מהו ביטוח סייבר ומי צריך אותו בכלל?
הסכנות שמציב המרחב הקיברנטי לחברות, מחייב אותן לבטח את עצמן בפני מתקפות מטעמי טרור או פשע. רם לוי מנסה לברר האם זה נחוץ
רם לוי
| 12/02/2015
בחודשים נובמבר ודצמבר 2013 הותקפה חברת Target האמריקאית. במשך מספר שבועות הצליחו האקרים רוסיים לגנוב מידע, מספרים וקודים סודיים של כרטיסי אשראי וקודים של עשרות מיליוני לקוחות באמצעות התקפה על נקודות המכירה (point of sales) של סניפי הרשת האמריקאית. מאמצי החקירה נמשכו מספר חודשים במקביל לתביעות משפטיות שהחלו להגיע לחברה בסכומים של עשרות מיליוני דולרים. ביולי האחרון הודיעה הרשת שההפסדים לבעלי המניות כתוצאה מאירוע עומדים על 148 מיליון דולר. "למזלה" החלקי של Target היה לה ביטוח סייבר בגובה עשרות מיליוני דולר.
כל ארגון חשוף לסיכונים, בין אם מדובר בסיכוני מזג אוויר, סיכונים כלכלים, או בסיכונים פיזיים. להתממשות הסיכונים הללו עשויות להיות השלכות על הארגון ובין היתר גם השלכות כלכליות, לעיתים כבדות מאוד. עם התפתחות הסייבר, והתלות של ארגונים בתפקודו התקין, התפתחו סוגים חדשים של סיכונים למערכות המידע ולתשתיות מבוקרות המחשב שחייבו ארגונים להיערך אחרת ולהתייחס לסיכונים סייבר כחלק חשוב ועקרוני מתהליך ניהול הסיכונים. היות והסיכונים הם רבים ומגוונים וקצב ההתפתחות וגילוי החולשות הוא מהיר מאוד, תהליך ניהול הסיכונים הוא מורכב והערכת סיכונים אלה נעשית באופן תדיר ומחזורי במגוון רחב של שיטות. מה קורה כאשר ארגון מזהה את הסיכונים ואין לו את המשאבים הדרושים כדי להקטין רמת הסיכון או במקרה שהתממשות הסיכון תגבה מחיר כלכלי כבד שהארגון מעריך שלא יוכל לעמוד בו? כאן נכנס לתמונה מוצר ביטוחי שהתפתח בשנים האחרונות – ביטוח סייבר.
ביטוח הוא דרך שבאמצעותה מקטינות חברות את הסיכון הכלכלי של התממשות סיכון באמצעות העברת הסיכון לגורם חיצוני. כאשר הדברים משתבשים זה יכול להיות יקר ולכן הביטוח "לוקח" את הסיכון הפיננסי עבור הארגון. פוליסת ביטוח תכסה את העסק במגוון רחב של עלויות שהארגון יצטרך לעמוד בהם כתוצאה מהתממשות סיכון ותספק למבוטח ביטחון (מסוים) במקרה שיתממש. הדבר נכון גם לגבי אירועי סייבר, כאן לביטוח יכול להיות ערך מוסף משמעותי. ביטוח הסייבר נוצר כדי לשפות עסקים עבור המחויבות שלהם לאבטח מידע פרטי או חסוי של צד שלישי בעיקר סביב שני סוגי אירועים: שיבושים עסקיים כתוצאה מתקיפת מערכות מחשב או אירועים הקשורים לאבטחת מידע ופרטיות. ביטוח סייבר שונה מביטוח של שגיאות ומחדלים טכנולוגיים (Technology Errors & Omission) שמיועד בעיקר עבור חברות המפתחות מוצרי תוכנה וספקי שירותים.
פוליסות ביטוח סייבר מכוונות להפסדים של צד שלישי או צד ראשון (החברה הנתקפת) שנגרמו מאירוע שבדרך כלל יוגדר כ"חדירה בלתי מורשית למערכות המידע של המבוטח". ביטוח להפסדי צד שלישי (third party losses) הוא ביטוח על הפסד לצד אחר שהוא לא המבוטח, ושהמבוטח חב על פי חוק - בדומה לביטוח צד ג' בעולם הרכב. ביטוח זה נקרא גם פוליסת אחריות (liability policy). ביטוח להפסדי צד ראשון (first party losses) הוא ביטוח שבו אירוע למבוטח גורם לו להפסד וחברת הביטוח תפצה אותו על ההפסד הכספי. ביטוח זה נקרא גם פוליסת שיפוי (indemnity policy).
חשוב לחדד, ביטוחי Tech E&O הם ביטוחי צד ג'. ביטוחי הסייבר היו גם הם עד לאחרונה ביטוחי צד ג'. עם ההבנה שכאשר חברה נתקפת יש לה נזקים ישירים מההתקפה הופכים הביטוחים לאט לביטוחי צד ראשון וזה השינוי המשמעותי בתחום כרגע. ביטוח סייבר טוב צריך לכסות גם צד ג' (אובדן כרטיסי אשראי, חשיפת קניין רוחני של צד ג' וכו') וגם על הפסדים ישירים כתוצאה מההתקפה (צוותי תגובה וחקירה, הוצאות משפטיות וכדומה).
ביטוח סייבר איננו מוצר חדש. חברות כגון בטרלי (Betterley) החלו למכור פוליסת ביטוח סייבר כבר בשנת 2000 מה שחדש הוא שביטוח סייבר הפך להיות מרכיב מרכזי בתיקי ביטוח מסחריים, בעיקר בארצות הברית.
כיום מוצעים ביטוחי סייבר הכוללים כיסוי במקרה של מתקפת סייבר (לדוגמא מתקפת מניעת שירות), שירות כיסוי עלויות ניהול משברים ועלות התאוששות מהתקפה (זיהוי פלילי, יחסי ציבור, פרסום ובנייה מחדש של המוניטין של החברה) אובדן או השחתה של נתונים (שלמות מידע), כיסוי נגד חדירה למערכות מידע שיכסה את ההוצאות ואחריות משפטית הנובעת מחשיפת נתונים ממאגרי מידע, וגם כיסוי משפטי המכסה את העלויות המשפטיות ופיצויים ללקוחות כתוצאה ממתקפת סייבר או חשיפה של מידע.
מדוע חוששים להיכנס לתחום?
שוק הביטוח הוא שוק בצמיחה. כיום יש למעלה מ-50 חברות בארה"ב שמבטחות נגד סייבר. השוק צפוי להגיע למעל 2 מיליארד דולר בהיקפי פרמיות הביטוח בשנת 2014. מדוע חברות ביטוח חוששות להיכנס לתחום? יש לכך סיבות רבות. עבור חברות הביטוח ומבטחי המשנה (החברות שמבטחות את חברות הביטוח) מדובר בסיכון חדש יחסית. על מנת שיותר חברות ביטוח ירצו להיכנס לתחום ושתיאבון הסיכון שלהן יגדל - החתמים צריכים להתגבר על מספר מכשולים.
כיסוי ביטוחי של התקפת סייבר יכול לעלות לחברת ביטוח מיליוני דולרים אם מדובר על כיסוי לעלות של התקפות משמעותיות כמו ההתקפה על טרגט שעלתה עד כה למעלה מ-148 מיליון דולר (לא כולל פיטורי המנכ"ל וירידה בערך מנית החברה).
מכשולים נוספים יכולים להיות:
בחירה שלילית (inverse selection) - סביר להניח שלמבוטחים פוטנציאליים יהיה ידע רב יותר על שיטות העבודה של עצמם ועל החולשות של מערכות המידע שהם עושים בהם שימוש מאשר למבטח בעצמו. מדובר בכשל שוק שנובע ממידע א-סימטרי בין המבטח למבוטח.
סיכון מוסרי – חברות הביטוח דואגות מכך שחלק מן המבוטחים שרכשו ביטוחי סייבר לא ינקטו בפעולות מספיקות או אף הכרחיות, שימצמצו את ההסתברות להתרחשות של אירוע סייבר בגלל שיש להן כיסוי ביטוחי.
היעדר נתונים – חברות ביטוח משקיעות כסף רב במודלים של ניתוח סיכונים כדי לקבוע את מחיר הפרמיה. בתחום הסייבר, אין מספיק מידע זמין כדי לבחון את הסיכונים ולקבוע את פרמיות, כך שלא יציבו את חברות הביטוח תחת סיכון גדול מדי. חברות הביטוח יודעות היטב איך להתמודד עם סיכונים כתוצאה מכוח עליון אך לא כל כך טוב עם סיכוני סייבר שנובעים כתוצאה מכוחה של מדינה זרה.
בנוסף, חברות הביטוח יצטרכו לראות שיש תמיכה או עידוד ממשלתי. בעניין הזה הממשלה האנגלית הייתה בין הראשונות לזהות את חשיבות הביטוח להגנת הסייבר. בנובמבר האחרון פרסם הקבינט הבריטי מזכר בו צוין שהממשלה האנגלית "מאמינה שלביטוח סייבר יש תפקיד חשוב בסיוע לחברות מחוץ למעגל התשתיות הקריטיות לנהל את סיכוני הסייבר שלהם באופן אפקטיבי". ביחד עם התעשייה וחברות הביטוח הוקמו מספר קבוצות עבודה שיבחנו במהלך 2015 כיצד אפשר להשתמש בביטוח כקטליזטור לשיפור הגנת הסייבר של עסקים קטנים ובינוניים, יפתחו מודלים של תגובת ביטוח במקרה של התקפות סייבר, ויבחנו את תפקיד הביטוח בהקטנת ההשלכות במקרה של תקיפת תשתיות לאומיות.
מי צריך ביטוח סייבר והאם כדאי לעשותו?
למרות הסקפטיות הקיימת, ביטוח סייבר הוא מוצר טוב שיכול לסייע לארגון ברגע שייכנס למשבר כתוצאה ממתקפת סייבר ומשבר כזה, סביר שיקרה. פוליסות סייבר חיוניות לכל ארגון שמחזיק מידע רב של צד ג' לרבות מידע כלכלי, פרטי או רפואי. ביטוח סייבר טוב צריך לעזור לארגון לא רק בכסף אלא גם בידע הרב שיש לחלק מחברות הביטוח, שפיתחו מומחיות, להתמודדות עם אירועי סייבר. נכון לעכשיו, החברות שרוכשות ביטוח סייבר מתחלקות לשני סוגים עיקריים: אלה שיש להן איתנות כלכלית לרכוש פוליסת ביטוח ואלו שמחויבות לרכוש פוליסת ביטוח סייבר על ידי צד שלישי. הצפי הוא ששוק הסייבר יתרחב בעיקר לחברת הקטנות והבינוניות, שכיום אינן יכולות להרשות לעצמן טכנולוגיות יקרות, כוח אדם מיומן וחברות ייעוץ מובילות. אלו כנראה יפנו לביטוח על מנת להעביר אליו חלק הסיכון שאיתו הן צריכות להתמודד. פעולה כזו, תגדיל את רמת הגנת הסייבר שלהם, ויפה שעה אחת קודם.
***
רם לוי, מייסד ומנכ"ל חברת הייעוץ קונפידס, ושותף מייסד ב London Cyber Security. רם משמש כיועץ הסייבר של המועצה הלאומית למחקר ופיתוח וחוקר בכיר בסדנת יובל נאמן למדע טכנולוגיה וביטחון. [email protected]
בהכנת הכתבה השתתף מלקולם רנדלס, שותף מייסד ב London Cyber Security, חתם ומומחה בינלאומי לביטוח סייבר
הסכנות שמציב המרחב הקיברנטי לחברות, מחייב אותן לבטח את עצמן בפני מתקפות מטעמי טרור או פשע. רם לוי מנסה לברר האם זה נחוץ
בחודשים נובמבר ודצמבר 2013 הותקפה חברת Target האמריקאית. במשך מספר שבועות הצליחו האקרים רוסיים לגנוב מידע, מספרים וקודים סודיים של כרטיסי אשראי וקודים של עשרות מיליוני לקוחות באמצעות התקפה על נקודות המכירה (point of sales) של סניפי הרשת האמריקאית. מאמצי החקירה נמשכו מספר חודשים במקביל לתביעות משפטיות שהחלו להגיע לחברה בסכומים של עשרות מיליוני דולרים. ביולי האחרון הודיעה הרשת שההפסדים לבעלי המניות כתוצאה מאירוע עומדים על 148 מיליון דולר. "למזלה" החלקי של Target היה לה ביטוח סייבר בגובה עשרות מיליוני דולר.
כל ארגון חשוף לסיכונים, בין אם מדובר בסיכוני מזג אוויר, סיכונים כלכלים, או בסיכונים פיזיים. להתממשות הסיכונים הללו עשויות להיות השלכות על הארגון ובין היתר גם השלכות כלכליות, לעיתים כבדות מאוד. עם התפתחות הסייבר, והתלות של ארגונים בתפקודו התקין, התפתחו סוגים חדשים של סיכונים למערכות המידע ולתשתיות מבוקרות המחשב שחייבו ארגונים להיערך אחרת ולהתייחס לסיכונים סייבר כחלק חשוב ועקרוני מתהליך ניהול הסיכונים. היות והסיכונים הם רבים ומגוונים וקצב ההתפתחות וגילוי החולשות הוא מהיר מאוד, תהליך ניהול הסיכונים הוא מורכב והערכת סיכונים אלה נעשית באופן תדיר ומחזורי במגוון רחב של שיטות. מה קורה כאשר ארגון מזהה את הסיכונים ואין לו את המשאבים הדרושים כדי להקטין רמת הסיכון או במקרה שהתממשות הסיכון תגבה מחיר כלכלי כבד שהארגון מעריך שלא יוכל לעמוד בו? כאן נכנס לתמונה מוצר ביטוחי שהתפתח בשנים האחרונות – ביטוח סייבר.
ביטוח הוא דרך שבאמצעותה מקטינות חברות את הסיכון הכלכלי של התממשות סיכון באמצעות העברת הסיכון לגורם חיצוני. כאשר הדברים משתבשים זה יכול להיות יקר ולכן הביטוח "לוקח" את הסיכון הפיננסי עבור הארגון. פוליסת ביטוח תכסה את העסק במגוון רחב של עלויות שהארגון יצטרך לעמוד בהם כתוצאה מהתממשות סיכון ותספק למבוטח ביטחון (מסוים) במקרה שיתממש. הדבר נכון גם לגבי אירועי סייבר, כאן לביטוח יכול להיות ערך מוסף משמעותי. ביטוח הסייבר נוצר כדי לשפות עסקים עבור המחויבות שלהם לאבטח מידע פרטי או חסוי של צד שלישי בעיקר סביב שני סוגי אירועים: שיבושים עסקיים כתוצאה מתקיפת מערכות מחשב או אירועים הקשורים לאבטחת מידע ופרטיות. ביטוח סייבר שונה מביטוח של שגיאות ומחדלים טכנולוגיים (Technology Errors & Omission) שמיועד בעיקר עבור חברות המפתחות מוצרי תוכנה וספקי שירותים.
פוליסות ביטוח סייבר מכוונות להפסדים של צד שלישי או צד ראשון (החברה הנתקפת) שנגרמו מאירוע שבדרך כלל יוגדר כ"חדירה בלתי מורשית למערכות המידע של המבוטח". ביטוח להפסדי צד שלישי (third party losses) הוא ביטוח על הפסד לצד אחר שהוא לא המבוטח, ושהמבוטח חב על פי חוק - בדומה לביטוח צד ג' בעולם הרכב. ביטוח זה נקרא גם פוליסת אחריות (liability policy). ביטוח להפסדי צד ראשון (first party losses) הוא ביטוח שבו אירוע למבוטח גורם לו להפסד וחברת הביטוח תפצה אותו על ההפסד הכספי. ביטוח זה נקרא גם פוליסת שיפוי (indemnity policy).
חשוב לחדד, ביטוחי Tech E&O הם ביטוחי צד ג'. ביטוחי הסייבר היו גם הם עד לאחרונה ביטוחי צד ג'. עם ההבנה שכאשר חברה נתקפת יש לה נזקים ישירים מההתקפה הופכים הביטוחים לאט לביטוחי צד ראשון וזה השינוי המשמעותי בתחום כרגע. ביטוח סייבר טוב צריך לכסות גם צד ג' (אובדן כרטיסי אשראי, חשיפת קניין רוחני של צד ג' וכו') וגם על הפסדים ישירים כתוצאה מההתקפה (צוותי תגובה וחקירה, הוצאות משפטיות וכדומה).
ביטוח סייבר איננו מוצר חדש. חברות כגון בטרלי (Betterley) החלו למכור פוליסת ביטוח סייבר כבר בשנת 2000 מה שחדש הוא שביטוח סייבר הפך להיות מרכיב מרכזי בתיקי ביטוח מסחריים, בעיקר בארצות הברית.
כיום מוצעים ביטוחי סייבר הכוללים כיסוי במקרה של מתקפת סייבר (לדוגמא מתקפת מניעת שירות), שירות כיסוי עלויות ניהול משברים ועלות התאוששות מהתקפה (זיהוי פלילי, יחסי ציבור, פרסום ובנייה מחדש של המוניטין של החברה) אובדן או השחתה של נתונים (שלמות מידע), כיסוי נגד חדירה למערכות מידע שיכסה את ההוצאות ואחריות משפטית הנובעת מחשיפת נתונים ממאגרי מידע, וגם כיסוי משפטי המכסה את העלויות המשפטיות ופיצויים ללקוחות כתוצאה ממתקפת סייבר או חשיפה של מידע.
מדוע חוששים להיכנס לתחום?
שוק הביטוח הוא שוק בצמיחה. כיום יש למעלה מ-50 חברות בארה"ב שמבטחות נגד סייבר. השוק צפוי להגיע למעל 2 מיליארד דולר בהיקפי פרמיות הביטוח בשנת 2014. מדוע חברות ביטוח חוששות להיכנס לתחום? יש לכך סיבות רבות. עבור חברות הביטוח ומבטחי המשנה (החברות שמבטחות את חברות הביטוח) מדובר בסיכון חדש יחסית. על מנת שיותר חברות ביטוח ירצו להיכנס לתחום ושתיאבון הסיכון שלהן יגדל - החתמים צריכים להתגבר על מספר מכשולים.
כיסוי ביטוחי של התקפת סייבר יכול לעלות לחברת ביטוח מיליוני דולרים אם מדובר על כיסוי לעלות של התקפות משמעותיות כמו ההתקפה על טרגט שעלתה עד כה למעלה מ-148 מיליון דולר (לא כולל פיטורי המנכ"ל וירידה בערך מנית החברה).
מכשולים נוספים יכולים להיות:
בחירה שלילית (inverse selection) - סביר להניח שלמבוטחים פוטנציאליים יהיה ידע רב יותר על שיטות העבודה של עצמם ועל החולשות של מערכות המידע שהם עושים בהם שימוש מאשר למבטח בעצמו. מדובר בכשל שוק שנובע ממידע א-סימטרי בין המבטח למבוטח.
סיכון מוסרי – חברות הביטוח דואגות מכך שחלק מן המבוטחים שרכשו ביטוחי סייבר לא ינקטו בפעולות מספיקות או אף הכרחיות, שימצמצו את ההסתברות להתרחשות של אירוע סייבר בגלל שיש להן כיסוי ביטוחי.
היעדר נתונים – חברות ביטוח משקיעות כסף רב במודלים של ניתוח סיכונים כדי לקבוע את מחיר הפרמיה. בתחום הסייבר, אין מספיק מידע זמין כדי לבחון את הסיכונים ולקבוע את פרמיות, כך שלא יציבו את חברות הביטוח תחת סיכון גדול מדי. חברות הביטוח יודעות היטב איך להתמודד עם סיכונים כתוצאה מכוח עליון אך לא כל כך טוב עם סיכוני סייבר שנובעים כתוצאה מכוחה של מדינה זרה.
בנוסף, חברות הביטוח יצטרכו לראות שיש תמיכה או עידוד ממשלתי. בעניין הזה הממשלה האנגלית הייתה בין הראשונות לזהות את חשיבות הביטוח להגנת הסייבר. בנובמבר האחרון פרסם הקבינט הבריטי מזכר בו צוין שהממשלה האנגלית "מאמינה שלביטוח סייבר יש תפקיד חשוב בסיוע לחברות מחוץ למעגל התשתיות הקריטיות לנהל את סיכוני הסייבר שלהם באופן אפקטיבי". ביחד עם התעשייה וחברות הביטוח הוקמו מספר קבוצות עבודה שיבחנו במהלך 2015 כיצד אפשר להשתמש בביטוח כקטליזטור לשיפור הגנת הסייבר של עסקים קטנים ובינוניים, יפתחו מודלים של תגובת ביטוח במקרה של התקפות סייבר, ויבחנו את תפקיד הביטוח בהקטנת ההשלכות במקרה של תקיפת תשתיות לאומיות.
מי צריך ביטוח סייבר והאם כדאי לעשותו?
למרות הסקפטיות הקיימת, ביטוח סייבר הוא מוצר טוב שיכול לסייע לארגון ברגע שייכנס למשבר כתוצאה ממתקפת סייבר ומשבר כזה, סביר שיקרה. פוליסות סייבר חיוניות לכל ארגון שמחזיק מידע רב של צד ג' לרבות מידע כלכלי, פרטי או רפואי. ביטוח סייבר טוב צריך לעזור לארגון לא רק בכסף אלא גם בידע הרב שיש לחלק מחברות הביטוח, שפיתחו מומחיות, להתמודדות עם אירועי סייבר. נכון לעכשיו, החברות שרוכשות ביטוח סייבר מתחלקות לשני סוגים עיקריים: אלה שיש להן איתנות כלכלית לרכוש פוליסת ביטוח ואלו שמחויבות לרכוש פוליסת ביטוח סייבר על ידי צד שלישי. הצפי הוא ששוק הסייבר יתרחב בעיקר לחברת הקטנות והבינוניות, שכיום אינן יכולות להרשות לעצמן טכנולוגיות יקרות, כוח אדם מיומן וחברות ייעוץ מובילות. אלו כנראה יפנו לביטוח על מנת להעביר אליו חלק הסיכון שאיתו הן צריכות להתמודד. פעולה כזו, תגדיל את רמת הגנת הסייבר שלהם, ויפה שעה אחת קודם.
***
רם לוי, מייסד ומנכ"ל חברת הייעוץ קונפידס, ושותף מייסד ב London Cyber Security. רם משמש כיועץ הסייבר של המועצה הלאומית למחקר ופיתוח וחוקר בכיר בסדנת יובל נאמן למדע טכנולוגיה וביטחון. [email protected]
בהכנת הכתבה השתתף מלקולם רנדלס, שותף מייסד ב London Cyber Security, חתם ומומחה בינלאומי לביטוח סייבר
