Kybernetické pojištění a kyberobrana v roce 2024: Zkušenosti manažerů IT a kybernetické bezpečnosti

Sally Adamová, ředitelka produktového marketingu společnosti Sophos

Investice do zlepšení kybernetické ochrany s cílem optimalizovat pozici organizace pro uzavření pojištění je výhodná na obě strany: organizace dosahují lepších a levnějších podmínek kybernetického krytí, stejně jako vyšší míry ochrany a snížení zátěže jejich oddělení IT.

Kybernetickým rizikům se nelze vyhnout. V dnešním podnikovém prostředí by proto nemělo být cílem rizika odstranit, ale spíše je co nejefektivněji řídit. Dva základní přístupy jsou ošetření rizik prostřednictvím zavedení kybernetických kontrolních mechanismů a změny chování uživatelů, a jejich promítnutí do kybernetického pojištění. Tyto přístupy jsou vzájemně propojené: silná opatření snižují rizika, což usnadňuje přístup ke krytí pojištěním, zatímco nedostatečná opatření rizika zvyšují, což komplikuje získání cenově dostupného pojištění.

Aktuální studie společnosti Sophos s názvem Kybernetické pojištění a kyberobrana v roce 2024 tento vztah podrobně zkoumá. S využitím dat z nezávislého průzkumu provedeného mezi 5 000 manažery IT se zabývá mírou rozšíření kybernetického pojištění v organizacích střední velikosti, přičemž poukazuje na důvody jeho pořízení, vliv investic do ochrany na pojistitelnost a důvody, proč nejsou náklady na kybernetické incidenty vždy plně pokryty. Mezi klíčové poznatky patří:

■ Když čelíme nevyhnutelným kybernetickým útokům, přijetí holistického přístupu k řízení kybernetických rizik, který využívá souhru kybernetické obrany a kybernetického pojištění, organizacím umožní snížit celkové náklady na vlastnictví (TCO) v oblasti řízení kybernetických rizik a zároveň snížit pravděpodobnost, že dojde k závažnému incidentu.

■ Z průzkumu také vyplývá, že investice do kybernetické ochrany nejen usnadňují a zlevňují získání pojištění, ale také zlepšují ochranu a snižují zátěž pracovníků oddělení IT. Mimo jiné toto zjištění zdůrazňuje, že je důležité posuzovat investice do řízení kybernetických rizik komplexně, nikoli jako jednotlivé složky.

■ Zásadním zjištěním, na které průzkum upozornil, je skutečnost, že pořízené pojištění nemusí vždy odpovídat potřebám podniku. Pojištění kybernetických rizik je investicí, a proto musí pojistné smlouvy pokrývat správná rizika. Na nastavení podmínek pojistné smlouvy by se měly podílet všechny zainteresované strany, zejména týmy IT a kybernetické bezpečnosti, aby bylo zajištěno, že budou odpovídat potřebám organizace.

Pojištění kybernetických rizik je stále rozšířenější

Průzkum potvrdil, že kybernetické pojištění je rozšířené mezi organizacemi se 100 až 5 000 zaměstnanci, přičemž 90 % takových organizací má nějakou formu kybernetického pojištění. Zatímco 50 % z nich má samostatnou pojistnou smlouvu, 40 % má kybernetické pojištění, které je součástí širšího pojištění podniku, jako je například obecné pojištění odpovědnosti. Podíl pojištěných organizací je vysoký ve všech 14 sledovaných zemích, přičemž nejvyšší sklon k pojištění vykazují organizace v Singapuru.

Nejčastějším důvodem pro uzavření pojištění je obecné povědomí o dopadech kybernetických útoků na podniky

Organizace si sjednávají kybernetické pojištění z mnoha různých důvodů, přičemž téměř polovina (48 %) uvádí jako hlavní motivaci povědomí o dopadech kybernetických útoků na podniky. Plných 45 % respondentů uvedlo, že je součástí jejich strategie zmírňování kybernetických rizik, a 42 % tvrdí, že potřebují kybernetické pojištění, aby mohli spolupracovat s klienty nebo partnery, kteří ho vyžadují.

Obr. Faktory ovlivňující pořízení kybernetického pojištění

Investice do kybernetické obrany s cílem optimalizovat možnosti pojištění jsou běžnou praxí – a fungují

Hned 97 % organizací, které si v loňském roce pořídily kybernetické pojištění, zlepšilo svou obranu, aby optimalizovalo možnost uzavření pojištění. Téměř dvě třetiny (63 %) provedly větší investice, zatímco 34 % si vystačilo s investicemi menšího rozsahu.

Tyto investice do zabezpečení se vyplácejí, protože průzkum zjistil, že téměř každá společnost, která investovala do zlepšení své kybernetické obrany, současně uvedla, že to mělo pozitivní dopad na její kybernetické pojištění (99,6 %, tedy 4 351 z 4 370 respondentů).

Obr. Důsledky investic do kybernetického pojištění

Požadavky kybernetického pojištění vedou organizace k posílení jejich obrany, hovoříme o tzv. principu „biče“, přičemž 76 % respondentů uvedlo, že jejich investice zajistily krytí, které by jinak nemohli získat. Pomyslný „cukr“ spočívá v tom, že dvě třetiny (67 %) organizací byly schopny získat cenově výhodnější pojištění a 30 % získalo výhodnější podmínky díky lepší ochraně, například v podobě vyšších limitů krytí.

Organizace, které investovaly do zabezpečení, navíc získaly i výhody nad rámec pojištění. Celých 99 % respondentů uvedlo širší přínosy, jako je lepší ochrana, méně výstrah a nižší pracovní zátěž oddělení IT.

Pojistitelé téměř vždy vyplatí pojistné plnění

Organizace, které investovaly do kybernetické pojistky, jistě potěší, že pojišťovny téměř vždy v nějaké míře vyplatí pojistné plnění. Pouze jeden respondent uvedl, že jeho pojistná událost byla zcela zamítnuta. Současně ale v 99 % případů pojistných událostí pojišťovny nepokryly veškeré náklady. Celkově pojišťovny obvykle vyplatily 63 % celkových nákladů na pojistnou událost, přičemž modální hodnota výplaty činila 71 až 80 %.

Důvody, proč nejsou náklady plně pokryty

Průzkum také ukázal, že náklady na obnovu po kybernetických útocích převyšují pojistné krytí. Nejčastějším důvodem (63 %), proč nebyl účet za obnovu uhrazen v plné výši, byly celkové náklady překračující pojistné limity. Podle Zprávy o stavu ransomwaru pro rok 2024 společnosti Sophos se náklady na obnovu po ransomwarových incidentech za poslední rok zvýšily o 50 %, což vede k nesouladu mezi pojistnými smlouvami a skutečnými výdaji.

Obr. Důvody proč kybernetické pojištění plně nepokrývá náklady na obnovu po kybernetických útocích

Panuje všeobecná nejistota ohledně toho, co pojistné smlouvy v případě kybernetického incidentu pokrývají

Mnoho manažerů kybernetické bezpečnosti a IT si není jisto, co jejich pojistná smlouva v případě incidentu pokrývá. Až 40 % těch, kteří pojištění mají, se domnívá, že se vztahuje na výkupné, a 41 % si myslí, že se vztahuje na ztrátu příjmu. Ale nejsou si tím jisti. Tato zjištění jsou důvodem k obavám hned v několika ohledech: Organizace riskují, že nezískají potřebné krytí – dokládá to 45 % těch, jejichž náklady na incident nebyly plně pokryty, přičemž na některé náklady či ztráty se jejich pojistná smlouva nevztahovala. Organizace také riskují, že v případě pojistné události nedostanou očekávanou podporu. Nedostatečný přehled o pojistném krytí pravděpodobně přinejmenším zčásti vyplývá z nesouladu mezi těmi, kdo pojištění uzavírají, a těmi, kdo jsou v první linii, pokud dojde k závažnému incidentu.

O průzkumu

Studie vychází z výsledků nezávislého průzkumu provedeného bez ohledu na dodavatele bezpečnostních řešení, jenž si nechala vypracovat společnost Sophos a který se dotazoval 5 000 manažerů IT/kybernetické bezpečnosti ve 14 zemích regionu EMEA a Asie, Severní a Jižní Ameriky a Tichomoří. Všichni respondenti zastupovali organizace se 100 až 5 000 zaměstnanci. Průzkum provedla společnost Vanson Bourne v období od ledna do února 2024 a jeho účastníci odpovídali na základě svých zkušeností z předchozího roku. Podrobnější informace, včetně pohledu na dopad kybernetického pojištění na prostředí hrozeb ransomwaru a mnoho dalších oblastí, najdete v kompletní studii na www.sophos.com.

Zdroj: časopis CzechIndustry 2/2024