Kybernetické riziká z pohľadu Colonnade II.

11.5.2020

Prečo je stále tak ťažké predávať Cyber pre poisťovne a sprostredkovateľov?

Všetci veľmi dobre vieme, že predaj sofistikovaných produktov v našom geopriestore je vo všeobecnosti náročným cvičením. Predaj nového, na pochopenie relatívne zložitejšieho produktu, akým bezpochyby poistenie Cyber je, je dokonca ešte náročnejší. Cyber poisťovatelia „postavili“ totiž kybernetické poistenie ako riešenie poskytujúce krytie pre IT systémy a riziká súvisiace s bezpečnosťou IT. Tento koncept bol relatívne úspešnejší v USA a západnej Európe, kde je informovanosť o rizikách oveľa vyššia ako u nás. Z vlastných skúseností môžeme povedať, že na Slovensku si kybernetické poistenie v minulosti kupovali výlučne spoločnosti, ktoré ho aj aktívne hľadali. Podobne tomu ale bolo aj u iných „neštandardných“ produktoch.

Ale prečo je to vlastne tak?

Vo väčšine prípadov potenciálni klienti vychádzajú z nášho postavenia poistenia kybernetických rizík a zároveň je pre nich Cyber niečím, čo je úzko spojené s IT bezpečnosťou a preto:

  • buď neveria, že sú akýmkoľvek spôsobom vystavení takýmto rizikám;
  • alebo sa domnievajú (často mylne), že ich iné poistné zmluvy im poskytujú dostatočnú ochranu;
  • alebo by radi zapojili do rozhodovacieho procesu kolegov z IT, ktorí sa vo väčšine prípadov nesprávne domnievajú, že podpora myšlienky nákupu poistenia Cyber by bola jasným znakom toho, že svoju prácu nerobia správne.

Aj vzhľadom na tieto bežné nedorozumenia je predaj poistenia Cyber stále skutočnou výzvou. Pritom ide často o firmy, ktorých „core businessom“ sú informačné technológie. Okrem toho ani väčšina sprostredkovateľov nie je príliš oboznámená s témou bezpečnosti IT. Preto sa na konci dňa vlastne nikto necíti komfortne v problematike Cyber, čo má zásadný vplyv na nízky predaj poistenia kybernetických rizík.

Z našej skúsenosti sme ale presvedčení o tom, že:

  • aj tie najmenšie spoločnosti sú vystavené rizikám kybernetických útokov,
  • klasické produkty poistenia nie sú vo svojej podstate dizajnované na krytie kybernetických rizík,
  • ani pri tom najlepšom IT bezpečnostnom systéme môžu byť spoločnosti terčom kybernetických útokov resp. môže u nich dochádzať k únikom dát.

Z vyššie uvedeného síce jednoznačne vyplýva, že poistenie kybernetických rizík je vhodným doplnkom pre väčšinu firiem, ale naši potenciálni klienti to tak stále nechápu.

Stále však veríme, že implementácia GDPR legislatívy tento pohľad postupne zmení. Súlad s požiadavkami GDPR legislatívy je v porovnaní s riešením problému súvisiaceho s bezpečnosťou IT v istom ohľade jednoduchším spôsobom na presvedčenie klienta o potrebe nákupu poistenia kybernetických rizík. Väčšina potenciálnych klientov si totiž veľmi dobre uvedomuje potrebu súladu s požiadavkami GDPR legislatívy resp. dôsledkami prípadného nesúladu, keďže sa v poslednej dobe stále viac hovorí o potrebe harmonizácie pokút v jednotlivých štátoch EÚ.

Prečo je ale vlastne potrebná harmonizácia pokút? Prečo si každý štát prostredníctvom svojich dozorných orgánov nemôže stanoviť „svoju“ úroveň pokút?

Jednoducho preto, že niektoré krajiny prirodzene inklinujú k nižším pokutám a tým pádom sa spoločnosti z iných krajín cítia byť „ukrivdené“ nejednotnosťou v určovaní výšky pokút. Kým v západných krajinách EÚ sú pokuty prirodzene vysoké (niekedy rádovo až v miliónoch resp. desiatkach miliónov eur), v našom geopriestore zatiaľ nebola udelená pokuta vyššia ako 650 000 eur. Aj na základe informácií z lokálneho dozorného orgánu by sa postupne tento trend mal zmeniť a pravidlá na ukladanie pokút by sa mali zjednotiť.

Trendy a vplyv cyber poistenia na iné druhy poistenia

Postenie Cyber predstavuje pre sektor poistenia obrovskú príležitosť pre rast. Predpokladá sa, že celkové poistné vo výške viac ako 4 miliardy dolárov vzrastie v období rokov 2019 – 2025 až na úroveň 23 miliárd dolárov, čo predstavuje rast viac ako 500%.

Ďalším dôležitým trendom je, že Cyber sa stáva novým rizikom z pohľadu iných / tradičných produktov ako sú poistenie majetku, zodpovednosti za škodu alebo dokonca aj preprava tovaru.

Predstavte si napríklad požiar alebo výbuch spôsobený hackermi. Podobný prípad sa stal koncom roka 2014, keď bol nemecký oceliarsky závod terčom kybernetického útoku a hackeri úspešne prevzali kontrolu nad výrobným softvérom a spôsobili spoločnosti značné škody. Tradičné formy poistenia nie sú na takýto typ situácií dizajnované a spôsobujú „hlavybolenie“ ako poisťovateľov tak ich zaisťovateľov.

Aj preto sa zrodil fenomén tzv. „Silent Cyber“, ktorý predstavuje cyber riziká často skryto zahrnuté v tradičných druhoch poistenia. Ide ale o riziká, ktoré poisťovatelia nezohľadnili pri pôvodnom vývoji produktu. Tieto riziká nie sú v takýchto druhoch poistenia často ani explicitne zahrnuté ale ani explicitne vylúčené. Niektoré poistné zmluvy môžu obsahovať výluky, iné zasa rozšírenia, ktoré sa môžu vzťahovať na kybernetické riziká, ale často sú veľmi nejasné resp. nejednoznačné, čo môže v konečnom dôsledku spôsobovať problém ako poisťovateľom tak klientom.

Nejednoznačnosť krytia kybernetických rizík v konvenčným druhoch poistenia je ešte väčším problémom z dôvodu, že každý poisťovateľ musí mať v zmysle SOLVENCY II kapitálovú primeranosť krytia pre jednotlivé kryté riziká, čo v tomto prípade nie je z dôvodu vyššie uvedených skutočností jednoduché dosiahnuť. A preto táto problematika začala v poslednom čase pútať zvýšenú pozornosť finančných regulátorov.

Vedeli ste, že špeciálne počas koronakrízy:

  • podstatne vrástol počet phishingových útokov v dôsledku používania komunikačných platforiem ako sú Google Meet, Zoom či Microsoft Teams (denne je reportovaných viac ako 18 000 000 malvérov a phishingových správ), keďže napríklad 31.03.2020 sa uskutočnilo viac ako 2,7 miliardy minút konferenčných hovorov, čo predstavuje v porovnaní so 16.03.2020 viac ako 200-percentný nárast?
  • 93% kybernetických útokov sa zameriava na používateľov Office 365? Dôvod? Viac ako 61% používateľov Office 365 pracuje z domu na súkromných zariadeniach, čo zvyšuje pravdepodobnosť, že zariadenia nie sú správne chránené či nakonfigurované v súlade s firemnými bezpečnostnými pravidlami?
  • sa znásobili falošné emaily primárne v USA ponúkajúce napríklad bezplatné jedlá a kupóny, prostredníctvom ktorých sa hackeri snažili získať osobné dáta z google účtov jednotlivých užívateľov?

Autor. Ivan Hollý