Riziko ztráty dat a jejich zneužití je trvale přítomné a pravděpodobně ani nelze dosáhnout stavu nenarušitelné komplexní ochrany proti útokům hackerů a s tím spojeným zablokováním celofiremních informačních systémů či porušení GDPR pravidel. Kybernetická rizika hodnotí pojistný trh, potažmo světoví zajistitelé, jako vůbec největší hrozbu, se kterou se mohou firmy potýkat.

Co tedy dělat, když všechna preventivní opatření selžou, dojde k nedbalostnímu jednání jednoho zaměstnance nebo dostaneme pokutu od dozorového orgánu? Lze se proti takovým následkům vůbec pojistit? Na to jsme se zeptali Ing. Tomáše Staňka z pojišťovací makléřské společnosti RESPECT, a.s., který se specializuje právě na pojistné programy kybernetických rizik pro korporátní klientelu.

Tomáši, jak byste charakterizoval produkt pojištění kybernetických rizik?

Jedná se v zásadě o ojedinělý specializovaný pojistný produkt s poměrně širokým rozsahem pojistného krytí. Kombinuje v sobě pojištění odpovědnostních rizik vyplývající z nakládání s daty s pojištěním vlastních rizik spočívajících např. v nákladech na obnovu dat, ušlý zisk v případě přerušení provozu, nákladech kybernetického vydírání nebo v pokutách od dozorového orgánu. Zároveň je to hodně variabilní produkt, který lze „šít na míru“ podle konkrétních potřeb a situace klienta.

Zmínil jste pokuty. Jaké výše mohou pokuty za nedodržení legislativy dosáhnout a lze je opravdu hradit z pojištění?

Nyní je maximální výše pokuty 20 mil. EUR nebo 4 % z celkového ročního obratu společnosti (vyšší z obou možností). Za důležité považuji upozornit na to, že maximální výše pokuty může být udělena např. i menší společnosti se třemi zaměstnanci. Většina útoků je vedena anonymně, a proto častá argumentace „nám se to stát nemůže, my nejsme zajímaví“ je velkým omylem. A ano, náklady na tyto sankce lze krýt z pojištění kybernetických rizik (vč. pokut preventivního charakteru).

Pro koho je pojištění kybernetických rizik určeno?

Produkt pojištění kybernetických rizik je komerčním pojištěním pro všechny soukromé či státní subjekty bez ohledu na jejich zaměření. Každá společnost, která ukládá a shromažďuje data, provozuje informační systém nebo má třeba tyto činnosti zajištěné externě, je potencionálním terčem kybernetických incidentů. To mohou být události v různé podobě. Nejčastěji se jedná o útoky hackerů (kybernetické vydírání, zahlcení systémů a nedostupnost dat), únik dat a s tím související jejich obnova, nečestné jednání vlastních zaměstnanců za účelem úniku dat nebo zpřístupnění sítě, přerušení provozu firmy, pokuty od dozorových orgánů související s porušením nařízení GDPR apod.

Jsou obory podnikání, kde mají data vyšší hodnotu či jsou vystavena většímu riziku?

Hodnota dat je pro každého jiná a záleží pak na soudních nárocích, resp. přiznaných náhradách škod. Obecně lze ale samozřejmě konstatovat, že některé obory činností představují více exponované riziko úniku dat, jako např. nemocnice a jiná zdravotnická zařízení, banky, pojišťovny, hotely, e-shopy apod. Oproti tomu třeba u výrobních společností není riziko úniku dat tak velké, respektive nemusí být tak velké jeho možné finanční dopady, ale je tam zase velká hrozba přerušení provozu společnosti v důsledku kybernetického incidentu (vnitřního i vnějšího). A ztráty z takového přerušení činnosti mohou dosáhnout obrovských hodnot, aniž by došlo k nějakému úniku dat. I toto je pak předmětem pojistného krytí u pojištění kybernetických rizik.

Jaká je dostupnost tohoto pojistného produktu na českém pojistném trhu a jak je takové pojištění nákladné?

Nabídka tohoto pojištění je na českém trhu bohužel stále do jisté míry omezená, i přes to, že zájem firem je veliký. Díky naší spolupráci s mezinárodní sítí UNiBA máme kontakty na zahraniční zajistitele, a jsme tak schopni toto pojištění zprostředkovat i ze zahraničních trhů a splnit tak individuální požadavky našich klientů. Cena se stejně jako u jiných druhů pojištění odvíjí od tzv. „informacích o riziku“. V tomto případě je nutno sdělit skutečnosti týkající se zabezpečení informačních systémů, pravidel pro nakládání s daty, plánu pro obnovu činnosti v případu výpadku informačního systému apod. Tyto údaje jsou pak společně s parametry pojistného krytí (limit pojistného plnění, spoluúčasti apod.) základními cenotvornými faktory.

Děkuji za rozhovor,

Helena Sochrová,

CAFIN

Ing. Tomáš Staněk

Tomáš se specializuje na pojistné programy kybernetických rizik pro korporátní klientelu. Více než 20letou praxi získal u několika pojišťovacích makléřů, kde působil na pozici brokera i ředitele pobočky. Má dvě dcerky. Ve volném čase sportuje (hokej, kolo, tenis), rád také cestuje a fotí.