Koncepce pojištění e-obchodu z pohledu eliminace pojišťovaných rizik

Článek je koncipován jako pokračování článku Pojišťování rizik vyplývajících z provozu a správy IS/IT.

Tento druh pojištění je určen pro organizace, které se chtějí prezentovat na Internetu a kromě toho také chtějí realizovat touto cestou obchodní či jinou činnost. Cílovou skupinu tvoří tedy všechny organizace vystupující na Internetu. Jediné omezení může být takové (v případě českého pojišťovacího subjektu), že server, na němž je umístěna domovská stránka nebo další software pro realizaci obchodu (např. webshop apod.), musí být provozován na území České republiky. Pro účely pojištění jsou potenciální zájemci rozděleni do tří rizikových skupin.

Definice rizikových skupin

1. Riziková skupina 1

   Uživatel prezentace na Internetu, která je umístěna na serveru externího poskytovatele této služby. Do této skupiny patří všechny organizace, které se prezentují na Internetu a jejichž webové stránky jsou provozovány v České republice na serveru jinou organizací (poskytovatelem).

2. Riziková skupina 2

   Organizace nabízející elektronické obchodování, jehož webové stránky jsou provozovány v České republice na serveru jinou organizací (poskytovatelem). Do této skupiny patří organizace, které prodávají zboží nebo služby prostřednictvím Internetu. Při tomto obchodování využívají webových stránek a příslušného software na serveru spravovaném jinou organizací (poskytovatelem).

3. Riziková skupina 3

   Provozovatel vlastního web serveru. Zařazení do této skupiny nezávisí na tom, zda organizace ještě navíc provozuje elektronický obchod nebo ne. Organizace s vlastním serverem a sítí jsou vždy zařazeny do skupiny 3. Půjde např. o vlastníky datových skladů, webhostingové firmy, velké výrobní firmy vlastnící webservery.

Kontrola zabezpečení

Pro každou rizikovou skupinu existuje dotazník, který je základem pro kontrolu bezpečnosti. Výsledkem kontroly je vyjádření pojišťovny, zda může zájemci poskytnout požadované pojištění a za jakých podmínek, eventuálně jaká opatření musí zájemce realizovat pro snížení rizika.

Zákazníkům z rizikové skupiny 1 je pojištění např. od České pojitovny poskytováno vždy na dobu jednoho roku. Během této doby musí auditor na objednávku navrhovatele provést testy bezpečnosti. Po uplynutí sjednaného období musí být prokazatelně odstraněny zjištěné bezpečnostní problémy, jinak dojde ke zrušení pojistky. Zodpovězení dotazů a eventuální vyjasnění situace na základě rozhovoru s poskytovatelem vede k rozhodnutí, zda je žadatele možné pojistit. Pro zákazníky ze skupiny 2 je postup stejný, pouze je vyžadováno hlubší testování IT systémů. Proto je nutné uzavřít mezi auditorem a žadatelem (a v ideálním případě i s poskytovatelem) oddělenou smlouvu o provedení testů. Žadatel, který provozuje vlastní zařízení pro komunikaci s Internetem, a patří tedy do skupiny 3, musí prokázat bezpečnost IT provedením auditu na základě smlouvy s auditorem. Pojištění může být uzavřeno až po realizaci všech bezpečnostních opatření.

Bezpečnostní prověrka systému auditorem

• Zákazníci z rizikové skupiny 1 a 2

  Pojišťovna zajišťuje kontrolu bezpečnosti prostřednictvím smlouvy s auditorem. Se zákazníky skupiny 1 je vypracován dotazník a po rozhovoru (telefonátu) s poskytovatelem internetového spojení je odhadnuta pojistitelnost.

  Se zákazníky skupiny 2 je provedena na začátku stejná procedura jako u skupiny 1. Po vyplnění dotazníku a rozhovoru s poskytovatelem je bezpečnostní situace dále posuzována. Jestliže jsou obdržené informace nedostačující nebo systém IT není z bezpečnostního hlediska na dostatečné úrovni, následuje postup jako u skupiny 3 (viz dále). Výsledky kontroly budou pojišťovně sděleny formou písemného vyjádření.

• Zákazníci z rizikové skupiny 3

  Mezi zákazníkem a auditorem je uzavřena smlouva o provedení bezpečnostní prověrky, jejíž součástí je i povolení předat informace o zákazníkovi i o bezpečnostních rizicích do pojišťovací společnosti. Podstatnou část výsledků prověrky tvoří následující tři dokumenty:

• předběžná zpráva s podrobnými výsledky bezpečnostní prověrky i s doporučeními, která z ní vyplynula,
• hlavní zpráva s podrobnými výsledky po realizaci opatření doporučených v předběžné zprávě,
• souhrn poznatků, které vyplynuly z prověrky, a jejich zpracování určené pro pojišťovací společnost.

Samotná prověrka se skládá ze dvou etap, a to obecného prověření celého operačního zázemí IT včetně bezpečnostní politiky, vnitřních procesů a technické bezpečnostní úrovně, a detailního prověření jednotlivých oblastí, které mají vztah k připravovanému pojištění.

Proces bezpečnostního prověření zahrnuje:

• přípravu výsledků a doporučení ve formě předběžné zprávy,
• diskuse výsledků se zákazníkem a eventuální dohodu o realizaci některých opatření, která by měla být realizována ještě před podáním žádosti k pojišťovací společnosti,
• diskusi o konečné struktuře a znění hlavní zprávy pro pojišťovací společnost,
• vyhotovení hlavní zprávy o bezpečnostní prověrce u zákazníka,
• vyhotovení závěrečné celkové zprávy o výsledcích bezpečnostní prověrky a výsledném stavu zabezpečení IT u zákazníka pro následné zaslání do pojišťovací společnosti. Jeden exemplář bude předán zákazníkovi a jeden pojišťovací společnosti.

Závěrem

Pojišťování rizik v oblasti IS/IT není jednoduchý proces a tento druh pojištění rozhodně nepatří mezi tzv. „masové produkty“, jako je např. pojištění auta, bytu atd. Je to proces, kdy pojišťovna na základě auditu pečlivě zvažuje riziko pojištění systému. Obecně lze souhlasit s názorem Ivana Špirakuse (připojil svůj názor k prvnímu článku na téma pojišťování IT/IS – zveřejněno 24. června 2004 zde na Lupě), že o tento druh pojištění zatím není valný zájem. Autor tohoto článku pracoval jako právní poradce přes tři roky pro významného zahraničního pojišťovacího makléře a v zásadě má stejné zkušenosti, tedy že o tento druh pojištění zatím není opravdu zájem.

Tento seriál bude mít i třetí díl, kde bych rád čtenáře seznámil s konkrétními pojišťovacími podmínkami a uvedl pojišťovny, které tento druh pojištění nabízejí. Pojištění IT/IS ale má zcela jistě budoucnost a pevně věřím, že se i v ČR prosadí. Je to otázka pouze času, kdy začne docházet k velkým škodám např. v důsledku výpadku a nefunkčnosti IT/IS a společnosti si uvědomí, že kombinace pojištění a jiných druhů ochrany je ideální spojení.

Pojištění IT/IS je komplikovaný druh pojištění, a pokud společnost o pojištění uvažuje, je dobré si najmout poradce (např. specializovaného právníka nebo pojišťovacího makléře), který má zkušenosti z oboru. V neposlední řadě je třeba si uvědomit, že pojištění není „obchod“ v tom slova smyslu, že peníze, které za pojištění vynaložíte, se vám musí za každou cenu vrátit. Pojištění funguje na zcela jiném principu – principu „odkupu“ rizika, kdy pojištěný subjekt může klidně v noci „spát“ a nebát se, „co když“…