Pojištění kybernetických rizik: Jak ochránit své peníze před internetovými piráty

Jak jeden phishingový e-mail zastaví firmu na celé dny a proč to není jen problém IT

Většina kybernetických škod nezačíná sofistikovaným útokem na banku, ale obyčejným e-mailem. Útočník pošle zprávu, která vypadá jako faktura od dodavatele, a během pár minut má přístup k účtu, datům nebo platební bráně. Podle reportů z praxe bývá lidský faktor u naprosté většiny incidentů rozhodující; Verizon ve své databázi dlouhodobě uvádí, že více než dvě třetiny bezpečnostních incidentů souvisejí s lidskou chybou, podvodem nebo zneužitím přístupů.

Pro peníze firmy je to horší, než to na první pohled vypadá. Když se zastaví e-shop, nejde jen o jeden neprodaný den. Ztrácíte objednávky, reklamní rozpočet přitom běží dál a zákazníci mezitím nakupují jinde. U menších firem vidím v praxi nejčastěji scénář, kdy výpadek trvá 6 až 24 hodin, ale škoda se skládá z několika částí: technická oprava, obnova dat, právní služby, komunikace s klienty a často i kompenzace zákazníkům.

Pojištění kybernetických rizik má jediný smysl, když kryje přesně tenhle řetězec událostí. Nestačí, že pojišťovna zaplatí obnovu serveru. V dobré smlouvě najdete i náklady na forenzní analýzu, právní zastoupení, oznámení incidentu klientům a někdy i ztrátu provozního zisku po dobu odstávky. Právě tahle část bývá pro firmu nejdražší.

Kde pojištění skutečně pomůže: výkupné, výpadek provozu, únik dat i soudy

Nejčastější omyl je představa, že kyberpojištění je jen „pojistka proti hackerům“. Ve skutečnosti jde o balík několika rizik. Když firma zaplatí útočníkovi výkupné, pojišťovna může podle podmínek řešit i vyjednávání přes specializovanou službu. Když útočník zašifruje data, kryje se obnova systémů. Když uniknou osobní údaje, přichází na řadu právní a informační povinnosti vůči úřadům i klientům.

U firem, které pracují s platebními daty nebo citlivými osobními údaji, je zásadní i odpovědnost vůči třetím stranám. Tady nejde o teoretickou hrozbu. Pokud zákazník přijde o přístup k účtu nebo mu z účtu zmizí peníze po průniku přes napadený web, řeší firma nejen technický incident, ale i nároky na náhradu škody. V takové situaci může jediný incident stát statisíce až miliony korun, zejména pokud se přidá právní spor a ztráta důvěry.

V praxi se vyplácí číst hlavně tyto části pojistných podmínek:

  • výpadek provozu – jestli se hradí ušlý zisk a jak dlouhá je karenční doba,
  • obnova dat a systémů – zda pojišťovna platí i externí specialisty,
  • odpovědnost za únik dat – zda kryje i nároky klientů a regulatorní sankce v mezích zákona,
  • krizová komunikace – tisk, call centrum, notifikace zákazníků,
  • výkupné a vyjednávání – ne každá pojistka tohle vůbec připouští.

Jeden detail rozhoduje často víc než cena. Pojišťovna může nabídnout levnější sazbu, ale s limitem například 500 000 Kč. To stačí na menší průšvih, ne na incident s e-shopem, který denně obrací desítky tisíc objednávek. U firem s vyšším obratem dává smysl sledovat hlavně limit na jednu událost a souhrnný limit za rok, ne jen měsíční splátku pojistky.

Jak pojišťovna zkoumá vaši bezpečnost a proč bez MFA často narazíte

Kyberpojištění není produkt, který si koupíte bez otázek. Pojišťovna se dnes běžně ptá na vícefaktorové ověřování, zálohování, aktualizace systémů, řízení přístupů a školení zaměstnanců. Důvod je jednoduchý: pokud firma nemá základní ochranu, škodní události jsou častější a dražší. Z pohledu pojistitele je to stejná logika jako u havarijního pojištění auta bez zámku a bez garáže.

Největší rozdíl v praxi dělá MFA, tedy vícefaktorové přihlášení. Když útočník získá heslo z úniku databáze nebo z phishingu, bez druhého faktoru se často dál nedostane. Microsoft i další bezpečnostní firmy opakovaně uvádějí, že zapnutí MFA dramaticky snižuje úspěšnost útoků na účty; v praxi jde o jednu z nejlevnějších a nejúčinnějších ochran, kterou můžete zavést během jednoho dne.

Na projektu jednoho menšího B2B e-shopu jsme řešili pojistku po tom, co si vedení myslelo, že stačí silná hesla. Stačila přitom jediná kompromitovaná schránka a útočník si přes reset hesla otevřel přístup do administrace. Firma nakonec zaplatila obnovu, externí audit i komunikaci se zákazníky. Kdyby měli MFA na e-mailu, skladovém systému a administraci webu, celý incident by se velmi pravděpodobně zastavil už v první minutě.

Pojišťovna obvykle sleduje i to, jak rychle umíte obnovit provoz. Zde pomůže jednoduchý test: vezměte si seznam systémů, bez kterých firma nefunguje, a u každého si napište, za jak dlouho ho obnovíte ze zálohy. Pokud zjistíte, že CRM obnovíte za 4 hodiny, ale e-shop až za 2 dny, máte problém. Ne s pojištěním, ale s připraveností. Pojišťovna to pozná v dotazníku i při škodě.

  • MFA zapnout na e-mail, admin rozhraní, banku i cloudové úložiště.
  • 3-2-1 zálohování: tři kopie dat, dva různé nosiče, jedna kopie mimo hlavní infrastrukturu.
  • Aktualizace nastavit automaticky alespoň u CMS, pluginů a serveru.
  • Role a přístupy omezit podle práce, ne podle hierarchie.

Kolik stojí kyberpojištění a proč je levné jen tehdy, když přesně víte, co kupujete

Cena kyberpojištění se liší podle obratu, počtu zaměstnanců, typu dat a úrovně zabezpečení. U menších firem se roční pojistné může pohybovat v řádu nižších desítek tisíc korun, u větších e-shopů nebo firem s citlivými daty výrazně výš. Rozhodující není jen velikost firmy, ale hlavně to, jaká škoda může vzniknout za jeden den výpadku. Když má e-shop denní obrat 200 000 Kč a po útoku stojí tři dny, ztráta z tržeb je 600 000 Kč ještě před započtením nákladů na opravu a marketing.

V tomhle bodě lidé často chybují. Porovnávají pojistky podle ceny, ale ne podle výluk. Levná smlouva může vyloučit útok přes zaměstnanecký e-mail, ransomware nebo chybu dodavatele hostingu. A právě dodavatelský útok je dnes běžný scénář. Když vám spadne hosting, platební brána nebo externí ERP, potřebujete vědět, zda pojistka uznává i závislost na třetí straně.

Praktický postup je jednoduchý: vezměte posledních 12 měsíců a spočítejte, kolik by stála nejdelší realistická odstávka. Přidejte obnovu dat, externí IT pomoc, právní služby a komunikaci s klienty. Pokud vyjde škoda 1,2 milionu Kč a pojistný limit je 500 000 Kč, pojistka sice pomůže, ale nevyřeší problém celý. Tohle je přesně moment, kdy se vyplatí mluvit s makléřem, který umí číst výluky, ne jen cenu na první straně nabídky.

Dobře nastavené pojištění navíc není náhrada za bezpečnostní opatření. Pojišťovna vám nezaplatí pohodlnost. Když nemáte zálohy, logování přístupů a evidenci administrátorů, škodní událost se může zbytečně protáhnout a plnění se zkomplikuje. V praxi pak rozhodují i detaily typu, zda máte přístupové účty na jména, nebo sdílený účet „admin“ pro celý tým.

Jak postupovat dnes, abyste při útoku nezjistili, že jste nepojistitelní

Nejlepší chvíle na kontrolu kyberpojištění je před útokem. Pokud to odložíte až na moment, kdy vám někdo zašifruje server, je pozdě na vyjednávání i na doplnění bezpečnosti. Začněte třemi konkrétními kroky, které zabírají méně času než běžná porada vedení, ale výrazně sníží riziko i cenu pojistky.

První krok: sepište všechny systémy, které drží provoz firmy nad vodou. E-mail, fakturaci, e-shop, účetnictví, cloud, zálohy, platební bránu. U každého napište vlastníka, přístupová práva a dobu obnovy. Tohle je základní mapa rizik a bez ní se pojištění vybírá naslepo.

Druhý krok: zkontrolujte, kde máte MFA. Nestačí na Facebooku nebo Gmailu. Potřebujete ho na e-mailu, v administraci webu, v cloudu a u banky. Právě přes e-mail se totiž nejčastěji resetují hesla do dalších systémů.

Třetí krok: otestujte obnovu záloh. Ne na papíře, ale doopravdy. Jednou za čtvrtletí obnovte část dat do testovacího prostředí a změřte čas. Pokud obnova trvá pět hodin místo původně odhadované jedné, máte tvrdá data pro úpravu pojistky i interních procesů.

Když tohle uděláte, přestanete řešit kyberpojištění jako formální produkt. Začnete ho brát jako součást řízení peněz. A to je přesně místo, kde má smysl – ne jako nálepka „jsme pojištění“, ale jako nástroj, který rozhodne, jestli firma po útoku zaplatí opravu z vlastních peněz, nebo z pojistného plnění.

Bc. Martina Vaňková
Bc. Martina Vaňková

Redaktorka se specializací na zdravý životní styl, psychologii a moderní trendy. Ve svých textech s nadhledem propojuje vědecká fakta s praktickými tipy pro spokojený každodenní život.

https://www.twinmedia.cz