Firmy a technologie

Pojištění kybernetických rizik? Proč se nejprve zaměřit na kybernetickou odolnost

15 min. čtení

V posledních letech se riziko napadení kyberzločinci neustále zvyšuje, a proto je pojištění kybernetických rizik stále oblíbenějším opatřením ke zmírnění finančních dopadů případných kybernetických útoků. Přesto, pokud jde o ochranu vaší společnosti, musí být kybernetické pojištění doprovázeno dalšími bezpečnostními opatřeními. Začlenění kybernetické odolnosti do vaší firemní strategie zvýší ochranu a podpoří kontinuitu podnikání.

Aktivita kybernetických útočníků na celém světě roste, zejména pak počet útoků ransomwarem. Scénu kybernetické kriminality proměnil vývoj „ransomwaru jako služby“ (RaaS), který umožňuje uskutečnit ransomwarové útoky i útočníkům s omezenými technickými znalostmi, a také rychlý rozvoj digitální ekonomiky a geopolitické konflikty, které se stále častěji odehrávají také v kybernetickém prostoru.

„V posledních třech letech výrazně vzrostl počet pojistných událostí v oblasti pojištění kybernetických rizik, a to v důsledku nárůstu škod způsobených vnější manipulací se systémy a také v důsledku zvýšeného využívání tohoto druhu pojištění. Celkově se počet pojistných událostí souvisejících s kybernetickými riziky, které Allianz Global Corporate & Specialty (AGCS) zaznamenala, zvýšil z téměř 500 v roce 2018 na více než 1 100 v roce 2020. Počet pojistných událostí souvisejících s ransomwarem se v roce 2020 meziročně zvýšil o 50 % (na 90), zatímco celkový počet pojistných událostí souvisejících s ransomwarem přijatých v první polovině roku 2021 byl podle analýzy AGCS stejný jako počet pojistných událostí nahlášených za celý rok 2019 (60), neboť zločinci jsou stále organizovanější a mají lepší zdroje.“

Zdroj: Allianz Risk Barometer 2022 

 

Zvýšené riziko nebezpečí motivuje společnosti k hledání záchranné sítě: pojištění kybernetických rizik, které by minimalizovalo dopady hrozících kybernetických útoků. Mnoho společností se domnívá, že kybernetické pojištění by jim mělo poskytnout nejen kapitál potřebný k pokrytí nákladů souvisejících s útokem, ale také k zajištění pomoci vybraných specialistů. Pokročilá úroveň zabezpečení sníží cenu pojistného a specifická bezpečnostní opatření, jako využívání EDR technologií pro koncové body, jsou často vyžadována pro získání nároku na pojištění.Dostupnost pojištění by však neměla společnosti zastavit v budování vlastního systému ochrany a rozvíjení jejich kybernetické odolnosti

Co je kybernetická odolnost?

Kybernetická odolnost označuje schopnost společnosti nepřetržitě dosahovat zamýšlených výsledků navzdory kybernetickým událostem, které negativně ovlivňují dostupnost, integritu nebo důvěrnost informací, IT systémů a souvisejících služeb. Tyto události mohou být úmyslné (např. kybernetický útok) nebo neúmyslné (např. chybná aktualizace softwaru) a způsobené lidmi, přírodními údálostmi nebo jejich kombinací.

Otázky, které vám mohou být položeny při žádosti o pojištění kybernetických rizik

  • Můžete nám poskytnout obecné informace o vaší společnosti, jako je geografická oblast působnosti, roční obrat a množství osobních údajů, které spravujete? 
  • Využíváte ke snížení rizik vícefázovou autentizaci (MFA), správu identit a přístupu (IAM) a správu a zabezpečení účtů s vysokou úrovní oprávnění (PAM)?
  • Instalujete pravidelně záplaty a aktualizace?
  • Jsou vaše sítě segmentované?
  • Používáte nástroje pro správu softwarových a hardwarových prostředků?
  • Používáte na všech počítačích software pro ochranu koncových bodů?
  • Používáte firewall?
  • Zálohujete pravidelně svá data na externí médium/chráněnou cloudovou službu?
  • Jsou vaše mobilní zařízení zabezpečena – například pomocí šifrování dat?
  • Jsou vaši zaměstnanci pravidelně informováni o možných kybernetických rizicích?
  • Máte funkční plán reakce na incidenty (IRP)?

Zdroj: Federation of European Risk Management Associations, Preparing for cyber insurance

Kybernetické pojištění vám může pomoci, ale ne vždy

Pojišťovny rády propagují pojištění kybernetických rizik jako produkt, který je v konečném důsledku nepostradatelný pro firmy všech velikostí, a dokonce i pro jednotlivce. Podmínky pojistných smluv se však liší, proto si porovnejte různé nabídky. Při posuzování pojistek hledejte takovou, která kryje jak rizika kybernetických útoků první strany, tedy ztrátu nebo poškození vašich vlastních dat, tak rizika třetích stran, která zahrnují odpovědnost vůči klientům nebo vládním subjektům a regulátorům.

rizika pro firmy 2023

Pojištění kybernetických rizik vám může pomoci s náklady na oznámení narušení bezpečnosti, forenzní analýzu, nápravu, obnovu dat a také s pokutami a poplatky regulačních orgánů nebo žalobami a nároky vznesenými postiženými zákazníky.

Když je podnik zasažen kybernetickým útokem, jedna z největších finančních zátěží spočívá v momentálním přerušení podnikání před úspěšným zvládnutím útoku. I tady může pomoci kybernetické pojištění, které nabízí finanční pomoc i specialisty, kteří se mohou pokusit s útokem bojovat. Přesto je jedním z problematičtějších aspektů kybernetického pojištění placení kyberzločincům v případě úspěšného útoku ransomwaru. Platit výkupné se nedoporučuje jak z praktických, tak z etických důvodů.

Proč byste neměli platit výkupné?

  • Může se stát, že dešifrovací nástroj, který vám bude nabídnut, nikdy neobdržíte, bude nefunkční nebo může dokonce obsahovat další škodlivý software.
  • Proces šifrování mohl poškodit některá data, takže je možná nebudete moci obnovit ani po zaplacení výkupného.
  • Peníze, které zaplatíte, utvrzují zločince v jejich činnosti a dále financují jejich trestnou činnost.
  • Placení výkupného může být dokonce nezákonné – například pokud mají kyberzločinci vazby na teroristické skupiny nebo pokud jsou na sankčních seznamech. 
  • Zaplacení výkupného může kyberzločince povzbudit k opakovaným útokům na vaši společnost.

Při zvažování pojištění kybernetických rizik nezapomeňte, že existují případy, které pojištění nemusí pokrýt. Patří mezi ně:

  • případy, kdy zaměstnanec nebo dodavatel ztratí citlivá nešifrovaná data;
  • jiná selhání infrastruktury, která nejsou způsobena cíleným kybernetickým útokem;
  • ztráta dat v péči externích stran (například některých cloudových služeb nebo externích dodavatelů);
  • nebo ztráta dat z mobilních zařízení (včetně tabletů a notebooků).

Pojištění se také nemusí vztahovat na informování postižených zákazníků nebo na obnovu dat, která byla poškozena, ale nebyla odcizena.

Mějte na paměti, že jste to vy, nikoli pojišťovna, kdo nese hlavní odpovědnost za zajištění kybernetické bezpečnosti vaší organizace.

Jak zvýšit digitální odolnost vaší společnosti?

  • Buďte si vědomi svých aktiv

Znalost možných vektorů kybernetických hrozeb je jedním z prvních kroků k vytvoření účinného bezpečnostního systému. Vytvořte si soupis svých aktiv vystavených do internetu, abyste je mohli vhodně chránit. Totožné pravidlo platí i pro „vykupitelná“ aktiva, mezi která patří IoT zařízení, routery, roboti, řídicí a autonomní systémy.

  • Používejte RDP rozumně

Pokud je protokol vzdálené plochy (RDP) používán bez zvláštních bezpečnostních opatření, může být bránou pro kyberzločince. Počet útoků na prolomení hesel do RDP se v T3 2022 pohyboval okolo 100 milionů denně.

  • Používejte vícefázové ověřování (MFA)

Kromě silných hesel může vaši obranu posílit i používání vícefázového ověřování, které zabrání neoprávněnému přístupu k firemním účtům. Zvolte raději MFA řešení, které není založeno na SMS, protože hackeři už znají způsoby, jak tento typ ochrany překonat.

  • Kromě síťového úložiště (NAS) si pořiďte i záložní offsite úložiště

Vaše společnost by měla usilovat o komplexní strategii zálohování, která využívá nejen úložiště onsite, ale také offsite úložiště.

  • Záplatování a aktualizace

Pravidelné aktualizace vám mohou pomoci s mnoha riziky spojenými s různými typy kybernetických útoků. Specifické patche mohou zvýšit bezpečnost vašeho RDP nebo výše zmíněných „vykupitelných“ prostředků. Záplatování a aktualizace se navíc počítají mezi opatření, která vám mohou pomoci zabránit v úspěšných kybernetických útocích s vysokým dosahem jako např. útokům na dodavatelský řetězec.

  • Ujistěte se, že zaměstnanci vědí, kam mají hlásit podezřelé aktivity

Podezřelé e-maily nebo neznámá upozornění nemusí znamenat bezprostřední přítomnost nebezpečí, přesto vám věnování pozornosti těmto neobvyklým situacím může pomoci zabránit potenciálním kybernetickým útokům. Všichni zaměstnanci by měli být poučeni o tom, jak v těchto situacích postupovat a na koho se obracet. Neměli by se bát podat hlášení. Strach zaměstnanců často pramení z jejich přesvědčení, že si za útok mohou sami, případně nechtějí vyvolat zbytečnou paniku. Dejte jim najevo, že rychlá reakce je žádoucí, protože může případný útok včas zastavit.

  • Připravte si strategii pro případ útoku

I přes zavedená bezpečnostní opatření mohou kyberzločinci najít způsob, jak se k vám dostat. Z tohoto důvodu byste měli připravit plán reakce na incidenty a seznámit všechny potenciální účastníky s jednotlivými kroky, které mají při reakci na kybernetický incident podniknout. Plán by měl zahrnovat způsob upozornění určených pracovníků, právního poradce, orgánů činných v trestním řízení a dodavatelů, kteří by vám mohli pomoci. A měl by určovat, jak izolovat a analyzovat počítače zasažené útokem.

Pouze připravený krizový plán ale nestačí. Vaše strategie reakce by měla být také řádně otestována. Může to znít jako samozřejmost, ale podle AGCS testuje plány kontinuity provozu méně než 40 % společností.

I když pro některé společnosti může být pojištění kybernetických rizik žádoucí (zejména pro malé a střední podniky (SMB), které často potřebují finanční pomoc, když čelí útoku, nebo podniky, které pracují s citlivými daty, jako jsou zdravotnické společnosti nebo advokátní kanceláře), digitální odolnost je stále nutností. Průběžný proces zvyšování kybernetické bezpečnosti může být náročný, ale z dlouhodobého hlediska se vyplatí.

„Úkolem pojištění vždy bylo zajistit dobré řízení rizik a prevenci ztrát. Kybernetická vyspělost a dobré kybernetické pojištění jdou ruku v ruce. Pojištění si kupujeme pro svůj dům, ale to neznamená, že necháme odemčené vstupní dveře, a totéž by mělo platit i pro kybernetickou bezpečnost,“ Scott Sayce, AGCS