejich geografické umístění. V západní části světa je toto pojištění běžnou součástí business sféry. Podle statistiky z roku 2019 je v USA a Velké Británii pojištěno přibližně 75 – 80 % malých a středních organizací. Takto vysoké číslo lze přičíst tomu, že pojištění proti kybernetickým hrozbám vzniklo právě v západní části světa a tak je zde tato oblast „o krok před ostatními. V Evropě je na tom podobně Německo, kde je zastoupení organizací, které mají sjednány tento typ pojištění podobný, jako v USA nebo Velké Británii. V České republice lze také v posledních čtyřech letech pozorovat zájem o pojištění proti kybernetickým hrozbám a to nejen ze strany malých a středních podniků, ale také u velkých nadnárodních organizací. Se vzrůstajícím počtem kybernetických útoků lze také ze strany různých organizací pozorovat větší uvědomělost v této problematice.  

Poškození majetku lze poměrně jednoduše finančně vyčíslit. Jak je to s otázkou kybernetických útoků, které mají za cíl ukrást know-how, duševní vlastnictví nebo poškodit pověst firmy? Existují pravidla, podle kterých lze podobné škody vyčíslit a daří se pojišťovnám pružně reagovat na rozvoj kybernetických hrozeb?

Odpovědět na tuto otázku je pro pojišťovací instituce stále velmi obtížné. U pojištění proti kybernetickým hrozbám, na rozdíl od jiných typů pojištění, nelze aplikovat standardní postupy aktuárské (pojistné) matematiky. Hlavním důvodem je především podstata kybernetických útoků a jejich možný průběh. Zatímco u jiných typů pojištění (jako jsou např. přírodní hrozby apod.) lze modelovat různé budoucí situace poškození majetku, popř. zdraví danou hrozbou, u kybernetických útoků je toto modelování velmi obtížné. Je to dáno především rychlým vývojem typů těchto hrozeb a vysokou variabilitou jejich možného průběhu.

Ve většině případů je modelování budoucích škod u jiných typů pojištění založen na analýze historických dat, na základě kterých se modeluje možný budoucí vývoj a dopad nežádoucích událostí. V případě kybernetických hrozeb tento přístup nelze uplatnit. Jednotlivé typy kybernetických hrozeb a jejich průběh se velmi rychle mění a z toho důvodu nelze na základě historických dat za uplynulých několik let předvídat, jaká situace bude v příštím roce a jak velké dopady mohou kybernetické hrozby způsobit. Druhým významným faktorem, který odhad budoucích škod komplikuje je, že kybernetické hrozby probíhají ve virtuálním prostředí, které není definováno žádnými fyzikálními zákony, na základě kterých by bylo možné předvídat jejich vývoj.

V případě jiných typů nežádoucích událostí, které probíhají v naší běžné realitě (opět použijí jako příklad přírodní hrozby) je možné alespoň na základě určitých fyzikálních ukazatelů odhadovat možný průběh daného jevu a také jeho dopady. U kybernetických hrozeb je aplikace takového postupu skoro nemožná. Pro současné pojišťovací instituce je problematika stanovení možných budoucích škod, způsobených kybernetickými hrozbami, stále velkou výzvou. Existuje sice poměrně velké množství nástrojů pro analýzu rizik. Jejich aplikace ale stále nepřináší výsledky, které by byly pro tento typ pojištění široce využitelné.

Co všechno by měly organizace pojistit v případě, že se chtějí krýt proti kybernetickým útokům?

Portfolio krytí pojištění proti kybernetickým hrozbám se různí s ohledem na typ pojišťovny a jejího pojistného produktu, který klientům nabízí. Lze ale obecně říci, že kromě hardwaru a softwaru, jsou tím nejcennějším pro organizaci data a pověst (reputace). Hardware a software je ve většině případů nahraditelný, ukradená data, která však nejsou zálohována, představují poměrně velký problém, který může stejně jako poškození pověsti, ohrozit fungování organizace. Nicméně oceňování dat, jakožto nehmotného aktiva, je velmi složitou záležitostí. Do procesu stanovení ceny vstupuje velké množství faktorů, které není vždy jednoduché finančně vyjádřit.     

Vyhodnocuje se při stanovení výše pojištění a jeho plnění i na základě „IT vyspělosti firem“? Může se například stát, že firma s horším hardwarem a softwarem bude muset platit vyšší částky za pojištění, protože je riziko úspěšného útoku vyšší?

Součástí sjednání pojištění je posouzení bezpečnostní úrovně a mechanismů, které by měly zabránit vzniku a realizaci kybernetické hrozby. Tato analýza je součástí pojistných podmínek a jejím úkolem je zjistit, na jaké bezpečnostní úrovni se daná organizace nachází a jaké bezpečnostní nástroje používá. Každá pojistná instituce má nastavena pravidla, která musí splnit alespoň na základní úrovni každá organizace, která má být pojištěna. Pokud by tato pravidla nesplňovala, bylo by riziko vzniku nežádoucí kybernetické hrozby příliš vysoké a tudíž pro pojistnou instituci rizikové.

V uplynulých letech jste pracoval na přípravě algoritmu, který by měl organizacím pomoci s efektivním pojištěním. Jak by měly společnosti postupovat?

Algoritmus, který jsem navrhoval, byl součástí mé disertační práce. V podstatě se jednalo o návrh jednotlivých kroků, jejichž aplikace by umožňovala stanovit potenciální škody, které by mohly kybernetické hrozby způsobit. Součástí algoritmu byla také identifikace oblastí, ve kterých mohou organizaci vzniknout největší finanční náklady spojené s realizací kybernetické hrozby. Jednalo se např. o již zmiňovaný hardware, dobré jméno nebo také náklady na rekonstrukci a obnovu dat apod. Celý proces v podstatě spočívá v ocenění jednotlivých oblastí (ke kterým je stanoven matematický vzorec), na který navazuje modelování interakce těchto oblastí s vybranými kybernetickými hrozbami. Výsledkem procesu je pak definování kybernetické hrozby, která může mít pro organizaci nejzávažnější finanční následky, včetně vyjádření těchto škod. Algoritmus mohou aplikovat pojišťovací instituce, které jej mohou využít pro proces sjednání pojištění a také samotné organizace, které mohou zjistit, jaké škody jim může konkrétní kybernetická hrozba způsobit a na základě dosažených výsledků poté přijmout adekvátní opatření.