Kyberpojistka nehradí špatnou hygienu
Kyberpojištění se pro malou firmu snadno tváří jako jednoduchá pojistka na digitální průšvih. E-shop, účetní kancelář, ordinace, malý výrobce nebo poradenská firma si koupí krytí a očekává, že po útoku někdo zaplatí obnovu dat, IT zásah, právní pomoc, výpadek provozu nebo komunikaci s klienty. Takto široce produkt často skutečně míří. Neznamená to ale, že pojištění nahrazuje základní bezpečnost.
Praktický rozdíl je v tom, že pojistka se obvykle neptá jen na samotný incident. Ptá se i na to, jak firma s daty zacházela před ním, co měla sjednáno ve smlouvě, zda odpověděla pravdivě v dotazníku, zda měla použitelné zálohy, jak rychle událost oznámila a zda poskytla vyšetřovateli přístup k systémům. Pro podnikatele je to důležitější než reklamní slovo „kyber“. Po škodě se nečte leták, ale pojistná smlouva, VPP, výluky, limity, spoluúčast a povinnosti pojištěného.
ČSOB Pojišťovna například na produktové stránce kybernetických rizik uvádí krytí nákladů na IT specialisty, právní zastoupení, krizovou komunikaci, obnovu dat, přerušení provozu a v některých případech i kybernetické vydírání. Stejná stránka ale u obnovy dat výslovně pracuje s podmínkou, že existují použitelné zálohy, a upozorňuje, že náklady na vylepšení dat nebo softwaru nejsou krytím samy o sobě.
Ještě přesnější je zvláštní část pojistných podmínek ČSOB VPP CRC 2018. Uvádí, že pojištění může pokrýt náklady na odborníka, povinnosti vůči úřadům a subjektům údajů, práci přesčas v krizovém řízení, právní obhajobu, obnovu dat a softwaru, přerušení provozu, výkupné po předchozím písemném souhlasu pojistitele nebo přímou ztrátu peněz z kyberzločinu. To je pro malou firmu reálná hodnota, pokud útok zastaví provoz nebo otevře odpovědnost vůči klientům.
Současně ale podmínky vymezují situace, kdy krytí nenastoupí. Vedle obecných výluk uvádějí škodu způsobenou vědomou nedbalostí, nezákonným nebo nelicencovaným softwarem, plánovanou údržbou, dříve známou škodnou událostí nebo nedostatečným výkonem odpovídajících opatření. Pro obnovu dat je zvlášť uvedeno, že se pojištění nevztahuje na náklady, pokud pojištěný nedodrží minimální zálohování nebo data nelze obnovit kvůli nedostatečnému zálohování před počátkem pojištění.
To je jádro problému. Firma nemůže mít server bez pravidelných záloh, sdílené heslo do administrace, neaktualizovaný účetní systém a očekávat, že pojistka bude fungovat jako generální oprava IT. V uvedených podmínkách je pojištěný dále povinen zálohovat data minimálně jednou týdně, mít aktivní a automaticky aktualizovanou profesionální ochranu proti malwaru a chránit systémy a síť před incidenty například aktualizací hesel, konfigurací a firewallem. Pokud to nedělá, pojistitel podle textu podmínek nemusí poskytnout plnění.
Není to specifikum jedné pojišťovny, ale logika škodového pojištění. Česká národní banka ve svém upozornění k pojištění obecně připomíná, že pojistné podmínky mohou vedle výluk obsahovat další omezení práva na pojistné plnění. Doporučuje zajímat se při sjednání o okamžik vzniku pojištění a o případy, kdy pojišťovna nemusí plnit, a uchovat si písemné vyjádření při nejasnostech. U kyberpojištění je tato rada mimořádně praktická, protože rozhodující omezení často neleží v názvu produktu, ale v povinnostech pojištěného a ve zvláštních výlukách.
Bezpečnostní minimum navíc není abstraktní. NÚKIB u Minimálního bezpečnostního standardu vysvětluje, že materiál vznikl pro organizace, které nemusí spadat pod přísnou regulaci, ale přesto mají znát a respektovat základní pravidla ochrany před hrozbami v kyberprostoru. V novějších podpůrných materiálech k režimu nižších povinností NÚKIB pracuje s tím, že obsah bezpečnostní politiky a dokumentace se má přizpůsobit procesům konkrétní organizace. Ve FAQ k novému zákonu zároveň uvádí příklady opatření, která řada organizací už prakticky má: zamčenou serverovnu, pravidelnou změnu hesla, zálohování, automatické aktualizace, antivirový software a rozlišování administrátorských a uživatelských účtů.
Pro malou firmu z toho plyne jednoduchý due-diligence postup před sjednáním. První otázka není „kolik stojí roční pojistné“, ale „co přesně je pojistnou událostí“. Kryje se pouze zásah po incidentu, nebo i odpovědnost vůči třetím osobám, přerušení provozu, právní obrana, krizová komunikace a kybernetické vydírání? Je výkupné vůbec kryté a jen se souhlasem pojistitele? Jak je definován kybernetický incident, malware, porušení ochrany dat a kyberzločin?
Druhá otázka patří limitům a spoluúčasti. U ČSOB je horní hranice plnění dána limitem v pojistné smlouvě a u přerušení provozu se pracuje i s časovou spoluúčastí; není-li ujednáno jinak, podmínky uvádějí odčetnou časovou spoluúčast jeden den. Pokud výpadek trvá jen několik hodin, může mít firma provozní problém, ale ne nutně nárok na plnění za přerušení provozu. Pokud výpadek trvá déle, bude se řešit, jak se počítá ušlý zisk, stálé náklady a vícenáklady.
Třetí otázka je oznamovací. V citovaných podmínkách má pojištěný škodnou událost oznámit bez zbytečného odkladu, nejdéle do 15 dnů od zjištění. Má poskytnout pravdivé vysvětlení, doklady, součinnost, podklady, hardware, software a data potřebná k určení příčiny a rozsahu. U kybernetického vydírání má věc oznámit orgánům činným v trestním řízení. Firma, která nejdřív chaoticky maže logy, přeinstaluje server a teprve pak volá pojišťovně, si komplikuje důkazní situaci.
Čtvrtá otázka je dotazník před sjednáním. Pojistitel může při forenzním šetření zkoumat, zda pojistník odpověděl pravdivě. Když firma uvede, že má pravidelné zálohy, profesionální ochranu proti malwaru a oddělené účty, ale po incidentu se ukáže opak, nejde o drobnou administrativní chybu. Je to spor o riziko, podle něhož bylo pojištění sjednáno.
Kyberpojištění tedy dává smysl jako druhá vrstva ochrany. První vrstva je evidence: zálohy, test obnovy, aktualizace, vícefaktorové ověřování u kritických účtů, oddělené administrátorské přístupy, antivirus nebo EDR (endpoint detection and response — pokročilá ochrana koncových stanic) podle velikosti firmy, firewall, seznam dodavatelů, kontakty pro incident a jednoduchý plán, kdo rozhoduje při výpadku. Bez této vrstvy může pojistka pomoci méně, než podnikatel čeká.
Nejde o argument proti pojištění. Jde o argument proti nákupu naslepo. Malá firma by měla před podpisem projít pojistnou smlouvu stejně věcně jako nájemní smlouvu nebo úvěr: co je kryté, co je vyloučené, jaký je limit, jaká je spoluúčast, jaké jsou bezpečnostní povinnosti, co se musí hlásit a v jaké lhůtě. Teprve potom lze posoudit, zda je pojistné cenou za relevantní krizovou kapacitu, nebo jen za pocit, že digitální riziko bylo „vyřešeno“.
Discussion
Sign in to join the discussion.
No comments yet. Be the first to share your thoughts.