»To se nam ne more zgoditi«: najdražja iluzija slovenskih podjetij

Naprave zamrznejo, proizvodna linija se ustavi, ekrani se zatemnijo. Na zaslonu utripa le kratko sporočilo: »Vaši podatki so zaklenjeni.« Nekaj sekund tišine, potem panika. Škoda ni nastala le v strežnikih, ampak v poslu. Kako pripravljeno je vaše podjetje na trenutek, ko ena napaka, en klik ali ena napačna odločitev lahko sproži verižno reakcijo digitalnih, strokovnih ali celo vodstvenih tveganj?

To ni prizor iz filma, ampak resničnost številnih, tudi slovenskih podjetij, ki se s kibernetskim napadom srečajo popolnoma nepripravljena. Povprečen izpad poslovanja danes traja že 22 dni, posledice pa se merijo v milijonih. Ne gre le za izgubo posla, ampak tudi za izgubljeno zaupanje, izpad proizvodnje in dolge mesece okrevanja.

Kot je povedala Jelena Ribić, vodja pravnih zadev za ključne stranke, v GrECo International, slovenski pisarni mednarodne zavarovalnoposredniške skupine GrECo, se podjetja pogosto tolažijo, da so »premajhna, da bi bila zanimiva za napadalce.« V resnici pa so prav takšna podjetja pogosto najlažja tarča, ker nimajo ne ustreznih varnostnih praks ne zavarovalne varovalke, ki bi jim pomagala preživeti najtežje trenutke.

Da bi razumeli, zakaj so kibernetska tveganja danes prepoznana kot največja grožnja poslovanju, zakaj poklicne napake lahko povzročijo večjo škodo kot okvara stroja in zakaj bi morali biti vodilni v podjetjih posebej pozorni na svojo osebno odgovornost, smo se pogovarjali z dvema strokovnjakoma iz GrECo International. Jelena Ribić, vodja pravnih zadev za ključne stranke, in Boštjan Mehle, vodja oddelka odgovornosti zavarovanj ter predsednik Združenja zavarovalnih posrednikov Slovenije, vsakodnevno spremljata najtežje primere, pomagata podjetjem razumeti njihovo izpostavljenost in oblikujeta varovalke, ki odločajo o tem, ali podjetje preživi krizo ali se vanjo dokončno pogrezne.

Kibernetsko zavarovanje: prva linija obrambe poslovnega premoženja

V zadnjih letih so kibernetski napadi po vsem svetu vse pogostejši. Kibernetska tveganja so že tretje leto zapored prepoznana kot največja grožnja za podjetja. Kako bi ocenili trenutno stanje na področju kibernetske varnosti v Sloveniji? Ali opažate povečano zanimanje za zavarovanja, ki podjetjem pomagajo zaščititi njihova digitalna sredstva?

Jelena Ribić: Kibernetsko zavarovanje in kibernetska varnost sta dva različna pojma, ki ju moramo ločiti. Kibernetska varnost se ukvarja z zaščito računalniških sistemov, omrežij, naprav in podatkov pred digitalnimi napadi, nepooblaščenim dostopom, krajo podatkov, motnjami v delovanju in drugimi oblikami kibernetskih groženj. Opažamo, da so v zadnjem času med najpomembnejši izzivi kibernetske varnosti nezadostni finančni viri za projekte v zvezi s kibernetsko varnostjo, pomanjkanje izkušenega kadra in novi vektorji napadov. Zavedanje o tveganjih je sicer večje, ker se o vsem skupaj več govori, vendar podjetja iščejo rešitve najprej preko zavarovalnega kritja in ne z lastno pripravljenostjo za preprečevanje kibernetskega napada. Čeprav se podjetja zavedajo nevarnosti kibernetskih napadov, jih veliko meni, da se njim tak napad ne more zgoditi. Po navadi nam odgovorijo: »Mi smo premajhni in s tem posledično tudi nezanimivi za takšne napade.« Stranke so pogosto tehnično nepripravljene in zato tudi nezavarovane. Zavarovalnice namreč v kritje ne želijo sprejeti podjetja, ki ni pripravljeno za morebitne napade. Nasprotno v tujini najprej izvedejo vse tehnične rešitve in potem iščejo zavarovanje kot dodatno varovalko.

Pred nekaj leti je po napadu z izsiljevalskim virusom povprečen izpad poslovanja trajal približno tri dni, danes pa kar 22 dni. Kako v GrECo podjetjem pomagate načrtovati zaščito, ki zmanjša finančno tveganje po napadu?

Boštjan Mehle: Našim zavarovancem vedno svetujemo tako, da najprej napravimo pregled oz. analizo ranljivosti njihovega sistema. Pri tem se s stranko pogovorimo o možnih oblikah prenosa tveganja. Skupaj določimo višino kritja, ki mora biti ustrezna za potencialno škodo, pri čemer se upošteva tudi trajanje prekinitve obratovanja zaradi napada. Svetujemo jim tudi, naj pogosto organizirajo interna izobraževanja v zvezi z najpogostejšimi oblikami napadov, ker je za veliko večino napadov razlog človeška napaka zaposlenega v podjetju. Hkrati svetujemo, da podjetja obnovijo svoje interne postopke glede posodabljanja varnostnih sistemov, nadgradnje informacijskih in operacijskih sistemov, in ustrezno zavarujejo tveganja.

Proizvodna podjetja so med najbolj ranljivimi, saj imajo pogosto šibkejšo zaščito kot finančne ustanove. Kako jim lahko ustrezno zavarovanje pomaga zmanjšati tveganje napadov na njihova digitalna sredstva? Kako ocenjujete pripravljenost slovenskih proizvodnih podjetij?

Boštjan Mehle: Z zavarovanjem se tveganje napadov ne zmanjša, ampak samo privede do tega, da ima stranka v primeru napada varovalko, ki bo podjetju napad pomagala preživeti v finančnem smislu. V veliki večini je pripravljenost slovenskih proizvodnih podjetij slaba, ker veliko proizvodnih strojev in linij vodijo z neaktualnimi, zastaranimi programi ali jih upravljajo s starimi operacijskimi sistemi. Najbolj so prizadeta podjetja, ki si ne morejo privoščiti popolne zamenjave operacijskega sistema ali naprav.

V praksi se nekatera podjetja po napadu odločijo plačati odkupnino, čeprav zavarovanja tega praviloma ne krijejo. Kako podjetjem svetujete pri takšnih odločitvah in kakšno vlogo ima zavarovanje v teh primerih?

Jelena Ribić: Najprej svetujemo, naj sklenejo kritje, ki vsebuje kritje asistenčnih storitev, ker le z njimi lahko dosežejo, da bo po plačilu odkupnine napadalec resnično prepustil sistem uporabniku, sicer je lahko uporabnik čez nekaj mesecev spet napaden. Z našega vidika je najpomembnejši del reševanje in vračilo sistema v prvotno stanje uporabniku.

Zakon o informacijski varnosti ZInfV-2 že velja, podjetja se morajo samoregistrirati in izpolnjevati strožje varnostne zahteve. Kako v GrECo svetujete podjetjem, ki še ne dosegajo osnovnih standardov, da se pripravijo na uspešno sklenitev kibernetskega zavarovanja?

Jelena Ribić: Podjetjem svetujemo, da kot njihovi posredniki pripravimo analizo in pregled njihove izpostavljenosti in varnosti. Na podlagi tega jih usmerimo k bistvenim tehničnim rešitvam, ki jih morajo najprej izvesti znotraj podjetja, ter tudi določimo pravne vidike, ki jih morajo rešiti oziroma izpolniti. Ko je vse to urejeno, pristopimo k iskanju ustrezne ponudbe za zavarovanje.

Kako vidite razvoj trga kibernetskih zavarovanj v prihodnjih letih? Bodo ta zavarovanja postala enako samoumevna kot zavarovanje premoženja ali odgovornosti?

Jelena Ribić: Trg kibernetskih zavarovanj se z enako dinamiko, kot se razvijajo oblike napadov, razvija že zadnjih 20 let. Pričakovati je, da bo to postala ena izmed glavnih zavarovalnih vrst, ki jih bodo podjetja sklepala.

Zavarovanje poklicnih odgovornosti: ko en napačen nasvet povzroči visok odškodninski zahtevek

Zakaj so zavarovanja poklicne odgovornosti danes za podjetja in posameznike pomembnejša kot kdaj prej?

Boštjan Mehle: Vsako podjetje ali posameznik, ki svetuje, nosi odgovornost za napačen nasvet ali napako. Zavarovanje poklicne odgovornosti krije škodo, ki nastane zaradi napak ali opustitev pri opravljanju strokovnega dela, česar splošno zavarovanje odgovornosti ne pokriva. Sem spadajo malomarnost, napačen nasvet, kršitev poklicnih dolžnosti, nenamerna kršitev zaupnosti in dejanja zaposlenih, kot so obrekovanje ali goljufiva ravnanja. Napake se lahko kažejo v zelo visokih odškodninskih zahtevkih. Če podjetje oziroma posameznik nima tega ustrezno zavarovanega, bo škodo moral nadomestiti iz lastnih sredstev. Polica poklicne odgovornosti pa ne krije škod, ki so povezane s telesnimi poškodbami ali boleznijo, pogodbeno prevzetimi obveznostmi, vračilom provizij ali honorarjev, škodo na premoženju in ekološko škodo.

Katere so najpogostejše napake, ki jih podjetja naredijo pri sklepanju zavarovanja poklicne odgovornosti, in kakšne so lahko posledice, če polica ne zajema ključnih tveganj njihove dejavnosti?

Jelena Ribić: Najpogostejša napaka, ki jo opažamo, je, da se podjetja zadovoljijo zgolj z zakonsko predpisanimi minimalnimi zavarovalnimi vsotami. Te pa niso absolutni zneski, do katerih dejansko odgovarjajo, zato so v številnih primerih prenizke in ne zagotavljajo ustrezne zaščite. Minimalni limiti so pri nekaterih poklicih resnično nizki – na primer 50.000 EUR za inženirje, 150.000 EUR za zdravnike in nepremičninske posrednike ter 250.000 EUR za odvetnike –, kar pogosto ne zadošča za pokritje dejanskih tveganj in morebitnih odškodninskih zahtevkov. Pomembno je, da podjetja redno posodabljajo svoje police poklicne odgovornosti glede na rast, spremembe poslovanja ali nove storitve, ki jih ponujajo, saj vsi ti dejavniki zelo vplivajo na kritje. Če zavarovanci ne javijo aktualnega stanja, se lahko kritje zavrne. Vse izpostavljene osebe se morajo vedno prijavljati v kritje in potem v skladu s tem oblikujemo ustrezno zavarovalno vsoto.

Zavarovanje poklicnih odgovornosti pa ne krije namernih protipravnih dejanj ali kaznivih ravnanj. Najpogosteje se zaplete, če je iz same prijave škode razviden naklep pri nastanku škode. Takrat zavarovalnica v osnovi zavrne odškodninski zahtevek. V praksi zavarovalnica ne presoja, ali gre za malomarnost ali namero, saj se ob namerni napaki zadeva prepusti sodišču, ki potem odloča naprej.

Zakaj vsaka gospodarska družba potrebuje zavarovalnega posrednika?

Jelena Ribić: Vsak, ki želi imeti ustrezno in kakovostno zavarovanje, potrebuje strokovnjaka na tem področju, ki ima pregled nad celotno industrijo, izkušnje in razume tveganje svojih strank. Posrednik ne stremi izključno k produktom, ki so trenutno dostopni na trgu, ampak tudi oblikuje primerna kritja. Poleg tega so to strokovnjaki, ki so popolnoma neodvisni od zavarovalnic in vedno delajo v interesu svoje stranke ter jo podpirajo celotno obdobje, ne samo pri nakupu zavarovanja, ampak tudi pri reševanju škodnih primerov.

Kaj podjetju ali nekemu strokovnjaku prinaša zavarovanje poklicne odgovornosti? Kako konkretno jih lahko zaščiti v primeru napake?

Boštjan Mehle: Zavarovanje poklicne odgovornosti priporočamo vsakemu, ki strokovno svetuje, saj lahko za napačen nasvet odgovarja. Zavarovanje poklicne odgovornosti v prvi vrsti strokovnjaku prinaša možnost, da lahko opravlja svoj poklic, saj pri nekaterih poklicih brez zavarovanja ne moreš dobiti licence oziroma opravljati svojega dela. Za vse druge pa pomeni dodatno finančno varovalko in svobodo, da brez strahu opravlja svoj poklic. V primeru napake polica za zavarovanje poklicne odgovornosti zaščiti finančni interes zavarovanih oseb.

Zavarovanje odgovornosti članov organov vodenja: varnostni pas za upravo, nadzornike in vodje

Kako se zavarovanje D&O razlikuje od klasičnega zavarovanja odgovornosti in komu je namenjeno?

Boštjan Mehle: Zavarovanje D&O krije odgovornost vodilnega kadra, ščiti vodilne osebe podjetja in nadzorne organe. S tem te osebe lahko svobodno opravljajo svoje delo brez bojazni, da bi lahko katera odločitev privedla do škode, ki bi morala biti izplačana iz njihovega premoženja. Zavarovanje D&O je zelo široko in zajema vse kadre v podjetju, ki imajo nadzorno vlogo, kot so vodje oddelkov in vodje izmene.

Marsikateri zaposleni se ne zaveda možnosti, ki jih tovrstno zavarovanje prinaša. Kako jih prepričate, da je zavarovanje D&O pravzaprav del širše strategije varnega in odgovornega poslovanja?

Jelena Ribić: Strankam najprej pojasnimo, da s tovrstnim zavarovanjem niso kriti samo direktorji in člani nadzornih svetov, ampak tudi vodilni zaposleni na nižjih ravneh. Hkrati jim razložimo, da s takim zavarovanjem te osebe ščitijo lastno premoženje in ne premoženje podjetja, saj podjetje v osnovi ni zavarovanec. Pri tem vedno poudarimo, da s takim zavarovanjem podjetja omogočajo svojim vodilnim zaposlenim, da svobodno opravljajo svoje delovne naloge in vodijo, ne da bi bili v strahu, da njihove odločitve privedejo do odškodninskih zahtevkov na njihovem lastnem premoženju.

Kaj bi svetovali podjetjem v Sloveniji?

Jelena Ribić: Podjetjem v Sloveniji bi svetovali, da preverijo, ali je zavarovanje, ki je že sklenjeno, skladno z lokalno zakonodajo na tem področju (Zakon o gospodarskih družbah – ZGD-1), ker v praksi pogosto ugotavljamo, da police niso ustrezno sklenjene, ne vsebujejo zakonskih franšiz, nimajo ustrezne zavarovalne vsote glede na število zaposlenih, ki so kriti z njo.

Ker odškodninski zahtevki iz zavarovalnih polic D&O lahko trajajo več let in v vseh delih postopka zavarovane osebe potrebujejo pravno zaščito oziroma pravno zastopanje, lahko stroški vseh zavarovanih oseb po tej polici hitro dosežejo celotni limit kritja, še preden je zaključen postopek in znana končna odškodnina. Zato svetujemo ustrezno oblikovano zavarovalno vsoto, ki vedno temelji na poznavanju mednarodnega trga in zgodovine škodnih dogajanj.

Pri D&O gre pogosto za primere napak, opustitev. Katere zahtevke v praksi najpogosteje opažate v Sloveniji?

Boštjan Mehle: V Sloveniji najpogosteje opažamo zahtevke novih članov uprav proti nekdanjim članom uprav. Pogosto nova uprava naroči forenzični pregled poslovanja in na podlagi ugotovitev potem, če gre za resne kršitve ali oškodovanja družbe, začnejo postopek proti nekdanjim članom uprave in posledično zahtevajo odškodnino iz zavarovalne police.

Ali lahko izpostavite primer, kjer je D&O v praksi rešil osebo ali podjetje pred večjo škodo?

Boštjan Mehle: Kot posredniki smo imeli primer, da je stranka uveljavljala zahtevek iz zavarovanja D&O proti nekdanjemu direktorju zaradi napak pri vodenju družbe. Znesek odškodnine je v končni fazi dosegel 500.000 EUR, kar je za marsikatero osebo vrednost celotnega premoženja. S tem zavarovanjem je bilo premoženje osebe ustrezno varovano.

V prihodnosti pričakujemo večje zanimanje za zavarovanje D&O na splošno, saj so ljudje, ki se zavarujejo s tem zavarovanjem, vsak dan bolj ozaveščeni. Glavni izzivi, ki se bodo pojavili, so pravilno in ustrezno oblikovanje dovolj visoke zavarovalne vsote, saj je treba strankam pojasniti, da se v primeru odškodninskega zahtevka pogosto zgodi, da je ta v kratkem času popolnoma izčrpana, pa še nismo prišli do začetka sodnega postopka.

---

Naročnik oglasne vsebine je GrECo International