Kybernetické riziká z pohľadu Colonnade

23. 3. 2020

Vážení obchodní partneri, radi by sme Vám priniesli v najbližších číslach nášho newslettera informácie (pričom dúfame, že pre Vás hlavne nové) o problematike kybernetických rizík. Preto začíname so sériou článkov, ktoré Vás pevne veríme zaujmú natoľko, že konečne tým správnym smerom „nakopneme” poisťovanie týchto veľmi špecifických ale v dnešnej dobe zároveň pre chod spoločnosti kritických rizík. Zároveň budeme v každom článku prinášať aj príklady živých Cyber / kybernetických útokov a ich finančných dôsledkov, keďže bez hmatateľných príkladov špeciálne takáto problematika ostáva len v rovine „sci-fi”.

Čo sa skrýva pod pojmom Cyber Risk?

Skutočnosť, že zatiaľ neexistuje žiadna všeobecne používaná a celosvetovo akceptovaná definícia pojmu Cyber ​​Risk / kybernetické riziko, jasne naznačuje, že ide o relatívne novú tému aj pre sektor poisťovníctva. Len aby sme sa ubezpečili, že hovoríme o tom istom, radi by sme sa s vami podelili o náš pohľad na predmetnú problematiku.

Naše chápanie pojmu kybernetické riziko zahŕňa akékoľvek riziká vyplývajúce z používania elektronických údajov, akúkoľvek zodpovednosť vyplývajúcu z / súvisiacu s ukladaním alebo prenosom elektronických údajov, vrátane technologických nástrojov, ako sú internet a telekomunikačné siete.

Poistenie kybernetických rizík vzniklo ako reakcia na potrebu krytia takýchto rizík, avšak v súčasnej dobe prechádza výrazným vývojom a dá sa povedať, že už dávno prekročilo uvedenú definíciu kybernetických rizík.

Poistenie Cyber už v dnešnej dobe zahŕňa ako škody spôsobené na majetku tak aj škody na zdraví kybernetickými útokmi, podvodmi spáchanými zneužitím údajov a všeobecne dostupnosťou, integritou a dôvernosťou elektronických informácií – či už ide o jednotlivcov, spoločnosti alebo vlády.

Toto je náš pohľad na kybernetické riziká, ale sme si istí, že máme pred sebou ďalší vývoj aj v tejto oblasti.

Trochu z histórie poisťovania kybernetických rizík v našej spoločnosti

S poistením kybernetických rizík sme začali ešte v AIG v roku 2012. Wording bol síce na svoju dobu jednotka na trhu, ale v dnešnom ponímaní bol jeho záber relatívne úzky a hlavne nereflektoval už na nové požiadavky, ktoré doniesla sprísňujúca sa legislatíva EÚ.

Priniesť úplne nový produkt má každopádne svoje úskalia. Potrebujete na to reálne extrémne veľa času, energie, trpezlivosti a vytrvalosti. Aj z tohoto dôvodu sme v prvých rokoch zaznamenali a stále zaznamenávame stále sa zväčšujúci záujem o tento typ produktu. Jediným ale podstatným mínusom je nízka realizácia ponúk do poistných zmlúv, čo je ale na druhej strane do istej miery prirodzeným javom pri novom a tak komplexnom produkte, akým bezpochyby poistenie kybernetických rizík je. Na Slovensku zatiaľ nie je vytvorený trh (jedným z dôvodov je paradoxne malá konkurencia medzi poisťovňami) pre poisťovanie kybernetických rizík a počet zmlúv sa dá reálne rátať na desiatky až stovky.

V rokoch 2017 a 2018 sme sa ako jedni z mála na slovenskom poistnom trhu orientovali primárne na edukáciu našich obchodných partnerov v oblasti GDPR a zorganizovali školenia pre viac ako 500 obchodných partnerov / jednotlivcov. Je len škoda, že jednotlivé poisťovne práve v tomto období nekoordinovali intenzívnejšie svoje aktivity za účelom dosiahnutia želaného efektu t.j. priblíženia problematiky GDPR a kybernetických rizík čo možno najväčšiemu počtu sprostredkovateľov a následne aj klientov.

Pred implementáciou GDPR si poistenie kybernetických rizík kupovali len spoločnosti s vysokou expozíciou rizika súvisiaceho so spracúvaním osobných údajov t.j. banky, dodávatelia energií resp. telekomunikačné spoločnosti a zároveň spoločnosti, ktoré boli „donútené” kúpiť si toto poistenie zo strany ich západných obchodných partnerov.

Lokálna implementácia GDPR toto myslenie ale zmenila podstatným spôsobom. Hlavným dôvodom pre poistenie sa stala potreba spoločností byť v súlade s predmetným nariadením. Toto bolo zároveň dôvodom, prečo sme priniesli na trh zatiaľ ako jediná spoločnosť poistenie GDPR, ktoré by malo byť doplnkovým riešením nastavenia procesov vo firme pre malé a stredné firmy, ktoré si nechcú kúpiť plné krytie poistenia kybernetických rizík.

Poistenie GDPR sa v našom regióne stalo najrýchlejšie sa rozvíjajúcim segmentom, pričom sme medzi rokmi 2018 a 2020 zaznamenali rast počtu poistných zmlúv v stovkách percent. Aktuálne sa v portfóliu spoločnosti Colonnade Insurance S.A. nachádza viac ako 600 poistných zmlúv na poistenie kybernetických rizík.

3 najväčšie pokuty udelené po 25.05.2018 (implementácia nariadenia GDPR v EÚ)*

  1. British Airways – 204 600 000 EUR – únik osobných údajov o viac ako 500 000 pasažieroch vrátane biometrických údajov;
  2. Marriott International, Inc – 110 390 200 EUR – únik osobných údajov o viac ako 30 000 000 hotelových hostí z 31 krajín európskej únie (celosvetovo unikli údaje o viac ako 339 000 000 hotelových hostí)
  3. Google Inc. – 50 000 000 EUR – nedostatočne preukázaný právny základ na spracovanie osobných údajov klientov

Vybrané GDPR pokuty z nášho regiónu*

  1. Bulharský národný daňový úrad – 2 600 000 EUR – únik osobných údajov viac ako 6 000 000 daňovníkov
  2. Mall.cz – 60 000 EUR – odcudzenie osobných údajov o najmenej 735 000 zákazníkoch
  3. Sociálna poisťovňa SR – 50 000 EUR – porušenie povinnosti pri zasielaní osobných údajov poistníkov do zahraničia
  4. Slovak Telekom – 40 000 EUR – neprimerané bezpečnostné opatrenia pri spracúvaní osobných údajov zákazníkov

* pokuta je iba jedným z nákladov hradených poistením GDPR resp. poistením kybernetických rizík

V ďalších článkoch na tému kybernetické riziká by sme Vám okrem iného radi priniesli nasledujúce témy:

  • Harmonizácia GDPR pokút v EÚ;
  • Trendy v poistení kybernetických rizík;
  • Možné výzvy v poistení kybernetických rizík;
  • Vplyv poistenia kybernetických rizík na konvenčné druhy poistenia;
  • Fenomén „SILENT CYBER“