Začátek roku máme stále ještě v živé paměti, a proto si dovolíme trochu zavěštit do budoucích měsíců tentokrát v oblasti pojištění kybernetických rizik. V posledních letech jsme pečlivě sledovali domácí i zahraniční pojišťovny a zajišťovny, jak opatrně kolem pojištění kybernetických rizik našlapují. Nicméně tento relativně nový segment rizik a jejich pojištění i přes tradiční silnou konzervativnost pojistného trhu láká stále více hráčů.
Významně dlouhou část naší kariéry jsme strávili a stále trávíme v IT. Denně jsme obklopeni sítěmi, databázemi, aplikacemi, umělou inteligencí nebo hodnocením a řízením kybernetických rizik. A právě pro ošetření tohoto rizika je podle nás poměrně zajímavá mezera v pojišťovnictví.
Stejně tak se poměrně dlouho věnujeme tomu, abychom u českých pojišťováků budovali povědomí a hlubší znalosti k řízení kybernetického rizika. Bedlivě proto sledujeme, jak si budují svoje přístupy pojišťovací profesionálové na celém světě. Naše poměrně unikátní know-how se snažíme využít v tuzemsku, abychom českým pojišťovnám a makléřům pomohli, jak kybernetické riziko pojišťovat ale také ho s pomocí dostupných dat, řešení a nástrojů dokonce předvídat.
Na tuzemském trhu totiž vidíme na jedné straně dravost makléřů a chuť pojišťoven, kteří chtějí kybernetická rizika svých klientů systematicky upisovat. Nicméně se to zatím příliš nedaří. Pojištění cyber risku je tak jen o něco dál než otevírač dveří. Diferenciátorem ale mohou být například širší definice reálných scénářů, se kterými se klient ztotožní a budou mu dostatečnou motivací k pořízení.
Trh se ale mění a můžeme s jistou dávkou opatrného optimismu říct, že v jistém smyslu vyspívá a dozrává. Klíčoví lidé v zajišťovnách a pojišťovnách si postupně uvědomují, že jejich současné služby nejsou schopny dostatečně reagovat na reálné kybernetické události a z toho vyplývající velké ztráty. Vidíme ale, že osvícení pojistitelé i zajistitelé přidělují stále více zdrojů na budování svých schopností v oblasti úpisu pojištění a řízení kybernetických rizik. Zároveň své znalosti o kybernetickém průmyslu zvyšují, aby udrželi krok s vývojem souvisejících rizik a rostoucími požadavky jednotlivých odvětví.
Osobně si proto myslíme, že rok 2020 bude významným rokem změn. Dovolujeme si proto (ostatně jako každý rok) některé naše osobní předpovědi a odhady, kam toto odvětví bude směřovat, vyslovit:
1/ Rostoucí poptávka po širších modelových scénářích pro řízení kybernetických rizik
Vzhledem k tomu, že kybernetické útoky jsou stále častější, potřebují pojistitelé širší pohled zejména na kybernetické incidenty s možnými velkými ztrátami. Může se jednat o modelované scénáře od různě rozsáhlých výpadků cloudových služeb po masivně distribuované ransomware útoky. A aby mohly pojišťovny opakovaně lépe posoudit potenciální ztráty způsobené kybernetickými útoky, potřebují zvýšit počet scénářů, které zvládnou modelovat širokou škálu možných útoků.
V současných scénářích, které úzce simulují velké a katastrofické ztráty způsobené kybernetickými útoky, budou ale muset místo dohadů nastoupit data. Jak se trh učí, že kybernetická rizika se neustále vyvíjejí, bude poptávka po rozmanitějších scénářích a výpočtových modelech nadále stoupat.
2/ Zvýšená regulace pojištění napříč státy a průmyslovými odvětvími
Právní předpisy v oblasti ochrany osobních údajů a ochrany různých typů informací neustále rostou. Jednou z hlavních hnacích sil pojistných trhů proto bude zvýšená regulace týkající se kybernetických rizik. V současné době již více než 100 zemí provedlo nebo právě provádí nějakou formu právních předpisů, které se systematického dohledu nad omezováním kybernetického rizika týkají.
Ve Spojených státech, kde je dnes trh pojištění kybernetických rizik nejrozvinutější, přijala už v roce 2017 Národní asociace regulátorů v pojišťovnictví (NAIC) zákon Insurance Data Security Model Law. Ten například stanoví, že událost v oblasti kybernetické bezpečnosti oznámí pojistitel do 72 hodin regulačním orgánům. Zároveň ve stanovené lhůtě stanovené státem bude také zasaženým klientům poskytnuto oznámení o události. Tuto regulaci dnes zavádí stále více a více US států. Některé z nich, jako například New York, jdou i nad rámec základní legislativy, když stanovují povinnost, podle které společnosti musí soulad s touto regulací dokládat. Za tento přístup mohou určitě děkovat především různé auditorské společnosti, které budou osvědčení o souladu vydávat.
Evropa Ameriku v této aktivitě zatím dohání. Evropská asociace EIOPA (Celoevropský orgán dohledu nad zaměstnaneckým penzijním pojištěním a pojišťovnictvím) zveřejnila v loni zprávu nazvanou „Cyber Risk For Insurers – Challenges and Opportunities (Kybernetická rizika pro pojistitele - výzvy a příležitosti“, v níž prosazuje potřebu rámce kybernetické odolnosti pro evropské pojišťovny. Velmi povzbudivý je fakt, že zpráva klade důraz na „dobře rozvinutý trh kybernetického pojištění“ jako na hnací sílu při transformaci digitální ekonomiky.
Programy a politikami v oblasti kybernetického rizika, plánů reakce na incidenty a dalšími se zabývají řídící orgány různých dalších regulačních orgánů. Výsledky jsou očekávány v blízké budoucnosti. Finanční regulační orgány, jako jsou PRA (Prudential Regulation Authority), FCA (Financial Conduct Authority), BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht), MAS (The Monetary Authority of Singapore) a EIOPA (The European Insurance and Occupational Pensions Authority) tak stanovily pro některá průmyslová odvětví zvýšená regulační opatření, aby zajistily přiměřený stupeň kybernetické ochrany podniků a jednotlivců. Kybernetické pojištění se stává nezbytnou součástí aktivit ke splnění předpisů.
3/ Zvýšené vylučování kybernetických rizik z pojistných produktů
Další skupiny pojišťoven ze svých již nabízených pojistek kybernetická rizika striktně vylučují. Klasická pojištění konvenčního majetku a škod totiž standardně pokrývají fyzické škody. Ale formulace stávajících podmínek často vedla k nezamýšlenému kybernetickému pokrytí vzniklých škod, dnes označovanému jako „Silent cyber“ riziko. K řešení tohoto problému proto vyvinula Mezinárodní asociace pro upisování IUA (The International Underwriting Association) například pro London Market dvě modelové formulace.
Pojišťovny, jako jsou AIG, Allianz a Lloyds, už učinily konkrétnější kroky, které potvrzují vyloučení počítačových rizik z jejich pojistného krytí majetku a odpovědností. Jak se povědomí o „silent cyber“ zvyšuje, stále více pojišťoven vylučuje kybernetická rizika z podmínek svých konvenčních komerčních pojištění.
4/ Vznikající snahy o parametrické pojištění kybernetických rizik
Parametrické pojištění je typem pojištění, kdy se nehradí skutečná škoda, ale pojistné plnění se vyplácí, jestliže ještě před vlastní škodou nastane určitá “spouštěcí” událost. A ačkoli parametrické pojištění kybernetických rizik je stále ještě v plenkách, i zde vidíme zvýšené úsilí. Zajišťovny a pojišťovny totiž hledají inovativní způsoby, jak posouvat tradiční hranice pojistného krytí. Přitom největší výzvou pro parametrické pojištění je sběr dat a následně řádná korelace historických ztrát s parametry, které dokáží základní riziko vzniku škod omezit.
Přístup pojišťoven k údajům o kybernetickém riziku se zvyšuje zejména díky řešením, které umožňují sbírat data pokročilými aplikacemi, jako jsou např. samoučící umělé inteligence. Tyto přístupy poskytují pojišťovnám stále kvalitnější hodnoty parametrů k přesnému vyčíslení nově vznikajících kybernetických rizik. Tyto nové schopnosti jim pak umožní sestavovat nabídky parametrické pojistných produktů pro transfer kybernetického rizika klientů.
5/ Rostoucí potřeba zvýšených kapacit pro zajištění kybernetických rizik
Zvyšující se přesvědčení o hrozbě akumulovaného kybernetického rizika a rostoucí zkušenosti z jeho působení, vedou k reálné potřebě celkového zvýšení kapacit pro zajištění kybernetických rizik. Významně zapracovaly zajišťovny například v oblasti zmírňování hromadění systémových rizik kybernetického rizika. Dále bude důležité důsledné vyloučení kybernetických z ostatních pojistných politik a důležité také budou pokroky ve vývoji pojistných modelů. To jistě zprůhlední pohled na rizika, která zajišťovatelé přebírají. A jistě to také povede k vyšší ochotě rizika pojišťovat.
S rostoucím apetitem k prodeji pojištění budeme jistě svědky trendu snižování pojistných sazeb. Tento trend, ostatně podobně jako u jiných rizik, bude samozřejmě platit až do příští kybernetické katastrofy. Poté se sazby s největší pravděpodobností opět zvýší, co pojišťovny na vlastní kůži a ve svých portfoliích pocítí účinek masivních ztrát.
Odvětví pojištění kybernetických rizik je v době dynamického růstu. Každý rok přináší nové trendy a více příležitostí k vývoji produktů kybernetického pojištění. V roce 2020 je důležité věnovat pozornost důležitým pokrokům v oblasti identifikace a kvantifikace kybernetického rizika a dopadu těchto schopností na toto odvětví.
Petr Moláček, Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.
Daniel Konečný, Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.