Kybernetické prostředí se vyvíjí podle GA velmi rychle. S digitalizací se rozšiřuje také okruh hrozeb a zranitelných míst. Tento proces je zesilován posuny v pracovní a podnikatelské činnosti, které přinesl COVID-19. Některé změny podle GA přetrvají i po skončení stávající pandemie. Hackerské útoky s vymáháním výkupného a útoky na dodavatelské řetězce se staly od vypuknutí pandemie četnějšími a na základě toho se nyní více připouští možnost rozsáhlých ekonomických poruch, resp. přerušení provozu, z titulu záludných kybernetických incidentů.
Trh kybernetického pojištění se během doby rozvinul, přičemž došlo k progresivnímu rozšíření tříd krytých rizik, a to jak v klasickém pojištění, tak v pojištění odpovědnosti. Nicméně nedávný prudký nárůst škodních poměrů u samostatného kybernetického pojištění přiměl pojistitele a zajistitele k nové kalibraci kybernetických rizik. K tomu se přidaly iniciativy vypustit neúmyslné vystavení kybernetickému riziku z tradičních majetkových a odpovědnostních pojištění. Z těchto důvodů se kapacita pojistitelů a zajistitelů snížila. Vzhledem k pokračující silné poptávce bylo nastartováno přehodnocování nákladů na kybernetické pojištění, tedy nastalo zvýšení sazeb, ale také zpřísnění pojistných podmínek.
Nedávné vážné narušení dodavatelských řetězců a hackerské útoky, spojené s vymáháním finančních prostředků za „uvolnění“ například interní sítě, podtrhly dlouhodobý problém pojistitelů provozujících kybernetické pojištění. Kolik pojistné ochrany může nebo by mělo pojištění poskytnout, jestliže pachatelé takových útoků jsou napojeni na národní státy? Tradiční výluky v pojistných smlouvách pro válečné incidenty či incidenty podobné válce nepostihují adekvátně dané situace, kdy národní státy jsou pouze podezřelé, že buď stojí za útokem, nebo alespoň poskytují hackerům bezpečný přístav, zvláště pak, jsou-li motivy daného útoku nejasné.
Takové problémy s přisouzením události či její charakteristikou vytvářejí pro pojistitele významnou smluvní nejistotu, která se přidává k nedávnému „utažení“ podmínek na trhu kybernetického pojištění. GA je názoru, že více jasnosti a jistoty pro pojistitele by mohla poskytnout podrobnější klasifikace kybernetických incidentů, včetně terminologie vztahující se k „nepřátelské kybernetické aktivitě“ („Hostile Cyber Activity“ – HCA), což by znamenalo méně náročné důkazní břemeno ohledně zapojení státu ve srovnání se současnými široce používanými definicemi. GA ale podotýká, že tržní akceptace zpřísněného jazyka smluv týkajícího se pojištěných kybernetických událostí si vyžádá nějakou dobu. Z dalšího výkladu GA k této problematice lze vyvodit, že existují i potíže s finálním určením toho, co patří a nepatří do HCA. Zapojení národního státu má totiž velmi různou podobu, a to od sponzoringu, přes financování akcí příslušnou vládou až po její spojení s kriminálními gangy.
Kvantifikace kybernetických rizik zůstává výzvou
Pokrok v modelování a kvantifikaci kybernetických rizik, stejně jako dostupnost zajištění a jiných mechanismů sdílení rizik, bude podle GA klíčem k povzbuzení příslušných prozíravých pojistitelů, aby nabízeli vyšší krytí pro HCA a jiné záludné kybernetické aktivity. Na rozdíl od přírodních katastrofických rizik, jako jsou například hurikány, nebo od katastrof způsobených člověkem, jako jsou například teroristické útoky, kybernetická rizika nemají žádné geografické hranice. Kybernetickou katastrofickou zónou je potenciálně celý svět. Kromě problému přiřaditelnosti a charakterizace kybernetické události zůstává obzvláště závažnou výzvou posuzování četnosti a závažnosti HCA, zejména pak potenciálu pro velké akumulované škody.
Deterministická analýza scénářů nasvědčuje tomu, že některé záludné kybernetické incidenty, jako je například dočasné přerušení cloudových služeb, mohou vyvolat takové ekonomické škody, které by byly v zásadě srovnatelné s některými historicky významnými přírodními katastrofami. Ale extrémnější a dlouhotrvající kybernetické útoky, včetně dalekosáhlého výpadku či selhání IT nebo provozní infrastruktury, mohu generovat podstatně větší očekávané škody. Navíc nejistota obklopující tyto odhady je značná, což značí, že celkové potenciální škody by mohly být významně vyšší než tyto odhady, jež snadno vyčerpávají kapacitu pojistitelů/zajistitelů pro absorbování rizika.
To platí zvláště pro incidenty v oblasti HCA, kde se projevuje nejednoznačnost, pokud jde o motivy, taktiku a směry ohrožení, stejně jako možnost, že relativně malé izolované útoky budou eskalovat v plnohodnotnou kybernetickou válku. Je jasné, že to doplňuje komplikace s kvantifikací kybernetických rizik.
Spolupráce se státem
GA je názoru, že posílení kybernetické odolnosti vyžaduje součinnost mezi podniky a vládami. Tato součinnost by měla zvýšit povědomí o riziku a celkovou připravenost. Také progres ve vynucování práva by mohl vést k větší ochotě pojistitelů nabízet riziko absorbující kapacitu. Za úvahu stojí taktéž financování kybernetických rizik kryté či podporované vládou za účelem zvýšit odolnost národního hospodářství. Dobře konstruované partnerství veřejného a soukromého sektoru (PPP – Public Private Partnership) by mohlo přispět k navýšení kapacity pojistné ochrany a povzbudit tržní inovace, aby se rozšířilo krytí HCA rizik. To by nemělo být jen nějaké jednoduché fiskální řešení, nýbrž na základě součinnosti s pojistiteli by měly být rovněž přijímány nejlepší osvědčené postupy, včetně sjednání adekvátního pojištění, aby se redukovala zranitelnost společnosti z titulu takových rizik.
GA si uvědomuje, že řešení s účastí nebo podporou vlády je vždy náročné a komplexní. U každého projektu PPP je nutno zvažovat celou řadu parametrů. Například je nutno rozhodnout, zda půjde o pojišťovací systém povinný nebo dobrovolný, zda pojistná ochrana bude koncipována jako parametrická či na základě náhrady újmy, jak to bude s daněmi či zajištěním dostatečného kapitálu. V každém případě by se však měla tato cesta prozkoumat, a to v národním měřítku, jelikož mezinárodní či globální řešení se jeví v současné době jako nereálné.
_w60h45_w76h50.png)
RSS
Přebírání zpráv
