יש לכם ביטוח סייבר? תבדקו אם הוא כולל גם פשעי סייבר

יש לכם ביטוח סייבר? תבדקו אם הוא כולל גם פשעי סייבר

bigstockphoto

מקרה ביטוח שארע בארה"ב חושף פעם נוספת את המורכבות של שוק ביטוחי סייבר.  פרסום של cpomagazine,  חושף כי חברת SS&C Technologies רכשה ביטוח סייבר מחברת AIG, אולם כאשר הונו אותה וגנבו ממנה כששה מליוני דולרים, חברת הביטוח סרבה לשלם. "האקרים סיניים הצליחו לקחת מהחברה 5.9 מיליון דולר. דוא"ל מזויף המתיימר להגיע מאחד מלקוחות החברה - קרן הסחורות של טורג'- הורה לחברה לבצע שש העברות בנקאיות לבעל חשבון בנק לא ידוע בהונג קונג", כותבים בפרסום.

מדובר במקרה נוסף של הונאה באמצעות דוא"ל (BEC) שבה עובד בארגון מקבל הוראה, לכאורה, ממנהל בכיר להעביר כספים לחשבון של שותף עסקי או ספק, ומשם הכסף מתגלגל בחשבונות בנקים שונים לחשבון של התוקף. בחלק מהמקרים ניתן לחלט חלק מהכספים חזרה, ובחלק הכסף נעלם.

"פשעי סייבר מכוסים בפוליסת ביטוח סייבר בסעיף ייחודי שצריך לרכוש אותו בנפרד", מסביר שי סימקין, ראש תחום הסייבר בקבוצת האודן העולמית. "במקרה המדובר זו פוליסה של חברת AIG שאינה כוללת בבסיס כיסוי לפשעי סייבר. סביר להניח כי החברה בפרסום לא רכשה סעיף כזה ואז התחילו הבעיות. לAIG , כמו כל חברת ביטוח אחרת שמוכרת פוליסות סייבר, יש אינטרס לשלם, אחרת לא יקנו ממנה ביטוח. ההיגיון הזה נכון בעיקר בימים אלו, כאשר יחס התשלום לפרמיות עומד על כ65-70 אחוזים. זה משאיר לחברות הביטוח רווחים נאים מפוליסות אלו. 

"נקודה נוספת שיש לזכור היא כי גם כאשר רוכשים סעיף המכסה פשעי סייבר, מדובר לרוב בשיפוי קטן שנע בין עשרות למאות אלפי דולרים לאירוע. לכן, כאשר מדובר בלקוחות פיננסיים או אחרים שעושים העברות כספיות גדולות, אנו ממליצים להם לרכוש פוליסה לכיסוי פשעים באופן כללי שלא כחלק מפוליסת הסייבר. זו פוליסה נפרדת וייעודית לאירועי פשיעה שמכסה גם הונאות בסייבר.

"גם את האירוע הזה ניתן לסכם בכך שהארגון ככל הנראה לא נעזר בייעוץ מקצועי בתחום ביטוח סייבר. ארגונים לרוב אינם מבינים מה יש תחת הפוליסה. מה קיים ומה מוחרג בהסכם. בניגוד לפוליסות ביטוח ותיקות אחרות, תחום ביטוח הסייבר צעיר ולכן הפוליסות מתעדכנות בקצב מהיר. במציאות כזו, אם אתה לא 'חי' את התחום, אתה יכול לפול בין הכסאות בעת אירוע. חשבת שיש לך כיסוי, ומסתבר שאין לך."

על פי הפרסום, SS&C טכנולוגיות אישרו כי הכספים "נגנבו" ולא "אבדו", וזה הפך אוטומטית את אירוע הסייבר למעשה פלילי ולכן פוליסת ביטוח הסייבר כבר לא חלה. על פי AIG, פוליסת ביטוח הסייבר מכסה רק הפסדים מהתקפות סייבר מסורתיות (למשל, מתקפת DDoS) ולא מהתקפות פליליות.

אולי יעניין אותך גם