Cyber-risk „od boku“? Raději ne.

209

Pojištění kybernetických rizik a kybernetická bezpečnost obecně se stává čím dál tím větším tématem, zájem roste a s ním i počet uzavřených pojistných smluv.

Nejde však o housku na krámě, pojistné krytí je třeba v první řadě navrhnout klientovi na míru jeho činnosti a realitě jeho podnikání a v řadě druhé toto krytí efektivně začlenit do jeho krizového plánu.

Znamená to pochopení činnosti klienta z hlediska provozu a jeho závislosti na IT a OT. Znamená to diskuzi nad možnými scénáři, do které je nutné zapojit přinejmenším „ajťáka“, šéfa provozu a finančního ředitele. Znamená to seřadit si systémy společnosti a zodpovědět si otázky: jaký provozní, a tím pádem finanční dopad, bude mít vyřazení jednotlivých systémů na hodinu / den / týden? Jaký je RTO (Recovery Time Objective = maximální čas potřebný pro obnovu systému)? A co obchodní řetězec? Jak výpadek ovlivní mého dodavatele? Odběratele? A obráceně, jak výpadek mých odběratelů či dodavatelů ovlivní mou činnost? Jaké jsou důsledky úniku dat, za které jsem odpovědný?

Druhá část tohoto „domácího úkolu“ se týká integrace pojištění do krizového plánu pro případ kybernetického incidentu. Většina pojistných produktů kryje náklady na služby expertních společností, jejichž nasazení má za účel snížení dopadu události. Jejich výběr je na klientovi, takže je na místě dát si dohromady: Kdo bude incident šetřit a sanovat (forensní IT)? Kdo bude mít na starosti náhradu dat? Kdo bude zastřešovat PR, pokud půjde incident do médií? Kdo mne bude hájit proti případným nárokům? Kdo mne připraví na audit regulátora?

Cyber-risk se „od boku“ efektivně pojišťovat nedá. Vytěžení maxima z pojištění kybernetických rizik si žádá čas a vůli k pochopení specifik, jak na straně klienta, tak na straně makléře.

Výsledkem je však zásadní přínos k odolnosti klienta proti nástrahám podnikání v realitě dneška.

Josef Majer, Senior Client Executive, MARSH