Strmý nárůst spearfishingu a ransomwaru spolu se slabou bezpečností dat ve stoupajícím množství mobilních zařízení, používáním BYOD praktik a Internetu věcí (IoT) razantně zvyšuje riziko kybernetických hrozeb. To vyžaduje od pojišťoven, jejich obchodníků a pojišťovacích agentů, aby i oni více porozuměli problematice kybernetické bezpečnosti. Je rovněž důležité, aby rozuměli způsobům obrany proti těmto hrozbám, krytí kybernetických rizik a také jaké typy pojištění reagují na různé expozice těchto kybernetických hrozeb.
Pojišťovny, které kybernetická rizika již pojišťují, totiž zaznamenávají v souvislosti s nárůstem reálných kybernetických hrozeb průběný nárůst škodních nároků klientů.
Při jejich likvidaci je pak třeba zvažovat důležité faktory. Zejména ty, které je třeba brát v úvahu při vyšetřování kybernetického incidentu. Například je třeba zjistit, jak k incidentu došlo, zda to byla náhodná událost nebo úmyslné jednání. zda ohrožení bylo vnitřní nebo vnější, zda k narušení došlo v důsledku ztraceného zařízení nebo je příčinou nespokojený zaměstnanec a další.
Aby pojišťovny tedy případná rizika již při sjednávání pojištění omezily, osvědčily se při hodnocení rizikovosti klientů mimo jiné i tyto okruhy otázek, na které by potenciální klienti měli odpovídat. To může mít rostoucí význam zejména nyní, kdy se blíží platnost nařízení k ochraně osobní údajů – GDPR.
Jaké jsou to tedy otázky?
- Jaký typ informací žadatel o pojištění shromažďuje?
- Osobní identifikovatelné údaje
- Osobní zdravotní (citlivé) údaje
- Údaje platebních karet
- Jaký typ dat žadatel má, kde a jak jsou ukládány?
- Jak žadatel řídí přístup k datům?
- Jak žadatel monitoruje, kdo data užívá?
- Jak ruší žadatel přístupy uživatelům, kteří jej již nepotřebují?
- Má žadatel nějaké dřívější zkušenost s úniky dat?
Struktura kybernetických pojistek je pak nastavena podle podmínek pojištěnce, jehož rizika mají krýt.
Pojistné krytí vlastních škod tedy zpravidla zahrnuje pokrytí nutných výdajů pro nápravu škod, povinná oznámení o narušení bezpečnosti osobních údajů úřadům a postiženým, přerušení provozu, výdaje na krizové řízení nebo služby pro monitoring dalších úniku dat. Kromě toho mohou pojištění na úhradu vlastních škod zahrnovat náklady na služby jako například „vyčištění“ počítačů, obnovu dat a další.
Krytí odpovědnosti třetích stran může zahrnovat odpovědnost za únik nebo narušení dat nebo soukromých údajů, bezpečnost sítí, odpovědnost vydavatelů za média, nároky regulátorů a další. Mohou mít také různé sublimity.
Řada pojišťoven nabízí také firmám nebo jednotlivcům asistenční služby ke zmírnění ztrát nebo k prevenci před kybernetickými ztrátami.
Petr Moláček, Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.
Daniel Konečný, Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.