Az internetre kapcsolódó digitális eszközök egyre több területen válnak a mindennapjaink részévé, megkönnyítve az életünket. Ezzel párhuzamosan azonban a kiberbűnözés is folyamatosan növekszik. Nap mint nap hallhatunk híreket cégek, állami intézmények vagy akár magánemberek ezrei ellen intézett online támadásokról, rendszerek feltöréséről, adatok ellopásáról.

Egy vállalkozás számára egy virtuális betörés akár végzetes is lehet, ha kritikus üzleti, vásárlói adatok kerülnek nyilvánosságra vagy semmisülnek meg. Az Egyesült Államokban létezik biztosítás ilyen esetekre, ám meglepő módon kevesen veszik csak igénybe. Központi statisztika híján a pontos szám nem ismert, de a PWC becslése szerint csak a cégek mintegy 30 százaléka kötött számítógépes felelősségbiztosítást. Érdekes módon itt is a „velem biztos nem történhet meg” pszichológiája működik, pedig a híreket figyelve nyilvánvaló, hogy az áldozattá válás esélye igencsak nagy.

Az amerikai cégek számára számos területen teljesen természetes – vagy egyenesen kötelező – a biztosítás megkötése: ilyen például az általános kereskedelmi felelősségbiztosítás, de van külön konstrukció a cégvezetők számára, továbbá a hibák és mulasztások kezelésére is. Ugyanakkor az egyes csomagok tartalma iparágaként eltérő lehet: például egy fizikai boltban kézzel fogható termékeket értékesítő cégnél nincsenek olyan online biztonsági kockázatok, mint egy e-kereskedőnél.

A hagyományos biztosításoknál a lehetséges kockázatok mellett a cég kártörténetét szokták figyelembe venni. Ez jóval egyszerűbb a régóta működő hagyományos boltoknál, mint az új és folyton változó online támadások esetén. Egyrészt azért, mert viszonylag új dologról van szó, másrészt pedig azért, mert a technológia és a kiberbűnözők módszerei is folyamatosan változnak. Még a legszofisztikáltabb cégek is nehezen tartják a lépést az újabb és újabb támadási formákkal: amint megtanultak elhárítani egy adott típust, máris egy másik módszer üti fel a fejét.

Szinte az egyetlen információ, amire a biztosítók támaszkodhatnak, az a kötelező bejelentés, amit az amerikai vállalatoknak akkor kell megtenniük, amikor illetéktelen behatolás történt a rendszereikbe. Csakhogy a cégek ilyenkor jellemzően nem térnek ki a káresemény minden részletére, hogy elkerüljék a negatív sajtóvisszhangot.

Mivel ez a módszer nem igazán megbízható, a biztosítótársaságok inkább a kár mértékére koncentrálnak: a cég saját veszteségeire, továbbá a harmadik féltől származó követelésekre. Figyelembe veszik az iparágat, a cég által nyújtott szolgáltatások típusát, az adatvédelmi kockázatokat és kitettséget (legfőképp, hogy milyen szenzitív adatokat, például ügyfélinformációkat tárol a vállalat), az alkalmazott biztonsági protokollokat és az éves bevételt.

Ugyanakkor az Egyesült Államokban még mindezek után is előfordulhat, hogy a biztosító visszautasít egy kárigényt. Például olyan esetben, ha a behatolás egy korábban sosem látott módszerrel történik, vagy a támadás az USA területén kívülről érkezik.

Ami a magyarországi helyzetet illeti, több biztosítóval is beszéltünk, de nem sikerült olyat találnunk, amely ilyen vagy ehhez hasonló biztosítást nyújtana, vagyis egy vállalkozás adatvagyonát védené az illetéktelen behatolástól. Amennyiben találunk ilyet, be fogunk róla számolni.