Riziko kyberútoku nikdy není nulové. Ochránit data i reputaci pomůže pojištění

Jak časté jsou v Česku kybernetické útoky na firmy?

Podle průzkumů i ohlasů z firemního prostředí čelilo v Česku kybernetickému útoku přibližně devět z deseti firem, což je alarmující. Ovšem veřejně se k tomu firmy raději nevyjadřují, aby neutrpěla jejich reputace. I kvůli tomu není kyberbezpečnost tak frekventované téma a řada podniků si stále myslí, že se jich toto nebezpečí netýká. Případy, které známe z médií, jsou jen špičkou ledovce. Tady panuje mýlka, že pokud nejsem nějaká slavná, velká a známá firma a nesídlím v hlavním městě, tak nikoho v kyberprostoru nebudu zajímat. To ale neplatí.

Martin Jelínek

ČSOB Pojišťovna

V ČSOB Pojišťovně působí od března 2021 jako produktový manažer pro pojištění firem v oblasti kybernetických rizik a majetku. Předtím tři roky pracoval jako IT manažer EUC Kliniky. Vystudoval České vysoké učení technické v Praze a Vysokou školu báňskou – Technickou univerzitu Ostrava.

Dá se tedy vůbec nějak specifikovat, na jaké firmy se kyberútočníci zaměřují?

Typy útoků jsou zpravidla dva. V prvním jde o prestiž a ukázku síly, schopnosti a cílevědomosti útočníků ochromit například významné veřejné instituce. U druhého typu je motivací útočníků vydělat peníze. V tomto případě se proto stává, že si útočník část dat z napadené firmy také stáhne k sobě, aby mohl případně i vyhrožovat, že je zveřejní, pokud peníze nedostane.

Rozhodující je, jak dobře a kvalitně má firma zabezpečená data a celý IT systém. Útočníci se přitom orientují podle veřejně dostupných a získaných dat a informací. Pokud si vyhodnotí, že firma má některé z IT oblastí slabé, třeba zabezpečení e-mailů a aplikací, tak ve vhodný moment zaútočí.

Nejde tedy o velikost firmy? Týká se to i těch nejmenších?

Je to tak. Já si neumím vybavit podnikání, ve kterém nejsou potřeba data. I nejmenší firmy a podnikatelé mají aspoň jeden počítač, evidují si klienty, mají výrobní procedury, vedou si databáze a podobně. Počítačové systémy a jejich kondice a údržba jsou zásadní. Nyní jsme v době, kdy bez dat nelze podnikat, a proto je třeba pracovat na jejich zabezpečení. Žádné riziko nejde omezit na nulu. Proto je výhodné se pojistit.

Máte na mysli pojištění kybernetických rizik. Jsou tuzemské firmy s touto možností dostatečně obeznámeny?

Kybernetická rizika jsou relativně mladá, první útoky se datují kolem roku 2008, kdy hackeři v USA dobyli vládní počítače. Když to srovnám s živly, jakými jsou oheň, voda nebo vítr, tak s těmi bojujeme odnepaměti a všichni vědí, co mají čekat a co hrozí. V kyberberbezpečnosti je proto velký prostor ke zvýšení povědomí a zlepšení.

A jak tedy pojištění kybernetických rizik funguje?

V ČSOB Pojišťovně nabízíme Pojištění kybernetických rizik od roku 2018. Má dvě části – krytí vlastní škody a pojištění odpovědnosti, tedy škod třetím osobám. Vlastní škody zahrnují například i náklady na nápravu IT systémů, protože součástí finančního plánu firmy nebývají neočekávané náklady na jejich obnovu po útoku. Pojištění odpovědnosti se týká toho, že v případě úniků citlivých údajů nebo jiných dat může vzniknout újma někomu jinému. Například škoda, kdy si třeba někdo na základě nelegálně získaných údajů vezme úvěr na mého zaměstnance.

Pojištění kybernetických rizik: Co kryje, kolik stojí a pro koho se vyplatí (2025)

Co vše kryje základní pojištění a na co se lze připojistit?

Poskytujeme právní pomoc, IT asistenci obnovení chodu firmy, staráme se o součinnost s policií. Naši PR specialisté maximálně usilují o to, aby nedošlo k poškození dobrého jména značky. Připojistit jdou mediální aktivity, pokud v rámci incidentu někdo zneužije firemní web nebo sociální sítě a poté někdo postižený bude požadovat po firmě odškodné. Připojistit se lze také proti vydírání a přerušení provozu, pro případ vykradení účtu nebo proti podvodným fakturám.

Pokud je tedy má firma napadena, co se bude dít?

Základem našeho kybernetického pojištění je nonstop asistenční služba. Pokud má firma podezření na kyberincident, tak ji kontaktuje. Když se potvrdí, že jde o vážnou situaci, tak se řeší buď vzdáleně nebo výjezdem týmu expertů ČSOB Pojišťovny do napadené firmy, a to ve lhůtě do čtyř hodin od nahlášení. Asistence funguje nonstop. Kyberútočníci jsou totiž stejně jako predátoři aktivní v době, kdy je jejich potenciální cíl nejméně připraven. Proto se množství napadení odehrává v pátek odpoledne, v neděli nebo i na státní svátek, tedy tehdy, kdy je provoz ve firmě nejmenší. Rychlá reakce je potřeba zejména v případě vydírání (ransomware), protože pokud se rychle nekomunikuje, hrozí vážné následky.

Jaké třeba?

Někdy hrozí i fatální dopady. Představte si situaci po kyberútoku – nemáte přístup k datům, nevíte přesně, co získal útočník a záložní data nejsou dostupná. V takových případech se stává, že majitelé menší rodinné firmy stojí před rozhodnutím, zda podnikání zavřít, nebo platit výkupné. Proto naši specialisté komunikují s útočníkem od počátku bez ohledu na to, zda firma chce výkupné platit, nebo ne. V podstatě je to hra o čas. Když zaspíte a s útočníkem nezačnete komunikovat v krátké době, přestanete být pro něho zajímavou kořistí a klíč k vašim datům zahodí. A vaše šance k obnovení vašich dat, pokud se nepovede jinou cestou, se zcela rozplyne.

Princip tedy je: komunikuji s útočníkem a tím získávám čas pro sebe na rozmyšlenou, zda v budoucnu přistoupím na platbu výkupného a budu mít šanci odemknout svá data, či nepřistoupím a data obnovím jiným způsobem.

Jak tato komunikace probíhá? Po e-mailu?

Většinou ano. Útočník na sebe zanechá kontakt v napadeném počítači či počítačích, zpravidla právě e-mailovou adresu.

A obvyklý nebo průměrný náklad na výkupné?

Běžné škody se pohybují u menších a středních firem řádově v milionech korun. Zaleží také na vývoji kurzu bitcoinu, protože v této kryproměně většinou bývá výkupné požadováno. K tomu je třeba připočítat náklady na obnovení provozu firmy, což jsou další statisíce až miliony korun.

NIS2 v režimu nižších povinností. Co vše musíte splnit a kdo je „povinná osoba“? (velký přehled)

Máte nějaký příklad z poslední doby, kdy tato situace pro napadenou firmu dopadla dobře?

Samozřejmě. Jedna firma se rozhodla požadované výkupné neplatit a data obnovit ze svých papírových dokumentů. Bylo to náročné, ale povedlo se. Papírové dokumenty opět zdigitalizovali se zcela znovu nainstalovaným softwarem a provoz obnovili. Firma tedy nemusela výkupné platit a zašifrovaná data odepsala. Naše pojišťovna zaplatila náklady spojené s tou opětovnou digitalizací, v tomto případě šlo o mzdy zaměstnanců za přesčasy.

Jak dlouho obnovení provozu po útoku obvykle zabere?

Teoreticky se může stát, že v pátek zavoláte na asistenční službu a v neděli je provoz obnoven a napadená firma opět funguje. Ale většinou, v případě menší nebo střední firmy, je třeba spíše počítat s týdenní odstávkou. A samozřejmě platí, že čím větší je firma, tím rozsáhlejší má IT systém, a z toho plyne i potřeba více času na obnovu celé struktury.

Co musí firma splňovat, abyste ji pojistili?

Když nabízíme pojištění kybernetických rizik, požadujeme od firmy vyplnění vstupního dotazníku, kterým zjistíme její IT stav a úroveň digitalizace a zmapujeme si možná rizika. Firma, která má lépe chráněná data a IT systémy, platí nižší pojistné. Mezi základní IT hygienu firmy patří používání hesel, která musí být dostatečně dlouhá a bezpečná a pravidelně se mění, a pravidelně a bezpečně zálohovaná data. Dále musí firma mít zpracován plán reakce na bezpečnostní incident, jako je například únik dat. To jsou základní věci.

Zde chci ale upozornit, že pokud při napadení a obnově systému IT vyjde najevo, že firma má IT v horší kondici, než uvedla do dotazníku, pak by mohlo v případě škody dojít ke snížení pojistného plnění. S takovým případem jsme se však ještě v pojištění kybernetických rizik u nás nesetkali.

A setkáváte se s tím, že je firma tak špatně zabezpečena, že ji vůbec nepojistíte?

Ano, ještě stále jsou případy, kdy k takovému závěru dospějeme, protože žadatel je z našeho pohledu nepojistitelný. Situace se však postupem doby významně zlepšuje, když porovnám letošní rok třeba se situací, která byla před dvěma lety.

Na kolik pojištění firmu zhruba vyjde?

Cena za pojištění kybernetických rizik záleží na mnoha faktorech, zejména na množství dat, zvoleném limitu pojistného plnění, krytí rizik a podobně. Ceny pro klienty se řádově pohybují od jednotek tisíc korun až po statisíce korun ročně.

Platí stále, že nejslabším článkem v kyberbezpečnosti je člověk?

Rozhodně. My lidé nejsme stroje, podléháme emocím, různě zvládáme stres, a proto má pojištění vždy své místo. Je důležité zaměstnance neustále vzdělávat, školit a upozorňovat na možné hrozby. I proto se účastníme projektu Kyberobrana.cz, za kterým stojí Asociace malých a středních podniků. Jako skupina ČSOB jsme si s Policií ČR a společností Mastercard vytkli za cíl vzdělat v kyberbezpečnosti 250 tisíc firem, organizací a obcí. Nebude to lehké, ale rozhodně to má smysl.

Zaujali jsme vás? Pokračujte...

• Kyberbezpečnost především. Asociace radí firmám, jak se bránit napadení

• Panika není na místě, vzkazuje šéf NÚKIB. Kyberbezpečnost je proces, ne jen papír

• Jak firmy čelí hackerům? Nejslabší článek je pořád člověk, říká expert na kyberbezpečnost

Když je byznys rodu ženského… čtěte v novém Finmagu

Podnikatelek a manažerek přibývá. Jenže pomalu. Na vině jsou stále předsudky. To potvrzují i ženy, jež se na špici světového byznysu přece jen prodraly.

Zdroj: Finmag

BYZNYS JE VĚDA

Julia Sveet je šéfkou obří společnosti Accenture, ale o spolupráci s někdejšími kolegy - muži stále nevypráví ráda. • Ana Botín zase roky musela dokazovat, že v čele banky Santander není jen kvůli svému původu. • A Mary Barra? Předsudků okusila sama tolik, až v sídle General Motors rozjela projekt, který pomáhá ženám prosadit se v IT.

BYZNYS JE HRA

Když jste vědkyně a přihlásíte se do akcelerátoru pro začínající podnikatele, musíte mít fakt hodně kuráže. Aspoň jako Kateřina Komrsková. • Do smělé hry se pustila také Šárka Hayna Fuchsová, dnes řídí Volvo Czech Republic. • A kdo musí mít odvahy na rozdávání? Každý startupista, který to nezabalí po prvním nezdaru.

Koupit Finmag