Kybernetické pojištění sice neochrání před kybernetickými útoky, přesto může mít své místo v celkové bezpečnostní strategii vaší firmy.
Náklady na řešení kyberkriminality a ransomware útoků Každý rok rostou. Společnosti po celém světě čelí vydírání, aby platily miliony dolarů hackerům a kyberzločincům. A pojišťovny, které nabízejí sjednání kybernetického pojištění, tyto skutečnosti zohledňují ve svých snahách motivovat své klienty k přijetí preventivních opatření, aby se těmto situacím ideálně vyhnuli.
Možná se nyní ptáte, zda je kybernetické pojištění pro vás to správné řešení. Zejména pro malé podnikatele to může vypadat jako další výdaj, který si nemohou dovolit. Data ale mluví jasně. Podle společnosti Allianz jsou nejvážnějšími globálními obchodními riziky pro rok 2024 právě hrozby v podobě kybernetických incidentů.
Zdroj: Allianz Risk Barometer 2024
V případě úspěšného útoku může být pojištění kybernetických rizik bohužel tím posledním opatřením, které vaši firmu ochrání před úplným finančním kolapsem. Proto je na místě zvážit jak jeho výhody, tak samozřejmě i omezení.
Co kybernetické pojištění kryje?
Podrobnosti se liší v závislosti na pojišťovně, pojištění kybernetických a internetových rizik nabízí nicméně celkový přístup a soubor zásad, které pokrývají různé oblasti. Mezi oblasti krytí kybernetickým pojištěním patří například přerušení podnikání v závislosti na incidentu, poškození systému, náklady na nápravu, ztráta zisku, zvýšené náklady na práci, následné poškození reputace, náklady na výměnu hardwaru a další. V podstatě se pojištění zabývá důsledky kybernetického útoku, jakmile k němu dojde.
Jak se hrozby stávají častějšími a sofistikovanějšími, pojišťovny se chrání také změnou svých přístupů k poskytování pojistného krytí. Tyto změny zahrnují snižování limitů výplat pro různé úrovně ztrát, zvyšování částek, které musí pojistník zaplatit z vlastní kapsy před poskytnutím pojištění, pečlivý výběr rizik, která bude pojistné pokrývat, a odvětví, kterým své služby pojišťovny poskytnou. Nadále také zdůrazňují důležitost proaktivní kybernetické obrany, aby firmy co nejvíce snížili riziko incidentu, přerušení provozu a v důsledku i náklady na obnovu.
Proto vždy pečlivě čtěte všechny podmínky svého pojištění kybernetických a internetových rizik, abyste pochopili, která rizika jsou pokryta a která ne.
Finanční podvody způsobené metodami sociálního inženýrství – Pokud zaměstnanec dobrovolně útočníkům poskytne finance jako důsledek spear-phishingového útoku nebo útoku typu business e-mail compromise, finance pravděpodobně nepůjde získat zpět.
Náklady na posílení kybernetické bezpečnosti organizace po úspěšném útoku.
Potenciální ztráta budoucích zisků – Protože je obtížné je výhradně spojit s útokem, obvykle nejsou pokryty.
Snížení hodnoty duševního vlastnictví – Ztráty na vlastním know-how nebo technologickém řešení vaší společnosti obvykle nejsou pokryty.
Kybernetické útoky pod vedením států nebo jako součást války.
Geografická omezení – dopady operací útočníků mimo stát, ve kterém společnost působí, nemusí být pokryty.
Jednou z běžných mylných představ mezi firmami je to, že pojištění je vlastně něco jako kybernetická ochrana. Klíčový rozdíl je ale v tom, že zatímco pojištění řeší následky, ochrana se zaměřuje na preventivní opatření. Je mnohem méně náročné začlenit preventivní opatření než řešit následky útoku. Dokonce i pojišťovny zdůrazňují důležitost prevence a vyžadují, aby jejich klienti preventivní opatření přijali.
Dobrým prvním krokem ještě před podáním žádosti o pojištění je posoudit kybernetická rizika pro vaši firmu. Můžete to udělat vyplněním standardizovaných dotazníků nebo účastí v důvěryhodných systémech hodnocení kybernetické bezpečnosti, jako jsou SecurityScorecard nebo Standardized Information Gathering (SIG) od Shared Assessment. Ať už si vyberete jakoukoli možnost, budete schopni porovnat svou situaci s ostatními, identifikovat dodavatele a partnery v dodavatelském řetězci, kteří postrádají bezpečnostní opatření, a získat představu o cenách, které můžete na základě svého hodnocení očekávat od pojišťovny.
Pro zlepšení svého hodnocení a získání výhodnějšího ceny se zaměřte na následující oblasti:
- Firewall: Pro monitorování a kontrolu síťového provozu.
- Šifrování: Pro ochranu dat při přenosu i mimo něj.
- Vícefázové ověření: Pro zvýšení zabezpečení přihlašování k účtům a doplnění k heslům.
- Vynucování politika hesel podle osvědčených postupů: Pro prevenci kybernetických útoků prostřednictvím získaných přihlašovacích údajů.
- Pravidelné aktualizace softwaru a správa záplat: Pro řešení mezer v bezpečnosti.
- Systémy detekce a prevence průniků: Pro identifikaci a zmírnění hrozeb.
- Školení a programy zvyšování povědomí zaměstnanců: Pro snížení lidských chyb.
- E-mailové filtry a antispamová řešení: Pro prevenci phishingových útoků.
- Ochrana koncových zařízení: Pro ochranu jednotlivých zařízení.
- Pravidelné bezpečnostní audity a hodnocení: Pro identifikaci zranitelností.
- Řešení pro zálohování a obnovu: Pro zajištění kontinuity podnikání.
- Fyzická bezpečnostní opatření: Pro ochranu kritické infrastruktury.
- Plánování reakce na incidenty: Pro efektivní reakci na kybernetické incidenty.
ESET PROTECT
Naše řešení jsou v testech trvale hodnocena jako nejlepší v přesné diagnostice hrozeb.
DOZVĚDĚT SE VÍCEKolik stojí kybernetické pojištění
Částka, kterou zaplatíte za pojištění, závisí na rizicích, kterým může vaše společnost čelit. Čím lepší jsou vaše preventivní opatření, tím méně za pojištění zaplatíte. Pojišťovna může před stanovením ceny provést důkladné hodnocení bezpečnostních opatření ve vaší firmě. Je tak důležité, abyste preventivní opatření zavedli. Řešení jako ESET PROTECT a jeho moduly jsou v souladu s těmito požadavky a nabízejí řadu nástrojů kvalitní prevence.
Je kyberkriminalita byznys?
Jak zdůraznil Tony Anscombe, hlavní bezpečnostní evangelista společnosti ESET, na globální konferenci o kybernetické bezpečnosti ESET World 2024, kyberzločinci fungují ve stejném režimu jako běžné firmy. „Nemyslím si, že sedí v temných místnostech s kapucemi. Myslím, že sedí v kancelářích. Věřím, že mají manažery kampaní, datové analytiky a zkrátka vedou byznys. Myslím, že mají benefity a platy. Je to jiná hra, než na jakou jsme si zvykli.“ Velká část jejich příjmů pochází z výkupného, které pojišťovny platí jmény svých klientů. Vědí, že krytí zákazníci pravděpodobněji zaplatí výkupné, a proto si útočníci mohou vybírat za své oběti právě ty pojištěné firmy.
Některé země dokonce zakázaly platit výkupné kyberzločincům, protože tím, že jim oběti dávají peníze, podporují kyberkriminalitu. Pokud společnost zaplatí, útočníci si pravděpodobně najdou další společnost ve stejném odvětví a zahájí další útok. Před rozhodnutím zaplatit výkupné by společnosti měly vždy zkontrolovat sankční seznamy a zákony své země, aby se ujistily, že nebudou čelit dalším sankcím nebo dokonce vězení, pokud se rozhodnou spolupracovat s útočníky. ESET doporučuje požadovanou částku útočníkům neplatit.
Ačkoli je bezpečnostní síť v podobě pojištění kybernetických rizik nezbytná v případě, že se vaše společnost stane terčem útoku, robustní preventivní opatření je ještě důležitější. Tato opatření nejenže dokáží zabránit útokům, ale také snižují náklady na kybernetické pojištění snižováním potřeby jej využít. Kombinací prevence a kybernetického pojištění si můžete být jisti, že vaše společnost je opravdu v bezpečí.
