Pojišťovací a makléřská komunita v zahraničí intenzivně nad současnou podobou pojištění kybernetických rizik diskutuje. Velmi častým tématem jsou také aktuální překážky na trhu a návrhy ke zlepšení. Nedávná studie z Velké Británie na toto téma shrnuje základní poznatky do deseti bodů. Podle našeho názoru a dosavadních zkušeností naprostá většina z nich platí i pro náš začínající trh, zejména co se týká prodejních strategií.
- Skryté kybernetické riziko - Silent cyber
Silent cyber je šedou zónou pojistných událostí. (Psali jsme na Cyberinsurance.cz ZDE) Jde o to, že kybernetický incident jako příčina pojistné události může a nemusí být explicitně uveden v existujících pojistných podmínkách anebo vyloučen ve výlukách. Je pak nutné vést debatu, jak to je a určit scénář, který klientovi skutečně pomůže. Ne vždy je to ale ve prospěch prodeje nové kybernetické pojistky. Vetšina makléřů a pojišťoven zdůrazňuje potřebu hlubšího ošetření tohoto problému. - Klienti kybernetickým rizikům docela nerozumí
Jak dlouhodobě upozorňujeme, pojem kybernetický je sám o sobě nešťastný a bezobsažný. S tím je spojen fakt, že cíloví potenciální klienti dostatečně produktu a krytí nerozumí. Nemohou se tedy rozhodovat, zda vůbec transfer svých podnikových rizik pomocí pojištění uskuteční. Pojistné podmínky jsou pro běžného podnikatele či majitele společnosti málo srozumitelné. Navíc je také málo známých případů z praxe, které by problematiku osvětlily. Dalším faktorem je skutečnost, že jen málo firem (vyjma korporací) provádí analýzu rizik jako faktoru nejistoty na své podnikání. Je tedy logické, že pak nemohou uchopit pojištění, když ani nevědí, že jsou příslušným rizikům vystaveny. - Klienti neadekvátně měří dopady kybernetických rizik
Naprostá většina klientů nedostatečně měří možné finanční náklady na nápravu (potenciální ztráty) úniku dat. V extrémních případech dokonce vůbec. Stěží pak dokáží reálné finanční dopady posoudit. Stejně tak to platí pro posuzování dopadů ransomwaru na podnikání a činnost klientů. U rizik pro duševní vlastnictví je stav doslova jak přes kopírák. A stejně dopadlo I hodnocení kybernetických incidentů, které by měly za následek přerušení provozu. Jen asi desetina klientů je schopna měřit pravděpodobné náklady spojené s únikem dat. - Pojistné podmínky jsou odtrženy od reálných kybernetických hrozeb
Zde i edukovaní odborníci na pojištění mají problém. Obtížně jsou totiž schopni propojit základní typy kybernetických hrozeb a pojmosloví v pojistných podmínkách. Možným důvodem je, že pojistné podmínky koncipují vesměs právníci a původní poznatky z IT konzultací jsou překryty pro běžné smrtelníky nesrozumitelným právním žargonem. Ten ale sleduje potřeby pojišťoven. Ne vždy se také opírá o relevantní normy nebo alespoň o zdravý rozum. - Katastrofální události s mnohočetným dopadem
Tyto kumulativní události, které se mohou lavinovitě šířit mezi další klienty , mohou drasticky ovlivnit způsob jakým se vyhodnocuje rizikovost klientů. Pojišťovny se těchto rizik bojí doslova jak čert kříže. Minimálně to znamená jejich velice konzervativní přístup k cyber insurance produktům. To pak zpomaluje jejich náběh i prodejní výsledky. Takové události mohou trh i resetovat. - Agregovaná rizika a z nich vyplývající nejistota
Rizika a zejména kybernetická nelze posuzovat odděleně. Jedna rizika mohou zesilovat druhá nebo je mohou iniciovat. Makléři a pojistitelé silně tento aspekt zdůrazňují. Proto I tento aspekt představuje v portfoliu pojištění kybernetických rizik další brzdu růstu trhu. - Dnešní poptávku generují hlavně představenstva a vrcholové orgány firem a organizací
Dalším stimulátorem růstu trhu je také požadavek auditů a due diligence. Z toho vyplývá, kdo je dnes ultimativně konečným zákazníkem a rozhodujícím činitelem při zakoupení pojištění kybernetických rizik. Velkou otázkou pak je, jaká je dnes situace v segmentu malých a středních podniků. A co vlastně může být v tomto segmentu generátorem poptávky. - Snížení rizik versus transfer rizik není pochopeno
Kromě ignorování můžeme kybernetická rizika snížit (řídit, vyhnout se), sdílet (transfer) nebo akceptovat. To by mělo ovšem znamenat, že každá organizace by měla být schopna měřit. A také určit, kde hranice transferu rizik začíná. Dle zkušenosti makléřů a pojistitelů firmy a organizace nedobře chápou, že se jedná o systémovou záležitost řízení jejich rizik. Namísto toho se rozhodují o limitu své pojistky naprosto intuitivně. - Nezávislé hodnocení rizik se nevyužívá
Pojišťovny a makléři jsou si vědomi toho, že využití vlastních dotazníků pro hodnocení rizikovosti klientů není dostatečné. Na druhé straně se pro hodnocení rizik velmi málo používají externí specializovaní konzultanti. Praxe ale ukazuje, že je potřeba to změnit. - Makléři a pojišťovny budou muset edukovat sebe i trh
Profesionálové vidí nutnost v edukaci klientů a ve zvyšování jejich bezpečnostního povědomí v rámci presales cyklu. Jen tak se podle nich dosáhne vetší míra konverze a řešení výše popsaných problémů. Stejně tak se budou muset edukovat To také znamená více náklady, které se mohou promítnout do nákladů na pojistné.
Výše zmíněné oblasti popisují nejmarkantnější brzdy rozvoje trhu s pojištění kybernetických rizik. Z našeho pohledu se ale nejedná o nepřekonatelné překážky. K řešení některých z nich by významně pomohla i větší součinnost mezi pojišťovnami, makléři ale i profesními asociacemi, odborníky na řízení kybernetických rizik a kybernetickou bezpečnost nebo úřady, které se kybernetickou bezpečností státu zabývají. Mohla by vzniknout prospěšná spolupráce, která pomůže jak businessu pojišťoven, tak i zvýšit kybernetickou bezpečnost ekonomiky a státu.
Daniel Konečný, Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.
Petr Moláček, Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.