Digitalizace a nová rizika
V několika posledních dekádách došlo k rapidnímu přechodu ekonomik z papírové formy podnikání do elektronické. Vždyť kdo si dnes již vzpomene na letenky ve formě knížek či poštovní vyřizování nabídek a objednávek. A tento proces není rozhodně u konce, naopak, dnes jsme součástí přechodu od elektronického podnikání k virtuálnímu.
Digitalizace razantně vstoupila do našich profesních i soukromých životů. Dnes už však nejde jen o oběh elektronických dokumentů či e-mailové vyřizování obchodních záležitostí. Rozvoj výpočetní techniky umožnil široké využívání internetu k prodeji zboží a služeb, úhrady obchodních transakcí či snadnou komunikaci s partnery kdekoli ve světě, a to prakticky odkudkoli – dnešní mobilní telefon je výkonným nástrojem, který umožňuje pracovat bez ohledu na to, zda jsme v kanceláři či ve venkovské chalupě.
Napadení IT systémů
Spolu s různými výhodami však tento proces otevřel dveře zcela novým rizikům, s nimiž podnikatelé nemuseli dříve počítat. Tato rizika lze v případě realit rozdělit do dvou hlavních oblastí. První z nich je napadení IT systémů zajišťujících internet věcí (IoT), který umožňuje vzájemnou komunikaci rozličných „smart“ elektronických zařízení či čidel a jejich propojení s řídicími systémy budov. Elektronizace zjišťování provozních hodnot, jejich sběr a analýza stejně jako propojování rozličných subsystémů do složitějších a komplexnějších řešení přináší podstatné snižování provozních nákladů, komfort okamžité znalosti podstatných informací či konkurenční výhodu jejich provozovatelům. Oproti historickému „manuálnímu“ sběru těchto dat či nastavování konfigurace různých obslužných systémů vyvstala současně nová rizika hackerského útoku na tyto systémy s cílem poškodit majitele či provozovatele budov a jejich nájemníky.
Ti očekávají, že budova bude řádně svítit, vyhřívat vnitřní prostory, větrat, zajišťovat provoz výtahů, kantýny nebo garáží. Cílem hackera může být přerušení či omezení provozu v daném objektu i snaha způsobit finanční újmu či vydírat majitele objektu, aby uhradil „výpalné“. Ještě nebezpečnější je využití systémů zajišťujících provoz nemovitosti k proniknutí do IT systémů zde sídlících firem s cílem např. odcizit peníze z firemního účtu, poškodit instalované výrobní linky, skladovou evidenci zásob, objednávkový systému e-shopu či rezervační systém hotelu. V extrémních případech může jít o přípravu fyzického napadení daného objektu např. vyřazením kamer chránících místo uložení drahých kovů a cenností z jejich činnosti.
Poškození obchodních dat
Druhá oblast úzce navazuje na předchozí segment. Jde o poškození či ztrátu obchodních dat o zaměstnancích, hotelových hostech či nájemcích budov, o účetních a obchodních operacích, objednávkách zboží a služeb či technické dokumentace (BIM). Zde není primárním cílem útoku snaha přerušit provoz dané nemovitosti, ale spíše vydírání firmy, aby za odblokování dat zaplatila hackerům tučnou odměnu. Často však i v těchto případech dochází k omezení činnosti v daném objektu, což nám v praxi demonstrovaly útoky na informační systémy některých nemocnic nebo e-shopů. Bohužel v současné době dochází i ke zveřejnění odcizených dat na sociálních sítích či k jejich prodeji třetím subjektům. Toto riziko je ještě zvětšováno častým využíváním cloudových služeb, kdy jsou firemní data uložena u třetí strany, nad níž nemá majitel dat žádnou přímou kontrolu. V případě poškození či ztráty těchto dat je pak velmi složité a časově náročné obnovit fungování firmy bez ohledu na to, zda jde o výrobní či obchodní firmu, realitní společnost, poradenskou, zdravotnickou nebo finanční instituci.
Zmíněná rizika nepoškozují jen napadenou firmu, která ztrácí důvěru svých obchodních partnerů a své dobré jméno, ale vedou také k ohrožení jejího fungování nebo ke ztrátě zisku. Další újmy mohou napadené firmě přinést povinnosti k odškodnění třetích stran za nefungování budovy či odcizení jejich dat, ale také řízení před regulátory či soudy vyšetřujícími úniky osobních dat.
Pojištění kybernetických rizik
Již od 90. let proto firmy a jejich pojišťovny řešily, jak ochránit podnikání v elektronickém světě. Výsledkem bylo pojištění kybernetických rizik, které je komerčně nabízeno londýnským trhem Lloyd’s od roku 2000 a o několik let později ho zavedly i komerční pojišťovny, z nichž řada působí i na českém trhu. Každé pojistné řešení kybernetických rizik ale předpokládá, že daná firma provozuje a udržuje dostatečně robustní systém IT ochrany svých serverů, koncových zařízení či cloudových uložišť.
Pojištění kybernetických rizik se zpravidla vztahuje na tři klíčové oblasti:
- Náklady na IT dopady pojistné události – sem patří např. náklady na obnovu či znovuvytvoření ztracených dat či náklady na IT specialisty likvidující následky hackerského útoku;
- Újmy či náklady spojené s finančními následky pojistné události – toto krytí se vztahuje např. na náklady právního zastoupení u soudů či regulatorních orgánů, odškodnění přiznaná soudy/regulátory třetím stranám za zneužití osobních údajů/důvěrných informací anebo porušení práva duševního vlastnictví pojištěným, pokuty udělené regulátory pojištěnému, výpalné hackerům placené pojištěným, případně ztrátu firemního zisku pojištěného v důsledku přerušení jeho činnosti následkem pojistné události;
- Náklady na aktivity omezující poškození dobrého jména – tato důležitá část pojištění pokrývá náklady na experty zabraňující či zmírňující poškození dobrého jména firmy anebo kteréhokoli z jejích manažerů/zaměstnanců.
Součástí pojistné ochrany je nejen pojistná smlouva, ale i nepřetržitá linka pro hlášení pojistných událostí, jejíž provozovatelé jsou schopni v krizové situaci poskytnout pojištěnému radu a v krátké době aktivovat specialisty, jejichž služby jsou třeba k odvrácení hackerského útoku nebo ke zmenšení jeho dopadu. V případě vydírání může být součástí služeb i zkušený vyjednavač, který vede jménem pojištěného jednání s hackery.
Vzhledem k ústřední roli dat a kybernetických rizik pro jakékoli podnikání založilo GrECo odborný tým dedikovaný pro řízení těchto rizik a přípravě na míru vytvořených řešení. Pojištění kybernetických rizik totiž není komoditním produktem jako např. povinné ručení, ale pojistnou ochranu je vždy třeba přizpůsobit individuálním potřebám a rizikům konkrétního klienta. V případě potřeby spolupracujeme s renomovanými IT společnostmi, které pomohou za úplatu nastavit ochranu dat a IT systémů klienta, aby dosáhl co nejkvalitnějšího zabezpečení firemních dat, které mu pomůže nastavit efektivní pojistnou ochranu.
TEXT – Lubor Kunc, Risk & Insurance Technique Manager,
GrECo International s.r.o.
Leave a Reply
Want to join the discussion?Feel free to contribute!