Tempo vývoje informačních a komunikačních technologií postupuje akcelerujícím tempem. Čím dál větší část firemních aktivit, komunikace i dat se přesouvá do online prostoru. To má mimo jiné za následek rostoucí počet stále promyšlenějších a sofistikovanějších útoků na počítače a sítě. Ty jsou tak i potenciálně nebezpečnější a způsobují rozsáhlé škody. Útočníci jsou navíc vždy o krok napřed před zabezpečením. Tudíž i společnosti s velmi vysokou ochranou proti kybernetickým útokům, jako jsou banky, elektrárny nebo státní instituce, se mohou stát obětmi útočníků. Nemluvě o stovkách menších firem, které si nemohou dovolit investovat do nejnovějších zabezpečovacích technologií a jejich infrastruktura je tak zastaralá a k útokům náchylnější. S jednatelem společnosti Modul Servis, Vladimírem Benešem jsme si povídali o odpovědi pojišťoven na problém kybernetických útoků, kterou je pojištění kybernetických rizik. To je stále ještě relativně nový produkt, který se ale stává nezbytnou součástí pojistného portfolia firem.

Kybernetické útoky nebo chcete-li hackerské útoky se i v českých médiích skloňují čím dál častěji. V nedávné době to byly například koordinované útoky na některé nemocnice. Myslíte si, že tento trend bude pokračovat a hrozí riziko i menším společnostem?

Podle mého názoru to tak bude. Digitalizace služeb i státní správy bude nadále pokračovat. Zároveň bude přibývat lidí, kteří budou chtít svoji agendu v maximální možné míře řešit elektronicky. Je tak dle mého názoru pravděpodobné, že čím větší množství dat, aplikací a procesů bude v síti probíhat, tím bude větší pravděpodobnost vzniku bezpečnostních děr, kterých útočníci budou využívat. Co se týče menších firem, tak si myslím, že se jich to také ve velké míře týká. Jako příklad můžu uvést viry typu „ransomware“, což jsou tzv. vyděračské viry, které zašifrují data v počítači či na serveru a po firmách je následně vyžadováno výkupné. Menší firmy často nemají tak dokonalé zabezpečení ani pravidelně zálohovaná data, a proto je pravděpodobnější, že v jejich případě útočníci uspějí.

Žádná firma pravděpodobně nechce, aby ke kybernetickému útoku došlo. Důležitá je tak prevence. Máte nějaká konkrétní základní doporučení, která by každá firma měla aplikovat, aby účinně předcházela bezpečnostním hrozbám?

Základem by mělo určitě být stanovení určitých standardů bezpečného chování svých zaměstnanců. Je nutné je proškolit ohledně práce ve firemní síti, například to, jak vypadá podezřelý email.

Důležité je samozřejmě také zabezpečení na straně firmy. Měl by se používat antivirový systém na všech zařízeních, stejně tak poslední verze aplikací i operačních systémů. Data by měla být pravidelně zálohována a jednoznačně doporučuji využití hardwarového firewallu pro ochranu celé firemní sítě. Dobré je nezapomínat na takové věci jako omezení práv zaměstnanců na instalaci vlastního softwaru nebo zákaz používání vlastních externích datových nosičů, jako jsou USB disky. Za kybernetickými útoky totiž nestojí jen jakési „zločinecké skupiny“, ale velmi často právě vlastní zaměstnanci.

Pokud firma chce, aby případná škoda mohla být hrazena z pojištění, musí nastat tzv. kybernetický incident. Co si pod tím přesně představit?

Kybernetický incident je odborný termín, který je definován v zákoně o kybernetické bezpečnosti (§ 7 zákona č. 181/2014 Sb.). Je to „narušení bezpečnosti informací v informačních systémech nebo narušení bezpečnosti služeb anebo bezpečnosti a integrity sítí elektronických komunikací v důsledku kybernetické bezpečnostní události.“

Dokážete naopak vypíchnout nějaká rizika, na která se pojištění výslovně nevztahuje?

To trochu záleží na konkrétní pojišťovně, protože každá má nastavený produkt malinko jinak. Často platí, že základní pojištění kybernetických rizik nekryje náklady na zaplacené výkupné či na udělené sankce. Nicméně to se dá většinou vyřešit pomocí různých připojištění.

Vztahuje se pojištění kybernetických rizik i na případné zákonné sankce?

Jak zmiňuji výše, záleží především na pojišťovně a nastavení produktu. Když ale budete chtít být chráněni před zákonnými sankcemi, tak Vám takový produkt dokážeme sjednat.

Jsou firmy v nějakých oborech výrazněji ohrožené a je dobré jim obzvláště doporučit sjednání pojištění kybernetických rizik?

Přirozeně jsou některé firmy na trhu z podstaty věci ohroženější. Mohou to být například společnosti, které spravují velké množství osobních dat svých klientů. Dále to mohou být firmy v IT sektoru nebo ty zajišťující kritickou infrastrukturu. V neposlední řadě také úřady a veřejná správa. Takto by šlo ještě pokračovat. Ohrožené jsou ale všechny firmy, které ke své práci potřebují počítač a internet, což jsou v dnešní době prakticky všechny.

Toto pojištění bych tak opravdu doporučil více méně všem firmám, protože dle mého názoru bude útoků přibývat a budou čím dál sofistikovanější.

Znáte nějaké příklady z praxe, kdy pojištění kybernetických rizik pomohlo někomu z Vašich klientů nebo naopak, kdy se klient stal obětí útoku, ale pojištění neměl?

Jeden z našich klientů z řad auto prodejců, který doposud nebyl pojištěn proti kybernetickým rizikům se stal obětí útoku hackerů. Ti napadli jeho interní systém, který poškozený používá k fakturaci, vedení skladového hospodářství, objednávání náhradních dílů a podobně.

V důsledku útoku došlo ke ztrátě dat za několik posledních měsíců. Ty bude do systému potřeba zadat ručně z dostupných tištěných dokumentů, jako jsou faktury, výdejky nebo objednávky. Vzhledem k tomu, že se jedná o několik tisíc položek, bude to časově i finančně náročné.

Pokud by měl klient sjednané pojištění kybernetických rizik, došlo by v takovémto případě k náhradě nákladů spojených s obnovou ztracených dat.