Firmám, ktoré zasiahne kybernetický útok, vznikajú náklady a straty, ktoré môžu mať až likvidačné následky.
Trendy a súvislosti
Finančné straty a neplánované náklady vznikajú dôsledkom prerušenia podnikania, nákladov na reakciu na incidenty a často aj pokút súvisiacich s porušením údajov. Škody sa však prejavia aj poškodením reputácie a stratou zákazníkov. Poistenie kybernetických rizík alebo skrátene kyberpoistenie, môže chrániť pred týmito finančnými stratami.
V súčasnosti považujeme ransomvérové útoky za dominantné kybernetické riziko pri kyberpoistení. Ako odvetvie s najvyšším počtom žiadostí o poistné plnenia zapríčinené ransomvérom bola identifikovaná výroba.[1] Kybernetické riziká sa zároveň neustále zvyšujú v dôsledku rýchleho technologického pokroku, ako je (generatívna) umelá inteligencia alebo cloudové technológie.
A napriek tomu väčšina prevádzkovateľov základných služieb vníma kybernetické poistenie ako službu, ktorú si vzhľadom na vysoké poistné a nevýhodné krytie nemôže dovoliť.
Podľa údajov, ktoré Európska agentúra pre kybernetickú bezpečnosť ENISA zhromaždila prostredníctvom prieskumu zameraného na 262 prevádzkovateľov základných služieb v Európskej únii, traja zo štyroch v súčasnosti nemajú kyberpoistenie. Prieskum tiež odhaľuje, že prevádzkovatelia často považujú iné stratégie na zmiernenie rizika za vhodnejšie ako poistenie.[2]
Slovenská realita
Podľa našej skúsenosti z praxe firmy na Slovensku vnímajú kyberpoistenia pomerne rozporuplne. V uhle pohľadu hrajú kľúčovú úlohu faktory ako náklady na poistné, ponúkané krytie a posúdenie firiem, aké je ich vlastné vystavenie riziku a potenciálne straty z kybernetických incidentov.
Spoločnosti môžu považovať kybernetické poistenie za drahé, najmä ak sa domnievajú, že poskytované krytie nie je úplne v súlade s ich špecifickými rizikami alebo potenciálnymi stratami. Vysoké poistné a vnímané medzery v krytí teda môžu viesť k spochybneniu efektívnosti kybernetického poistenia ako súčasti celkovej stratégie riadenia rizík v spoločnosti.
Okrem toho firmy často pred poistením uprednostnia investície do proaktívnych opatrení v kybernetickej bezpečnosti, ako sú pokročilé bezpečnostné technológie, školenia zamestnancov o kybernetických hrozbách a robustné postupy ochrany údajov. Tento prístup môže zahŕňať implementáciu bezpečnostných štandardov, pravidelné hodnotenia zraniteľnosti a plány reakcie na incidenty na zmiernenie rizika kybernetických incidentov.
Riadenie kybernetických rizík
Kyberpoistenie zvyčajne pokrýva externé náklady na IT služby, právne služby a PR pri reakcii na kybernetický incident, priamu finančnú stratu z prerušenia podnikania, pokuty za porušenie ochrany osobných údajov a náklady na ochranu a obranu práv spoločnosti.
Existuje aj širšie poistené krytie, napríklad poistenie poškodenia reputácie organizácie ako aj ochrana pred požiadavkami kyberzločincov na výkupné. Poistné môže kryť aj náklady spojené s identifikáciou a vyjednávaním s kyberzločincami vrátane predlžovania požiadaviek na výkupné alebo určených termínov.
Väčšina poisťovní má zavedenú metodiku odhadu strát, či používa zjednodušené metódy založené na rizikových expozíciách a faktoroch rizika, ktoré podľa nášho názoru podceňujú riziko. Poisťovne by mali poskytnúť klientom vyššiu pridanú hodnotu, ktorá pokryje aj rozšírený rozsah krytých rizík, akými sú napríklad aj reputačné riziká.
Hlavnou výzvou sa javí navrhnúť spoločný, ale pragmatický prístup k riadeniu kybernetických rizík. Problém nie je spôsobený len nedostatkom dostupných údajov, ale aj tým, že akýmkoľvek modelom hrozí, že rýchlo zastarajú v dôsledku dynamiky prostredia kybernetických rizík a pokroku v oblasti kybernetických hrozieb.
Koncept kybernetického rizika
Európsky orgán pre poisťovníctvo a dôchodkové poistenie zamestnancov (EIOPA) chápe koncept kybernetického rizika ako koreláciu a vzájomnú závislosť troch hlavných oblastí: Digitalizácie v poisťovníctve (InsurTech), Dohľadu využívajúceho technológie (SupTech) a Procesu hodnotenia kybernetických rizík pre stanovenie sadzby poistného – upisovania (Cyber Underwriting).[3]
Vybudovanie silného a spoľahlivého trhu s kybernetickým poistením si podľa EIOPA vyžaduje viacero podmienok vrátane zabezpečenia toho, aby poisťovatelia uplatňovali spoľahlivé nástroje upisovania a riadenia rizík v oblasti upisovania kybernetických rizík, ďalej zabezpečením riadneho riadenia známych aj neznámych expozícii voči kybernetickým rizikám, jasného a transparentného poistného krytia, získaním väčšieho množstva informácií o incidentoch s cieľom správnejšieho oceňovania rizík a odhadu expozície voči zodpovednosti, a meraním a riadením kybernetických rizík pre poisťovateľov.[4]
Rating kybernetickej bezpečnosti
Súčasťou hodnotenia kybernetické rizika je aj rating či index, ktorý objektívne posudzuje stav kybernetickej bezpečnosti organizácie na základe rôznych faktorov vrátane zabezpečenia siete, ochrany údajov a schopnosti reagovať na incidenty. Ratingy kybernetického rizika sa môžu používať aj na vyhodnotenie rizika kybernetického útoku a určenie ceny poistného alebo krytia.
Záujmovou inšpiráciou by mohla byť aj právna úprava vo Francúzsku, ktorá nariaďuje hodnotenie kybernetického rizika. Podľa francúzskeho zákona č. 2022-309 z 3. marca 2022 o zavedení certifikácie kybernetickej bezpečnosti pre digitálne platformy určené verejnosti, prevádzkovatelia online platforiem sú povinní vykonávať audit kybernetickej bezpečnosti, ktorého výsledky musia predložiť spotrebiteľom.
Zákon výslovne špecifikuje, že výsledok auditu sa spotrebiteľovi predkladá čitateľným, jasným a zrozumiteľným spôsobom a je doplnený doplnkovou prezentáciou alebo vyjadrením prostredníctvom farebného informačného systému.[5] Tento zákon je vo Francúzsku účinný od 1. októbra 2023.
Ak banka a iné úverové inštitúcie používajú úverový rating na vyhodnotenie potenciálneho rizika pri úveroch spotrebiteľom a na zmiernenie strát v dôsledku nevymožiteľnosti dlhu, podobne môžu ratingy kybernetického rizika poskytnúť objektívne meranie stavu kyberbezpečnosti v organizáciách. V konečnom dôsledku to pomôže znížiť riziko kybernetických incidentov.
Radi sme skúsenosťami a názormi prispeli do pravidelnej prílohy Hospodárskych novín: Poistíte sa, veríte si alebo to risknete?
Judikatúra súdov formujúca sektor kyberpoistenia
- mája 2023, Spolková republika Nemecko
Krajský súd v Tübingene vydal významné súdne rozhodnutie týkajúce sa kyberpoistenia v Nemecku. Súd v rozhodnutí riešil námietky týkajúce sa krytia pri poistných nárokoch vrátane predzmluvných informačných povinností, zvýšenia rizika a hrubej nedbanlivosti vedúcej k poistnej udalosti.
Súd rozhodol v prospech poistenca a odmietol argumentáciu poisťovateľa. Konkrétne súd zamietol argument poisťovateľa, že poistenec spôsobil škodu hrubou nedbanlivosťou tým, že nezaviedol opatrenia na predchádzanie kybernetickým útokom. Súd tvrdil, že poisťovateľ mohol preskúmať tieto špecifické podmienky informačnej bezpečnosti počas predzmluvnej fázy hodnotenia rizika.
IT infraštruktúra poistenca bola vážne narušená, keď do systému prenikol ransomvér. Zamestnanec nevedomky inicioval útok otvorením phishingového e-mailu na pracovnom notebooku. Príloha mailu javila znaky ako obvyklá faktúra a kliknutím sa stiahol do siete poistenca škodlivý softvér. Kyberincident vyradil veľkú časť serverov, útočníci požadovali výkupné v bitcoinoch a hrozili zverejnením citlivých firemných údajov. Incident mal za následok značné prevádzkové straty.
Počas likvidácie poistnej udalosti sa ukázalo, že poistený nezaviedol relatívne bežné bezpečnostné opatrenia, nenainštaloval potrebné aktualizácie a poskytol nepresné odpovede na otázky poisťovateľa týkajúce sa hodnotenia rizika pred uzavretím zmluvy.
Poisťovateľ odstúpil od poistnej zmluvy z dôvodu, že poistený porušil svoju predzmluvnú informačnú povinnosť nesprávnym zodpovedaním viacerých otázok. Ako ďalší argument uviedol, že poistený nenainštaloval bezpečnostné aktualizácie, roky dostupné pre viaceré servery, aj keď o tom vedel. Zároveň poisťovateľ poukázal na nedostatočné bezpečnostné opatrenia proti kybernetickému útoku, napríklad chýbajúcu dvojfaktorovú autentifikáciu a adekvátny monitoring, čo malo za následok zvýšenie rizika a hrubú nedbanlivosť poisteného.
Súd sa zaujímal o to, či sa poisťovateľ teoreticky mohol pýtať na tieto špecifické rizikové okolnosti. V tomto prípade, keďže medzi uzavretím poistenia a vznikom poistnej udalosti nedošlo k žiadnej zmene stavu serverov, poisťovateľ, podľa súdu, implicitne akceptoval existujúcu situáciu ohľadom rizík, keďže nežiadal ďalšie doplňujúce informácie.
Súdny dvor EÚ (ESD)
Podľa čl. 82 ods. 1 Nariadenia GDPR[6] každá osoba, ktorá utrpela majetkovú alebo nemajetkovú ujmu v dôsledku porušenia tohto nariadenia, má právo na náhradu utrpenej škody od prevádzkovateľa alebo sprostredkovateľa.
V troch nedávnych rozsudkoch (C-687/21, C-340/21 a C-456/22) ESD objasnil svoju právomoc týkajúcu sa zodpovednosti spoločností za bezpečnosť ich vlastných informačných systémov a ochranu údajov, ako aj podmienky pre priznanie nemajetkovej ujmy podľa článku 82 Nariadenia GDPR. Súd ďalej objasňuje, kedy môžu dotknuté osoby požadovať náhradu nemajetkovej ujmy voči spoločnostiam v prípade straty údajov.
Pokračuje tak trend ESD rozširovať zodpovednosť spoločností, čím sa zvyšuje pravdepodobnosť súdnych sporov v budúcnosti. To bude mať vplyv aj na kyberpoistenie, keďže na situácie, keď zákazníci budú spoločnosti žalovať o náhradu škody podľa článku 82 GDPR, sa vo všeobecnosti bude vzťahovať rozsah krytia z kyberpoistenia spoločností.
Na predajnom mieste bol elektronický spotrebič spolu s dokladmi o kúpe a úverovej zmluve omylom odovzdaný inému zákazníkovi.
ESD zamietol nárok na náhradu škody podľa článku 82 GDPR. Nemajetkový ujma podľa ESD nevzniká len preto, že osoba, ktorej osobné údaje boli sprístupnené neoprávnenej tretej strane, ktorá k nim v skutočnosti nemala prístup, sa napriek tomu obáva, že údaje boli skopírované a mohli by byť zverejnené alebo dokonca zneužité.
Súd preto uzavrel, že ak bol dokument obsahujúci osobné údaje odovzdaný neoprávnenej tretej strane, ktorá preukázateľne nevedela o týchto údajoch, samotná skutočnosť, že dotknutá osoba sa obáva, že jej údaje môžu byť v budúcnosti šírené alebo dokonca zneužité v dôsledku tohto odovzdania, ktoré umožnilo vyhotovenie kópie dokumentu pred jeho vrátením, nepredstavuje „nemajetkovú ujmu“.
Pri hackerskom útoku boli exfiltrované a zverejnené na internete údaje o daniach a sociálnom zabezpečení viac ako šiestich miliónov ľudí.
Jedna z osôb si uplatnila nárok na náhradu nemajetkovej ujmy v obave, že jej údaje zneužijú tretie osoby. V tomto prípade ESD potvrdil zodpovednosť prevádzkovateľa za škodu. Na vznik nároku na náhradu škody stačí podľa ESD dôvodná obava z budúceho zneužitia údajov.
Zverejnenie osobných údajov na internete
V tomto prípade došlo k dočasnej strate kontroly nad údajmi, ktorá mohla spôsobiť dotknutým osobám nemajetkovú ujmu v zmysle článku 82 GDPR. Dotknuté osoby musia len preukázať, že skutočne utrpeli takúto ujmu, hoci aj minimálnu. Podľa ESD neexistuje minimálna hranica pre škodu (prahovú hodnotu „de minimis“) podľa článku 82 GDPR a rozsudok posilňuje práva dotknutých osôb na náhradu nemajetkovej ujmy.
Máj 2023, Spojené štáty americké
Farmaceutický gigant Merck bol v júni 2017 poškodený v jednom z najničivejších ransomvérových útokov NotPetya. Spoločnosť Merck si uplatnila poistný nárok z poistnej zmluvy na majetok.
Poisťovateľ, Ace American Insurance Company (Ace) odmietol vyplatiť poistku, aj keď poistná zmluva spoločnosti Merck pokrývala „všetky riziká“. Ace tvrdil, že keďže išlo o „vojnový akt“ zo strany Ruska, je táto udalosť vylúčená z krytia škôd súvisiacich s takýmito vojnovými činmi.
Odvolací súd Najvyššieho súdu v New Jersey však v máji 2023 rozhodol, že útok NotPetya nespadá pod výluku „nepriateľských alebo vojnových“ činov v rámci poistnej zmluvy na majetok, ktorá kryje všetky riziká. [7]
Od útokov NotPetya boli prijaté určité opatrenia s cieľom objasniť, na ktoré druhy útokov sa vzťahujú výluky z poistenia. Poisťovací gigant Lloyd’s of London v roku 2022 oznámil, že upisovatelia budú musieť vylúčiť krytie štátom podporovaných kybernetických útokov spojených s vojnou a incidentmi, ktoré výrazne zhoršujú schopnosť štátu fungovať alebo ktoré nepriaznivo dopadajú na bezpečnostné schopnosti štátu.[8]
________________________________________________________________________________________________________________
[1] Munich Re: Cyber Insurance Risks and Trends 2024. dostupné online na: https://www.munichre.com/en/insights/cyber/cyber-insurance-risks-and-trends-2024.html
[2] ENISA: Demand Side of Cyber Insurance in the EU. Analysis of Challenges and Perspectives of OESs. Február 2023. dostupné online na: https://www.enisa.europa.eu/publications/demand-side-of-cyber-insurance-in-the-eu
[3] EIOPA: EIOPA Strategy on Cyber Underwriting. 2020. dostupné online na: https://www.eiopa.europa.eu/publications/cyber-underwriting-strategy_en
[4] Rovnako
[5] Oficiálny text vo francúzštine dostupné online na: https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000045294275
[6] Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov)
[7] ABI: Cyber Threats: Landmark Ruling Signals Importance of Clear Policy Language. Júl 12, 2023. dostupné online na: https://www.abi.org.uk/news/blog-articles/2023/7/cyber-threats-ruling/
[8] The Record: Lloyd’s to forbid insurers from covering losses due to state-backed hacks- Apríl 22, 2022. dostupné online na: https://therecord.media/lloyds-to-forbid-insurers-from-covering-losses-due-to-state-backed-hacks
