Ukážme si to na príklade
Zatiaľ čo globálny trh s poistením vozidiel v súčasnosti predstavuje hodnotu viac ako 600 miliárd dolárov, trh s poistením kybernetickej bezpečnosti bol ohodnotený na 16,6 miliardy. Dramatický rozdiel je však v predpoklade, ako budú trhy rásť nasledujúcu dekádu. Poistenie vozidiel očakáva medziročne rast niečo vyše päť percent, kyberpoistenie takmer 25 percent.
Celosvetovo tak badáme zdravé formovanie tohto trhu.
Dokonca v roku 2022 sme mohli pozorovať pokles v počte nahlásených a riešených poistných plnení. A hoci tento trend opätovne mnohí pripisujú vojne na Ukrajine, keď hackerské skupiny zmenili svoje zameranie, obrovský dopyt zo strany organizácií, ako aj zvýšený záujem z poisťovní naznačujú, že predpoklad rastu je opodstatnený.
Čo sa dá a nedá poistiť
V jednoduchosti? Základný princíp je rovnaký ako pri poistení vozidiel, keď sa snažíme vykryť straty spôsobené následkami dopravných nehôd.
Kyberpoistenie kryje straty spôsobené kybernetickými incidentmi. Sem patria napríklad straty pri prerušení činnosti spoločnosti, odškodnenie klientov či náklady spojené s obnovou systému.
Vzhľadom na komplexnosť problematiky má však aj tento typ poistenia výnimky, pričom záleží aj na obchodnom modeli poisťovne. Tými najčastejšími výnimkami sú prieniky cez tretie strany, sociálne inžinierstvo, vnútorné hrozby, štátom sponzorované útoky, zneužitie známej zraniteľnosti a výpadky, ktoré nie sú zapríčinené kyberincidentom.
Poisťovne to vedia
Podľa odhadov pracuje v kybernetickej bezpečnosti celosvetovo 5,5 milióna pracovníkov. Ich počet rastie, ale zároveň s tým rastie aj rozdiel v ponuke a dopyte po špecialistoch. V kyberbezpečnosti stále absentujú takmer štyri milióny pracovníkov.
Kombinácia ekonomickej neistoty, rapídneho vývoja technológií, fragmentovanej legislatívy a chýbajúcich špecialistov tak môže predstavovať nebezpečnú kombináciu pre celý kybernetický priestor. Poistenie kybernetickej bezpečnosti by mohlo prispieť k zmierneniu tejto neprívetivej prognózy.
Poistenie nie je všeliek
Tak ako pri opotrebovaných pneumatikách či tečúcom motorovom oleji nám nenapadne riešiť poistenie, nemalo by kyberpoistenie predstavovať prvotný zámer pri ošetrovaní rizík.
Samozrejme, presun rizika je legitímna stratégia, ako ošetriť identifikované riziko. Netreba však zabúdať na to, že sa používa najmä vtedy, ak je ošetrenie samotného rizika neefektívne pre organizáciu alebo ide o extrémne nepravdepodobný scenár.
V niektorých prípadoch môže byť kyberpoistenie dokonca kontraproduktívne. Niektoré skupiny hackerov si totiž pri úspešnom ransomvérovom útoku priamo pýtajú detaily poistenia kybernetickej bezpečnosti.
Najdrahšie poistky
Pochopiteľne, že čím vyššie je ohrozenie, tým je vyššia cena poistky. Preto neprekvapí, že medzi premiantov patria finančný a technologický sektor a zdravotníctvo. Tieto sektory vyžadujú vysoké úrovne ochrany a poistenie musí byť špecificky prispôsobené na zvládanie ich jedinečných rizík.
Najťažšou úlohou pre poisťovne sú však malé a stredné firmy. Často im chýbajú finančné a personálne kapacity na kyberbezpečnosť a potenciálny finančný dosah incidentov je pre ne devastujúci, čo zvyšuje cenu poistenia.
Ako u nás doma
Hoci sa rozprávame o globálnom trhu s miliardovou hodnotou, stále je to relatívne nový druh poistenia a samotné poisťovne majú problém s odhadovaním rizika.
Tento fakt je jasne badateľný aj na slovenskom trhu s kyberpoistením. Poisťovne majú len limitované historické dáta o kybernetických incidentoch a ich dosahoch. Tento samotný fakt, samozrejme, značne sťažuje odhadnúť a správne nastaviť rizikový model pre danú spoločnosť a správne nastaviť aj cenu poistenia.
Niektoré poisťovne tak limitujú rozsah samotného poistenia či sú nútené dvíhať jeho cenu. Tento fakt akcentuje aj Národná banka Slovenska, ktorá v štúdii uvádza, že pravdepodobnosť výskytu kybernetického útoku je vyššia ako pravdepodobnosť výskytu poistnej udalosti.
Michal Srnec, vedúci oddelenia informačnej bezpečnosti, Aliter Technologies