Jaké jsou možnosti pojištění kybernetických rizik?
12.07.2018 09:38 |
Pojištění kybernetických rizik je určeno pro široké spektrum společností, organizací, které shromažďují a pracují s daty svých klientů, zaměstnanců, občanů.
Pojištění kybernetických rizik je určeno pro široké spektrum společností, organizací, které shromažďují a pracují s daty svých klientů, zaměstnanců, občanů. Jedná se například o společnosti z oblasti IT, e-shopy, zdravotnická zařízení, obce a města, organizace z oblasti školství a mnoho dalších. Dá se říci, že každá společnost, která shromažďuje, pracuje či jakýmkoliv způsobem nakládá s daty, je dnes v ohrožení.
Vzhledem ke stále většímu důrazu na automatizaci, digitalizaci a provázanost informačních systémů ve většině odvětví ekonomiky, roste také hrozba kybernetických útoků. Nebezpečí spočívá v kybernetické kriminalitě, kdy úmyslnými a cílenými útoky dochází k poškození či ztrátě dat (z počítače nebo z cloudu), k problémům s dostupností systémů/sítí z důvodu přetížení, k neoprávněným zásahům do osobních práv nebo k přerušení poskytovaných služeb apod.
Mezi kybernetická rizika se řadí zejména:
kybernetická kriminalita (cílené útoky, terorismus);
ztráta/odcizení dat;
ztráta/odcizení HW;
on-line rizika – e-mail, externí úložiště dat takzvaný cloud;
zastaralý HW a SW – nedostatečná ochrana dat;
neloajální zaměstnanci.
Postižený subjekt se může nacházet v pozici oběti kybernetického útoku také však současně v pozici viníka, tedy toho, kdo nese odpovědnost za sekundární škody vůči svým klientům či zaměstnancům. Princip odpovědnosti vůči třetím stranám se posílí ještě více, a to kvůli Obecnému nařízení o ochraně osobních údajů (GDPR) – jedná se o novou legislativu EU účinnou od 25. května 2018, která výrazně zvýší nároky na ochranu osobních dat občanů.
Tato nová legislativa přináší společnostem, organizacím nemalé náklady na zabezpečení dat klientů a obchodních partnerů. I přes tato opatření však může dojít chybou systému či jednotlivce k úniku nebo poškození spravovaných dat. Klienti či obchodní partneři, kteří se cítí být poškozeni, se mohou obrátit na společnost o náhradu finanční škody. Navíc společnostem hrozí vysoké sankce stanovené dozorovými orgány.
Pojištění kybernetických rizik je v podstatě kombinací majetkového pojištění, to znamená, že je poskytováno pojistné plnění za škody způsobené pojištěnému (hrazeny jsou vlastní finanční škody pojištěného) a pojištění odpovědnosti za újmu, kdy jsou hrazeny škody způsobené třetím osobám. Jedná se o stav, kdy je pojištěná společnost, organizace uznána jako viník, který nese odpovědnost za škody, újmy vůči třetím osobám vzniklé zejména v souvislosti s ochranou soukromí (v návaznosti na GDPR).
Pro představu uvádíme několik příkladů, které toto kompletně sjednané pojištění může krýt. Jedná se zejména o škody způsobené hackerským útokem na počítačových systémech (softwarech) a datech poškozené společnosti, organizace, náklady na obnovu dat, případně další náklady, včetně nákladů na právní zastoupení. Dále lze sjednat krytí nákladů souvisejících s přerušením provozu v důsledku narušení počítačového systému nebo zásahu ze strany hackera, ale i nechtěné lidské chyby. Kryty mohou být i náklady související s nároky na ochranu osobních údajů a v neposlední řadě rovněž náklady na očištění dobrého jména poškozené společnosti, organizace – náklady na public relations. Někteří pojistitelé sjednávají v rámci svých produktů i krytí sankcí, pokut udělených dozorovým orgánem, např. Úřadem pro ochranu osobních údajů. Na pojistném trhu již také existuje samostatný produkt pod názvem pojištění GDPR.
Je důležité upozornit na fakt, že rozsah nabízeného krytí závisí na správném výběru produktu, který je na našem pojistném trhu nabízen. V současné době tento produkt nabízejí jen někteří pojistitelé a konkurence pojistitelů v tomto segmentu pojištění není tak široká jako u jiných produktů korporátního pojištění (ať už např. pojištění majetku, odpovědnosti z provozní činnosti nebo pojištění profesní odpovědnosti či pojištění členů statutárních, dozorčích orgánu společnosti apod.)
Závěrem je potřeba říci, že je důležité nepodceňovat a nezanedbávat prevenci ochrany a zabezpečení IT systémů.