דעה: חברות הביטוח מעודדות תשלום כופר בישראל

במציאות הנוכחית התוקפים פועלים בסייבר מול חברות גדולות מתוך ידיעה כי מרביתן מבוטחות, והם יקבלו את הכסף מהר וכמעט כל סכום שירצו עד לסף השיפוי למקרה בפוליסה

דעה: חברות הביטוח מעודדות תשלום כופר בישראל

מטבע הביטקוין. הכלי הפיננסי המוביל בתשלום כופר בסייבר. bigstock

מתקפות כופר שארעו בחודשים האחרונים בישראל, בחברות טאואר, ספיינס וורינט, חושפות את אחד האבסורדים הגדולים בתעשיית הסייבר - שימוש בביטוח כחלופה להשקעה במערך הגנה. בעוד חברות ביטוח רואות בשוק הסייבר מקור הכנסה חדש, בפועל, העדר בדיקות ראויות טרם החיתום, היד הקלה על ההדק בתשלום הכופר, ולעיתים העסקת חברות IR שאינן מכירות את הלקוחות, גורמים לביטוח להוות חלופה אמיתית למערך הגנה. 

חשוב להבהיר כי הבעיה אינה מתחילה בחברת הביטוח, אלא בהנהלת החברות. כאשר הנהלה של חברה, גדולה כקטנה, צריכה להשקיע בין עשרות למאות אלפי דולרים בשנה על מערך הגנה, נכנס למשוואה שיקול "לי זה לא יקרה". לרוב, ההנהלה תחליט לשלם פוליסת ביטוח סייבר, אך תקצץ את תקציבי מנהל אבטחת המידע בארגון על מנת להקטין הוצאות תפעול בדו"חות. 

בחלק מהמקרים חברות אינן נוקטות בפעילויות בסיסיות בכל הקשור להגנה בסייבר. סגמנטציה בין רשת תפעולית לרשת הייצור, שימוש במערכות הפעלה ישנות, החלטה לא להשקיע בהגנה על עמדות קצה (EDR), שימוש במנגנוני הגנה ישנים כמו נתבים, מתגים ופתרונות Mail Relay. חלק מהחברות במשק הישראלי אף אינן משקיעות בפתרונות שמטרתם ניטור הגלישה ברשת האינטרנט ושירות SOC. 

פוליסת סייבר: אסטרטגיית גידור

כאשר הנהלת חברה מחליטה לחסוך על מערך ההגנה, היא "מגדרת" את עצמה באמצעות החלופה של פוליסת ביטוח. על פי כתבה עדכנית שסוקרת את הנושא באתר fdd.org,  ביטוח סייבר הוא שוק של 4.5 מיליארד דולר וצפוי לגדול עד 2125 ל -21.4 מיליארד דולר. כן, כסף גדול. אפילו גדול מאד. "בשנת 2018 היו 528 מבטחים אמריקאים שכתבו פוליסות ביטוח סייבר, לעומת 471 בשנת 2017", כותבים בפרסום. "בניתוח התמחור של ביטוח סייבר עבור הממשלה ותעשיות, כמו קבלני ביטחון, האנליטיקה הקניינית של לוקטון מציגה מחיר חציוני של 10,000 דולר לכיסוי של 1,000,000 דולר, שיעור של אחוז אחד." 

בהתחשב בעלות הממוצעת של הפרת נתונים לא מבוטחת, אותה מציינת יבמ כ- 8.19 מיליון דולר בארצות הברית, זהו סיכון שחברות לא רוצות לשאת לבדן. "על פי ה- benchmark הקנייני של חברת DIB וקבלני ממשלה של לוקטון, קבלן ממוצע רוכש פוליסה של 10 מיליון דולר. חברות שמניבות הכנסות שנתיות של פחות מ -100 מיליון דולר רוכשות פוליסה של 5 מיליון דולר בממוצע. חברות שמייצרות בין מיליארד דולר ושני מיליארד דולר בהכנסות רוכשות פוליסה ממוצעת של 30 מיליון דולר", כותבים בפרסום. 

אחד האתגרים של חברת הביטוח קשור לאפיון הסיכון טרם החיתום. בחלק מהמקרים, חברות ביטוח אינן עושות בדיקה בסיסית כאמור למערך הגנה שיתמוך את הפוליסה. "התקנת EDR יכולה לפתור מעל 90 אחוזים ממקרי הכופר", אומר גורם בכיר בתעשייה. "אבל חברות בוחרות לא להתקין. לחסוך את הכסף." במציאות כזו, נשאלת השאלה מדוע חברת ביטוח לא בודקת כראוי את ההגנות שמיישמת החברה. בחלק מהמקרים הכופרה שמשביתה פעילות של חברה אינה מתוחכמת בכלל. 

השאלה: לשלם או לא לשלם

לצד אתגר זה, ישנו האתגר האם לשלם כופר. כאשר הלקוח מבוטח, חברת הביטוח רוצה לסיים את האירוע מהר ככל הניתן על מנת להקטין את ההפסד עבורה. מקובל. מאידך, במציאות כזו, לחברה שהיא הקורבן אין אינטרס לנסות להציל את המצב ללא תשלום כופר. אם חברת הביטוח משלמת, ואין הפסד לחברה, לרוב ההנהלה תעדיף תשלום כופר. 

במציאות כזו, התוקפים פועלים מול חברות גדולות מתוך ידיעה כי מרביתן מבוטחות, והם יקבלו את הכסף מהר וכמעט כל סכום שירצו עד לסף השיפוי למקרה בפוליסה. כלומר, זה כסף בטוח. חברת הביטוח מבחינתה סוגרת את האירוע בתשלום כופר ועוד שיפוי על אובדן ההכנסות הזמני, והארגון עצמו יוצא מהמתקפה בנזק כספי נסבל. כמובן שישנם מקרי קיצון כמו התקיפה על חברת הספנות מרסק או המקרה של סוני, אבל אלו מקרים חריגים. 

לסיכום, פוליסות ביטוח הסייבר מייצרות אקו-סיסטם כלכלי שמחד מעודד מתקפות כופר או סחיטה אחרות, כל עוד הכופר אינו חורג מהשיפוי בפוליסה למקרה. מאידך, פוליסות אלו מהוות חלופה, דה-פקטו, להשקעה של ארגונים במערך הגנה ובשדרוג טכנולוגי (חידוש מערכות הפעלה, רכישת חומרה חדשה וכו'). בחלק מהמקרים האחרונים, רואים עוד מאפיין תרבות מדאיג, שמניות החברות שנפגעות ממתקפות כופר כמעט ולא מאבדות מערכן, מלבד ירידה קטנה זמנית קצרת טווח. 

״תקיפות הכופר הן השכיחות ביותר כיום ואנו עדים לתהליך עסקי-ביטוחי בוא נמצא כי רווחת ההאקרים משתלמת. זוהי בהחלט טעות קריטית שתניב בעיה גדולה יותר בעתיד. עלינו להילחם בהאקרים ולא להיכנע לדרישותיהם. על ידי כניעה, ישנו סיכוי בו חברה שהותקפה לא מצאה את וקטור הכניסה וממנו עלולה לבוא תקיפה נוספת. אין חסינות מפני תקיפות כופר, גם לאחר תשלום", מסביר עידו נאור, מנכ״ל חברת Security Joes. 

 

אולי יעניין אותך גם