Firmám zasiahnutým kybernetickým útokom vznikajú straty v dôsledku prerušenia podnikania, náklady na reakciu na incidenty a neraz aj pokuty súvisiace s porušením ochrany údajov.
Poisťovne, korporácie aj malé firmy preto vášnivo diskutujú o tom, ako nás poistenie kybernetických rizík ochráni pred finančnými stratami.
Nehrnieme sa do toho
Marián Illovský robí audity v informačnej bezpečnosti už dvadsať rokov. Pracoval pre desiatky klientov zo zdravotníctva, technológií, softvérového vývoja, segmentu financií, ale aj z verejnej správy a často s nimi hovorí o ich očakávaniach.
Či už to boli klienti z medzinárodných spoločností alebo lokálnych malých firiem, žiadny z nich nechcel aktívne riešiť poistenie rizík kybernetickej bezpečnosti. „Je možné, že ani nevedia, že je taká možnosť, alebo poisťovne iba veľmi slabo, ak vôbec, ponúkajú taký produkt.“
Sme nedôverčiví
„V praxi vidím, že firmy na Slovensku vnímajú kyberpoistenie rôzne, ak vôbec o ňom uvažujú,“ hovorí Michal Rampášek z advokátskej kancelárie Peterka Partners. Ovplyvňujú to faktory, ako náklady na poistné, ponúkané krytie a vlastné posúdenie firiem, ako sú vystavené rizikám a aké sú potenciálne straty z kyberincidentov.
Najčastejšie sa však aj táto kancelária stretáva s tým, že klienti považujú kyberpoistenie za drahé. Vysoké poistné a vnímané medzery v krytí môžu spochybniť efektívnosť kyberpoistenia ako súčasti celkovej stratégie riadenia rizík.
Kam to ide vo svete
Podľa vedúceho oddelenia komunikácie Národnej banky Slovenska Petra Majera sa však téma poistenia kybernetických rizík už dostáva do popredia.
Súvisí to s expanzívnou digitalizáciou, presunom ľudských činností do online prostredia, so zavádzaním prvkov umelej inteligencie a so silnejúcimi reguláciami, akým bolo aj Nariadenie o ochrane údajov GDPR.
Celosvetovo tak zaznamenáva trh s poistením kybernetických rizík rýchle tempo rastu. S rastúcim povedomím o kyberhrozbách sa očakáva ďalší exponenciálny rast trhu.
Naše míľniky
Počínajúc rokom 2018, čiže novelizáciou zákona o ochrane osobných údajov, je zvýšený záujem o poistenie kybernetických rizík aj na Slovensku. „S pripravovanou implementáciou nariadenia o digitálnej prevádzkovej bezpečnosti finančného sektora – DORA, predpokladáme ešte väčší záujem o túto problematiku,“ upozorňuje Peter Majer.
V roku 2023 preto uskutočnila Národná banka Slovenska dohľad na diaľku zameraný na oblasť kybernetických rizík vrátane ich poistenia.
Poistenie kybernetických rizík má v súčasnosti na slovenskom trhu relatívne slabé zastúpenie. Slovenskí klienti však majú možnosť poistiť sa proti kybernetickým rizikám v zahraničných poisťovniach.
Ostrovčeky istoty
Situáciu objasňuje Martin Kaňa, výkonný riaditeľ Slovenskej asociácie poisťovní: „Vzhľadom na rôznorodosť rozsahu a typu škôd, ktoré môžu kybernetické riziká v konkrétnej spoločnosti spôsobiť, je ponuka poistenia pre podnikateľov na Slovensku obmedzená na individuálne zmluvy a v niektorých poisťovniach úplne absentuje.“
Aktuálne produkty poisťovní na Slovensku v oblasti poistenia kybernetických rizík sú zamerané skôr na fyzické osoby. Poskytujú ochranu v prípadoch útoku v rámci elektronických platieb, ohrozenia alebo zneužitia virtuálnej identity, poškodenia dobrého mena, kyberšikany či pri nákupoch na internete.
Ak chcete viac
Poistenie kybernetických rizík pre právnické osoby má zväčša kombinovaný charakter. Ide o poistenie zodpovednosti za škodu voči tretím osobám a majetkové poistenie.
Krytými rizikami môžu byť napríklad straty v dôsledku prerušenia prevádzky, vydieranie, únik dát vrátane osobných údajov a s tým súvisiace pokuty, náklady na obnovu dát či náklady na IT špecialistov.
Pri tvorbe týchto produktov si musí poisťovňa vymedziť cieľový trh a s ohľadom naň zabezpečiť posúdenie všetkých relevantných rizík. Zároveň pravidelne preveruje a prihliada na udalosti, ktoré by mohli významne ovplyvniť možné riziká pre tento trh.
Hlavná výzva
Tu však podľa Michala Rampášeka narazíme: „Ako navrhnúť spoločný, ale pragmatický prístup k riadeniu kybernetických rizík?“ Problém je nedostatok dostupných údajov a aj fakt, že modely v dynamickom prostredí kyberhrozieb rýchlo zastarajú.
Ďalším návrhom je hodnotiť kybernetické riziko prostredníctvom ratingu či indexu. Ten objektívne posudzuje stav kyberbezpečnosti organizácie na základe rôznych faktorov. Patria sem napríklad zabezpečenia siete, ochrany údajov a schopnosti reagovať na incidenty.
Rating kybernetického rizika sa môže používať aj na vyhodnotenie rizika kybernetického útoku a určenie ceny poistného alebo krytia.
Fakty nepustia
S tým, že poistenie rizík kybernetickej bezpečnosti pre firmy je špecifikovaný produkt, súhlasí aj Marián Illovský. Upozorňuje preto aj na možnú vysokú cenu takéhoto poistenia. „Organizácie majú problém akceptovať rádovo nižšie ceny za bezpečnostné opatrenia, keďže nemajú ocenené možné riziká.“
Podľa Martina Kaňu by rozšíreniu ponuky poisťovní určite napomohlo, keby sa výrazne zlepšila úroveň kybernetického auditu u podnikateľov. Čím lepšie vie klient identifikovať, ale aj správne zabezpečiť kritické situácie a odhadnúť možné škody, tým s väčšou pravdepodobnosťou poisťovňa dokáže poskytnúť na tieto prípady poistnú ochranu.
Chráňte sa
Spoliehať sa iba na poistenie kybernetických rizík nie je dobrá cesta. Organizácie musia už dnes investovať do proaktívnych opatrení, ako sú pokročilé bezpečnostné technológie, školenia zamestnancov o kybernetických hrozbách a robustné postupy ochrany údajov.
Tento prístup zahŕňa implementáciu bezpečnostných štandardov, pravidelné hodnotenia zraniteľnosti a plány reakcie na incidenty na zmiernenie rizika kybernetických incidentov.