מי מפחד מביטוח סייבר?

המרחב הקיברנטי משאיר את בעל העסק עם יותר סיכונים, ופחות הגנה. לפער הזה נכנסות חברות הביטוח שמציעות פוליסות ייעודיות לכיסוי נזקים שיכולים להיגרם מעולם הסייבר 

bigstockphoto.com

המרחב הקיברנטי מהווה אניגמה להנהלת העסק בכל הקשור לניהול סיכונים. אם לפני עולם הסייבר מנהל הסיכונים בעסק התמודד עם סיכוניים תפעוליים לקיום השוטף של העסק, עולם הסייבר הכניס למשוואה סיכונים נוספים כמו פגיעה במוניטין, דלף מידע ואחרים שלכאורה אין אפשרות אמיתית להתמודד עמם.

גם הטענה שאם בעל העסק יתקין מערכות הגנה בסייבר הוא יחווה אותן, לא מחזיקה מים. מי שבוחן את הפרסומים אודות התקפות סייבר בתקשורת המקומית והעולמית רואה שאין הלימה בין התפתחות מוצרי ההגנה לתכיפות וחומרת ההתקפות. אם כבר, יש יחס הפוך.

מציאות זו משאירה את בעל העסק עם סיכון תפעולי גדול, חלקו אין סופי ובלתי ניתן לכימות [מוניטין, דלף מידע]. הפער הזה בין המציאות לרצון ביציבות מייצר צורך להקטנת הסיכון מהתקפות סייבר במשק העסקי. ולפער הזה נכנסות חברות ביטוח שמהותן היא לקנות את הסיכון מהלקוח. לפחות את חלקו.

מנוע צמיחה חדש

"לפני שנתיים וחצי נכנסנו לביטוח סייבר מתוך חשיבה כי מדובר במנוע צמיחה חדש", מסביר אלעד שלף, משנה למנכ"ל מנורה מבטחים ביטוח ומנהל אגף עסקים בחברה. "המטרה של חברת ביטוח היא לקנות סיכון מהמבוטח, והסייבר הופך להיות סיכון מרכזי של כמעט כל לקוח. וזה סיכון שלא מקבל ביטוח בפוליסות המסורתיות.

"הפתרון שהגענו אליו מכוון לעולם העסקים הבינוניים והקטנים. עסקים גדולים כמו קופות חולים או בנקים הם לקוחות של שוק הביטוח העולמי. ביוני 2014 הוצאנו מוצר ביטוח סייבר ועד היום מכרנו למעלה מ-1000 פוליסות. זה הופך אותנו, למיטב ידיעתנו, למבטח הישראלי הכי גדול בארץ בתחום זה. בסביבות רבעון שלישי 2015 הרחבנו את היריעה לעסקים יותר גדולים. כולל ביטוח אחריות מקצועית למקצועות חופשיים עם מרכיב ביטוח סייבר.

"עולם הביטוח מחולק לצד א' [הלקוח], צד ב' [חברת הביטוח] וצד ג' [כל אחד אחר בעולם]. כל פוליסה מבוססת על ביטוח צד א' [כמו רכוש] או ביטוח צד ג'. ביטוח סייבר הוא ייחודי שכן הוא מכסה גם סיכוני צד א' וגם סיכוני צד ג'. כולל, בין היתר, אובדן רווחים, תשלומי כופר, ונזקים לצדדים שלישיים כתוצאה מתקיפת סייבר".

מה תפקיד חברת הביטוח בעת אירוע?  

"בשונה מפוליסות אחרות שבהן חברת הביטוח בעיקר רושמת צ'ק אם יש נזק, בביטוח סייבר יש לחברת הביטוח תפקיד פעיל והיא בעצם מנהלת את האירוע כולו", מסביר שלף. "בעסקים גדולים כמו בנקים למשל, יש רגולצייה ולכן חברת הביטוח חייבת לפעול תחת רגולוצייה. במקרה של לקוח גדול, חברת הביטוח יחד עם הלקוח מגדירות בפוליסה באילו מקרים ה-IRT מנהל את האירוע ומתי הלקוח בעצמו מנהל אותו.

"צריך לזכור כי בכל מקרה, הלקוח חייב להודיע לחברת הביטוח בעת קרות אירוע סייבר. הלקוח לא יכול לבקש תשלום בדיעבד אם חברת הביטוח לא נכנסה בסוד האירוע מהרגע הראשון. אם הארגון סובל ממתקפת כופר, הלקוח לא יוכל להביא קבלה בסופו ולדרוש החזר כופר אם הוא לא הפעיל את הביטוח בתחילת האירוע.

"לקוחות בינוניים או קטנים גם הם חייבים להפעיל את ה-IRT של חברת הביטוח. עבורם, ה-IRT הוא יתרון עצום בגלל שהוא מרכז את כל בעלי המקצוע הנדרשים לטיפול באירוע סייבר. אם לדוגמא לקוח קיבל דרישת כופר שאיימה כי אם לא ישלם, ההאקר יעביר את רשימת הלקוחות למתחרה. חברת הביטוח צריכה לבדוק מול ההאקר שיש לו באמת את רשימת הלקוחות של הלקוח. שהאיום אמין. את זה עושים האנשים ב-IRT שיודעים איך לתקשר עם ההאקר. כחברת ביטוח אנחנו חייבים לוודא שהאיום אמין".

ביטוח לא מעודד שימוש בכופר?

"יש המון שנים ביטוחי k&r שמכסים חטיפות ומקרי כופר אנושי. לדוגמא, במדינות אפריקה או דרום אמריקה", אומר שלף. "זה אותו עקרון בסייבר. בסוף, ההאקרים בסייבר מבקשים סכומי כסף קטנים כי אחרת לא ישלמו להם. אני לא מאמין שהביטוח גורם לפשע".

מה עלויות ביטוח סייבר לעסק בינוני?

"מוצר הביטוח הבסיסי לעסק בינוני או קטן מתחיל בכמה מאות ש"ח לשנה", אומר שלף. "ההשתתפות העצמית נעה בין 2500 - 4000 ש"ח לאירוע. ההשתתפות העצמית באה לפתור בעיה של מקרים קטנים שמייקרים את הפרמיה עבור הלקוח. ככל שאתה רוצה ביטוח יותר יקר ורחב, הפרמיה וההשתתפות העצמית עולה. אחד המכשולים העיקריים במכירה הוא לא המחיר, אלא שהלקוח לא חושב שהוא יותקף.

"מבחינת תכיפות תשלום הביטוח, כל עסק מחליט מה הסיכון שהוא רוצה לבטח. אם עסק מפחד מ-4-5 אירועים בינוניים בשנה, נמכור לו מוצר מסוים. אם הוא מפחד מאירוע גדול אחד בשנה זה יהיה מוצר אחר. אנחנו יכולים לתת מענה ביטוח לכל תרחיש, זה הלקוח שצריך להחליט מה הסיכונים שהוא רוצה לנהל."

ניטור אקטיבי או הצהרת לקוח?

"בביטוח סייבר בסיסי, לא עושים ניטור אקטיבי", מסביר שלף. "לקוח בינוני או קטן לא יוכל לעמוד בזה תמחירית ותפעולית. במקום זאת עושים הערכת סיכונים פעם בשנה ולאחריה חיתום של הפוליסה. בלקוחות עם סיכון גבוה דורשים לעיתים ניטור אקטיבי.

"כאשר לקוח מצהיר שהוא מיישם תהליך מסויים, אז תשלום ההחזר מותנה בזה, כי החיתום התבסס על ההצהרה הזו. למשל, אם לקוח מצהיר שהוא מחליף סיסמאות אחת לחודש, ובמהלך השנה ההנהלה החליטה לשנות את התהליך ולהחליף סיסמאות אחת לחצי שנה, יכולה להיווצר בעיה בגובה התשלום. במקרה כזה, חברת הביטוח תבדוק האם ההחלטה הניהולית לפעול אחרת מההצהרה פגעה ביכולת הארגון להתגונן בפני ההתקפה שפגעה בו.

"יחד עם זאת, צריך לזכור כי חברת הביטוח מחוייבת לשלם בכל מקרה. גם אם מדובר ברשלנות של הלקוח. ולכן, אם למשל, עובד טכני של החברה שינה חוקים בפיירוול ללא ידיעת המנהלים וזה מנע מהארגון לחסום התקפה, חברת הביטוח עדיין תשלם את מלוא הפוליסה כי מדובר ברשלנות ולא בהחלטה ניהולית.

"יש גם הבדל בין רשלנות רגילה לרשלנות רבתי. אם מקבלי ההחלטות החליטו לנטרל את הפיירוול מתוך צורך לגיטימי, הם לרוב גם יעדכנו את חברת הביטוח כדי להישאר בצד הבטוח. שוב, צריך לזכור כי בביטוח סייבר חברת הביטוח היא גורם פעיל ושיתוף הפעולה עם הלקוח הוא הכרחי".

למה אין הרבה ביטוחי סייבר בישראל?

"במשפט אחד - רמת מודעות נמוכה של הלקוחות לגובה הסיכון", אומר שלף. "בנוסף, אנחנו מוכרים ביטוח דרך סוכני ביטוח וגם הם עוד מתרגלים למוצר החדש. למרות הקשיים, ביטוח סייבר יהפוך להיות שגור כמו ביטוח צד ג', חבות מעבידים וביטוח מפני שריפות.

"כל עוד אנחנו מדברים על אירועים שאני יודע למדל אותם בהסתברות ולשים עליהם תג מחיר לנזק, יהיה ביטוח סייבר. בארה"ב אפילו מדברים על זה שהמדינה צריכה ביטוח קולקטיבי בסייבר כמו הפול. בארה"ב יש כזה למקרי טרור.

"הסיכון המרכזי הוא סיכון האגרגציה. תחשוב על מקרה שבו ענן שירותים ענק שמאכלס מאות או אלפי חברות נפגע ממתקפת סייבר. זה אירוע אחד שמייצר אלפי תביעות ביטוח ויכול לערער את החוסן הכלכלי של המשק. כמו רעידת אדמה. קוראים לזה סיכון עם זנב התפלגות ארוך ושמן. בינתיים, ישראל נחשבת לסיכון סייבר בינוני ומטה, ולכן לא חושבים על זה. רמות המיגון יחסית טובות. מבחינת חברות ביטוח בעולם, כל מה שלא בארה"ב נחשב לסיכון בינוני-נמוך בסייבר.

"ועדיין, אפילו בארה"ב עדיין לא עשו ביטוח כזה ולא הפכו את ביטוח הסייבר לחובה עבור עסקים. אם וכאשר יחליטו זאת, יהיה מדובר בהחלטה מאד חריגה. בארץ, מטה הסייבר כרגולטור צריך להסתכל על יציבות המשק בהקשר הסייבר ולהחליט איך מתמודדים עם מגה אירוע בסייבר בארץ או בעולם. החברות שמכוסות בביטוח יש להן כיסוי. אבל בארץ מדובר באחוז קטן מאד מהמשק הישראלי. אחת הדרכים היא לדרוש מכל חברה שמספקת למדינה שירותים לעשות ביטוח סייבר [מסמך אישור קיום ביטוחים] ואולי באבולציה של הדברים המדינה תחליט לדרוש זאת".

האם נראה בעתיד ביטוח סייבר ללקוחות פרטיים?

"כרגע אין חברת ביטוח בישראל שפונה לשוק הפרטי עם ביטוחי סייבר", אומר שלף. "בעתיד אני מאמין שנראה פוליסות כאלו גם ללקוחות פרטיים. במגזר הפרטי יהיה מדובר בפוליסות זולות ללא הליך חיתום עם הערכת סיכון, כאשר הסיכון יתבזר על כמות גדולה של לקוחות".

ואם המחשב שלי תקף מישהו אחר?

אחת הבעיות בעולם הסייבר היא שמעבר לנזק שיכול להיגרם לעסק, ההאקר יכול להשתמש במערכות המחשוב של העסק כדי לגרום נזק לאנשים אחרים. במקרה כזה, העסק הופך להיות התוקף שגורם נזקים לעסקים אחרים בארץ או בעולם. במרבית המקרים בעל העסק בכל לא ידע שהשתמשו בו כחוליה בשרשרת התקיפה עד שתגיע התביעה מאלו שנפגעו ממנו.

"התרחישים שיכולים לקרות במתקפת סייבר מאד מגוונים. אם פרצו לי למערכות המחשוב, יכולים לגנוב מידע של לקוחות, לשנות או למחוק את המידע ולהצפין אותו. בתרחיש אחר זה יכול להיות עובד שלי שעשה את הנזק", מסביר אלעד עציוני מנהל מחלקת היי-טק בהאודן.

"בתרחיש אחר, יכולים להשתמש בי כדי לתקוף לקוח שלי. בין שמדובר בכך שאחד המחשבים בעסק הפך לבוטנט ותקף לקוח שלי, או שדואר אלקטרוני של אחד מאנשי המכירות הכיל תוכנת כופר שהצפינה את המחשבים של הלקוח שלי.

"במקרים אחרים יכולים לשכנע את המזכירה שלי באמצעות הנדסה חברתית [פישינג למשל] להעביר כסף לחשבון אחר [בארץ ארע לאחרונה מקרה כזה שבו מנהל ישראלי העביר 100,000 אלף דולרים לחשבון של האקר בחו"ל]. אפשר גם לפרוץ למערכת ניהול המכולות של נמל כלשהו בעולם ולשלוח מכולה שמיועדת ללקוח שלי ליעד אחר.

"נזקים נוספים יכולים להיגרם בשל התקפת סייבר שפוגעת בתפעול העסק. אם אתר של בנק לא עובד יום אחד, מדובר בסכומי כסף גדולים מאד. הן בשל הנזק הישיר [אי ביצוע עסקאות] והן בשל פגיעה במוניטין שבגינה לקוחות עוברים לבנק מתחרה או למערכת מסחר אחרת.

"נזק תפעולי נגרם גם בשל הצורך להודיע ללקוחות על התקפת הסייבר וגם כדי להנפיק להם כרטיסי אשראי חדשים אם נגנב מאגר מידע מסוג זה. בארה"ב כבר יש חובת דיווח, באירופה וישראל עדיין אין רגולציה, אבל זה יגיע בקרוב. נזק תפעולי יכול גם להתממש בכל פגיעה בשרשרת האספקה של העסק. אם שיתקו מפעל בסין שמייצר חלק מסויים במוצר שלי, וקו ההרכבה יושב בארץ, העסק שלי משותק".

הגנה חלקית, סיכון ודאי

אין ספק כי המרחב הקיברנטי משנה את עולם הביטוח בכך שהוא חושף את העסק לסיכונים חדשים שלא היו מוכרים עד כה. יתרה מכך, העדר היכולת להגן באופן הרמטי על העסק מפני התקפות סייבר ישירות, וכן מפני פגיעה במוניטין או דלף מידע, מציב את בעל העסק בפני סיכונים שיכולים לערער את החסינות הפיננסית של העסק. 

לכתבה זו תרמו מהידע שלהם גם רם לוי, מנכ"ל חברת קונפידס ו-Malcolm Randles. Co-Founder & Managing Director בחברת LCS.