Co dnes znamená kybernetické riziko pro běžnou firmu
Kybernetický útok už dávno neznamená jen „hacknutí webu“. V praxi jde často o ransomware, phishing, kompromitaci e-mailové schránky, zneužití přístupů do administrace, útok na dodavatelský řetězec nebo únik dat z CRM a ERP systémů. Podle dlouhodobých statistik bezpečnostních firem patří mezi nejčastější vstupní body právě lidský faktor a slabé přihlašovací údaje. U menších firem bývá problém v tom, že mají omezený IT tým, starší infrastrukturu a žádný jasný plán, co dělat při incidentu.
Finanční škody se přitom neskládají jen z obnovy serverů. Připočtěte ztracené objednávky, odstávku e-shopu, hodinové sazby externích specialistů, právní služby, pokuty za porušení ochrany osobních údajů a reputační dopad. I několikahodinový výpadek může u firmy s denním obratem v desítkách tisíc korun znamenat škodu v řádu statisíců. U e-commerce nebo B2B provozů s vysokou závislostí na dostupnosti systémů se částky rychle šplhají výš.
Co pojištění kybernetických rizik obvykle kryje a co ne
Pojištění kybernetických rizik je navržené tak, aby pomohlo pokrýt následky bezpečnostního incidentu. Nejde tedy o „ochranu před hackem“, ale o finanční záchrannou síť, když už k útoku dojde. Rozsah se liší podle pojišťovny i konkrétního produktu, ale typicky můžete čekat tyto oblasti:
- Obnova dat a systémů – náklady na restart serverů, obnovu záloh, forenzní analýzu a IT zásah.
- Výpadek provozu – kompenzace ušlého zisku nebo dodatečných nákladů během odstávky.
- Reakce na incident – právní pomoc, PR krizová komunikace, notifikace klientů, hotline služby.
- Odpovědnost za únik dat – nároky třetích stran, případně náklady spojené s GDPR incidentem.
- Kybernetické vydírání – někdy i náklady související s ransomwarem, ale podmínky bývají přísné.
Naopak pozor na výluky. Často nebývá kryto úmyslné jednání vedení, škody způsobené dlouhodobě neaktualizovanými systémy, incidenty bez základních bezpečnostních opatření nebo staré zranitelnosti, které firma ignorovala. Pojišťovna obvykle zkoumá, zda měla firma zapnuté vícefaktorové ověření, pravidelné zálohy, řízení přístupů a základní monitoring. Bez toho může být plnění kráceno nebo zamítnuto.
Praktický příklad: menší účetní firma přijde o přístup do e-mailu kvůli phishingu, útočník pošle falešné faktury klientům a zároveň se pokusí šířit malware v síti. Pojištění může pokrýt forenzní analýzu, obnovu přístupů, právní pomoc i část nákladů na informování klientů. Pokud ale firma neměla MFA a používala stejná hesla napříč službami, může být vyjednávání s pojistitelem složitější.
Jak se nastavuje pojistná částka a proč nestačí vybrat nejlevnější variantu
Správné nastavení limitu je klíčové. Levná pojistka s nízkým limitem může vypadat atraktivně, ale při reálném incidentu se rychle vyčerpá. Uvažujte ve třech vrstvách: přímé náklady na IT obnovu, provozní ztráta a právní/regulační dopady. Pokud má firma například obrat 20 milionů Kč ročně a průměrně 80 tisíc Kč denně, třídenní výpadek už může znamenat 240 tisíc Kč jen na ušlém obratu, bez dalších nákladů.
Při kalkulaci se vyplatí vycházet z těchto dat:
- průměrná délka výpadku klíčových systémů,
- závislost na e-mailu, ERP, CRM a e-shopu,
- počet zaměstnanců a jejich přístupová práva,
- objem citlivých dat a osobních údajů,
- existence outsourcingu, SaaS a cloudových služeb.
V praxi dává smysl porovnat nabídky podle sublimitů, tedy dílčích limitů pro konkrétní typ škody. Některé pojistky mají vysoký celkový limit, ale nízký limit pro obnovu dat nebo právní služby. To je častý problém u firem, které se soustředí jen na cenu. Důležité jsou také spoluúčast, čekací doba u přerušení provozu a definice „bezpečnostního incidentu“ v podmínkách.
Jaké bezpečnostní kroky pojišťovna očekává před sjednáním
Pojištění kybernetických rizik funguje nejlépe tehdy, když firma prokáže, že má elementární bezpečnostní standard. Pojišťovny dnes často používají detailní dotazníky a někdy i technické posouzení. Nejde o formalitu – podle odpovědí vyhodnocují rizikovost klienta a stanovují cenu i výluky. Pokud v odpovědích uvedete, že máte zálohy, ale ve skutečnosti nejsou testované, může to být při škodě zásadní problém.
Minimální bezpečnostní balíček by měl obsahovat:
- MFA pro e-maily, VPN, administraci a cloudové služby,
- pravidelné offline nebo immutable zálohy s testem obnovy,
- správu aktualizací operačních systémů, serverů i pluginů,
- princip nejmenších oprávnění pro uživatele i administrátory,
- EDR/antivirus s centralizovanou správou,
- logging a monitoring přístupů, ideálně s upozorněním na anomálie.
Pro menší firmy je praktické využít nástroje jako Microsoft Defender for Business, Bitdefender GravityZone, CrowdStrike Falcon nebo ESET Protect. V prostředí WordPressu nebo e-shopu je nutné hlídat nejen server, ale i pluginy, šablony a přístup do administrace. U firem na Google Workspace nebo Microsoft 365 bývá nejčastějším problémem kompromitace e-mailu, proto má smysl nastavit podmíněný přístup, MFA a pravidelné kontroly přihlášení.
Velmi důležité je také školení zaměstnanců. Phishingové simulace od nástrojů jako KnowBe4 nebo Cofense umí snížit úspěšnost podvodných e-mailů, protože lidé se naučí rozpoznat falešné faktury, změny bankovních účtů nebo podvržené výzvy k přihlášení. V praxi je často levnější investovat několik desítek tisíc ročně do prevence než řešit milionové škody po incidentu.
Jak postupovat při incidentu, aby pojištění skutečně pomohlo
Po útoku rozhodují minuty a jasně nastavený postup. Pojišťovna obvykle vyžaduje, aby firma incident bezodkladně nahlásila a doložila, co se stalo, kdy, na jakých systémech a jaká opatření byla přijata. Pokud firma začne sama chaoticky zasahovat bez dokumentace, může si tím zkomplikovat nejen forenzní analýzu, ale i samotné plnění.
Doporučený postup je následující:
- Izolovat napadené zařízení nebo segment sítě, ale nevymazávat důkazy.
- Kontaktovat IT dodavatele, bezpečnostního specialistu a pojišťovnu podle krizového plánu.
- Změnit přístupové údaje u kompromitovaných účtů a vynutit MFA.
- Zkontrolovat logy z e-mailu, VPN, serverů a cloudových služeb.
- Zajistit komunikaci navenek, aby zaměstnanci neposílali protichůdné informace.
U větších firem se vyplatí mít předem připravený incident response plán a seznam kontaktů: správce IT, právník, DPO, PR specialista, vedení, pojišťovna a externí forenzní tým. Každá hodina improvizace zvyšuje škody. Pokud je součástí incidentu únik osobních údajů, musí firma zároveň řešit povinnosti vůči ÚOOÚ a případně informování dotčených osob. Právě v této fázi bývá pojištění užitečné, protože pokryje část nákladů na krizovou reakci, externí pomoc i administrativu.
Jak vybrat pojištění kybernetických rizik pro malou i střední firmu
Při výběru se neřiďte jen cenou a marketingovým popisem. Ptejte se na konkrétní limity, výluky, čekací dobu, definici incidentu a proces hlášení škody. Dobrá smlouva by měla odpovídat reálnému provozu firmy, ne obecné šabloně. U e-shopu je zásadní krytí výpadku webu a platebních systémů, u účetní firmy ochrana dat a právní pomoc, u výrobního podniku zase odstávka provozních technologií a závislost na dodavatelích.
Vhodné je porovnat minimálně tyto parametry:
- výše celkového limitu a sublimitů,
- spoluúčast a čekací doba u přerušení provozu,
- krytí práce externích specialistů a forenzní analýzy,
- pokrytí GDPR incidentů a právní obrany,
- podmínky pro ransomware a kybernetické vydírání,
- požadované bezpečnostní standardy před sjednáním i během trvání pojistky.
Nejlepší výsledky přináší kombinace prevence, dokumentace a pojištění. Firma by měla mít aktualizované systémy, pravidelné zálohy, jasné role při incidentu a přehled o tom, kde drží kritická data. Teprve pak má pojištění kybernetických rizik skutečný smysl: nepokrývá jen účet za škodu, ale pomáhá firmě rychleji se vrátit do provozu a omezit dopad útoku na zákazníky i cash flow.
