ביטוח צד ג' בסייבר: מתקפות שרשרת האספקה במרכז
התקיפה נגד סולר ווינד שמה במרכז את שאלת הנחיצות של ביטוח צד ג' בסייבר. ראיון מיוחד עם שי סימקין, ראש תחום סייבר, בקבוצת האודן העולמית
עמי רוחקס דומבה
| 03/02/2021
bigstock
האירוע בחברת סולר ווינד חושף את הנחיצות של ביטוח סייבר צד ג'. בעוד ביטוח צד א' מכסה את הנזק שנגרם לארגון, צד ג' מכסה את ההוצאות הקשורות לנזק שנעשה לאחר. בין היתר, הביטוח מכסה על הוצאות קשורות לחקירות של רשויות המדינה, תביעות ייצוגיות, תביעות נזיקין ואפילו מפני תביעות של אנשים פרטיים בשל דליפת מידע אישי.
אבן דרך בעולם ביטוחי הסייבר
"האירוע בחברת סולר ווינד הוא אבן דרך בעולם ביטוחי הסייבר", מסביר שי סימקין, ראש תחום סייבר, קבוצת האודן העולמית . "כמו אירוע טרגט, notpetya ו-wannacry. בסולר ווינד מדברים על 18000 לקוחות שנפגעו ביום אחד. זה מקפיץ את רמת הלחץ של המבטחים בגלל האגרגרציה של אירוע אחד והשפעה על צדדים שלישיים. זהו מקרה קלאסי של שרשרת האספקה."
סימקין מסביר כי כל ארגון שנפל קורבן, הוא אירוע סייבר עבור חברת הביטוח. "אלו אלפי מקרי סייבר ביום אחד. זה אירוע מכונן", אומר סימקין. "בצד ג', אם אני מחובר לסולר ווינד, אני יכול לנקוט בתביעת שיבוב נגד סולר ווינד. גם אם לא היה לך ביטוח, אתה תתבע אותם על הנזק. כל תביעה נגד הארגון בגין הנזק שהוא גרם לאחר כתוצאה מאירוע סייבר תכוסה תחת הפוליסה. כל תביעה שאפשר להעלות על הדעת."
אחת השאלות שעולות בשיח המקצועי היא "ואם עשיתי הכל לפי המלצות היצרן והרגולטור? גם אז אני צריך ביטוח צד ג'?" ובכן, סימקין מסביר כי באירוע סייבר, הקורבנות צפויים לתבוע את מי שאחראי על הנזק. בדומה לעולם הפיזי.
"גם אם תוכיח שאתה לא אשם, יש הוצאות משפט", אומר סימקין. "אם תצא אשם בבית משפט, תשלם על הנזק שגרמת. כבר היו מקרים בעולם שבתי משפט קבעו שארגון היה אשם בגרימת נזק לאחר, מכיוון שהשתמשו בתשתיות שלו כחלק משרשרת האספקה של התקיפה."
הסיכון: תביעות ייצוגיות ותביעות נגד מנהלים
בהיבט מימוש ביטוח, צד א' מופעל בכל אירוע סייבר לכיסוי נזק ללקוח עצמו. במקרי צד ג' רואים עליה הקשורה לשתי תופעות - תביעות ייצוגיות ותביעות נגד מנהלים בעקבות אירוע סייבר. היבט נוסף הוא אכיפת רגולציה המכתיבה חקירה ממשלתית בשלב הפוסט אירוע. אלו חקירות הדורשות מהארגון משאבים שעולים כסף ללווי החקירה.
"ניתן לומר שהאירוע של סולר ווינד, הוא עוד זרז לכך ששוק ביטוח הסייבר הופך להיות הגנתי יותר", מסביר סימקין. "כלומר, חברת הביטוח תחמיר את תנאי החיתום ולא תבטח כל אחד. במקרה של שרשרת אספקה, חברת הביטוח תבחן לעומק את הסיכונים הנובעים מהספקים של הארגון."
אפס אמון
האם כמות הספקים משפיעה? "כן. ככל שיש יותר ספקים, הארגון צריך להחליט למי הוא מאפשר כניסה לרשת ולמי נותנים הרשאות. הארגון יצטרך לבחון את הספקים שלו בפינצטה, כולל את הסיכון הנובע בסייבר מכל אחד", אומר סימקין. "ספק שיקבל גישה לרשת הארגון, יצטרך להוכיח רמה גבוהה של הגנה בסייבר. עם זאת, חשוב לבהר. ביטוח נעשה לשנה. במהלך תקופת הביטוח, חברת הביטוח אינה יכולה להגביל את הארגון בכמות או זהות הספקים שמתחברים אליו."
לסיכום, סימקין מבהיר כי כל פוליסת ביטוח סייבר כוללת צד א' ו-ג'. זה חלק מהחבילה ואי אפשר לרכוש בנפרד. לגבי השאלה האם 'שווה' לרכוש פוליסת סייבר או לקחת את הסיכון לשלם את הנזק לבד, אומר סימקין: "הסיכון הכי גדול של הארגון כיום הוא סיכון סייבר. לחברות ביטוח יש הרבה ניסיון בטיפול בתביעות כאלו. בהיבט פיננסי, ביטוח סייבר, למרות הסיכון, עדיין מתומחר ביחס טוב לסיכון."
התקיפה נגד סולר ווינד שמה במרכז את שאלת הנחיצות של ביטוח צד ג' בסייבר. ראיון מיוחד עם שי סימקין, ראש תחום סייבר, בקבוצת האודן העולמית
bigstock
האירוע בחברת סולר ווינד חושף את הנחיצות של ביטוח סייבר צד ג'. בעוד ביטוח צד א' מכסה את הנזק שנגרם לארגון, צד ג' מכסה את ההוצאות הקשורות לנזק שנעשה לאחר. בין היתר, הביטוח מכסה על הוצאות קשורות לחקירות של רשויות המדינה, תביעות ייצוגיות, תביעות נזיקין ואפילו מפני תביעות של אנשים פרטיים בשל דליפת מידע אישי.
אבן דרך בעולם ביטוחי הסייבר
"האירוע בחברת סולר ווינד הוא אבן דרך בעולם ביטוחי הסייבר", מסביר שי סימקין, ראש תחום סייבר, קבוצת האודן העולמית . "כמו אירוע טרגט, notpetya ו-wannacry. בסולר ווינד מדברים על 18000 לקוחות שנפגעו ביום אחד. זה מקפיץ את רמת הלחץ של המבטחים בגלל האגרגרציה של אירוע אחד והשפעה על צדדים שלישיים. זהו מקרה קלאסי של שרשרת האספקה."
סימקין מסביר כי כל ארגון שנפל קורבן, הוא אירוע סייבר עבור חברת הביטוח. "אלו אלפי מקרי סייבר ביום אחד. זה אירוע מכונן", אומר סימקין. "בצד ג', אם אני מחובר לסולר ווינד, אני יכול לנקוט בתביעת שיבוב נגד סולר ווינד. גם אם לא היה לך ביטוח, אתה תתבע אותם על הנזק. כל תביעה נגד הארגון בגין הנזק שהוא גרם לאחר כתוצאה מאירוע סייבר תכוסה תחת הפוליסה. כל תביעה שאפשר להעלות על הדעת."
אחת השאלות שעולות בשיח המקצועי היא "ואם עשיתי הכל לפי המלצות היצרן והרגולטור? גם אז אני צריך ביטוח צד ג'?" ובכן, סימקין מסביר כי באירוע סייבר, הקורבנות צפויים לתבוע את מי שאחראי על הנזק. בדומה לעולם הפיזי.
"גם אם תוכיח שאתה לא אשם, יש הוצאות משפט", אומר סימקין. "אם תצא אשם בבית משפט, תשלם על הנזק שגרמת. כבר היו מקרים בעולם שבתי משפט קבעו שארגון היה אשם בגרימת נזק לאחר, מכיוון שהשתמשו בתשתיות שלו כחלק משרשרת האספקה של התקיפה."
הסיכון: תביעות ייצוגיות ותביעות נגד מנהלים
בהיבט מימוש ביטוח, צד א' מופעל בכל אירוע סייבר לכיסוי נזק ללקוח עצמו. במקרי צד ג' רואים עליה הקשורה לשתי תופעות - תביעות ייצוגיות ותביעות נגד מנהלים בעקבות אירוע סייבר. היבט נוסף הוא אכיפת רגולציה המכתיבה חקירה ממשלתית בשלב הפוסט אירוע. אלו חקירות הדורשות מהארגון משאבים שעולים כסף ללווי החקירה.
"ניתן לומר שהאירוע של סולר ווינד, הוא עוד זרז לכך ששוק ביטוח הסייבר הופך להיות הגנתי יותר", מסביר סימקין. "כלומר, חברת הביטוח תחמיר את תנאי החיתום ולא תבטח כל אחד. במקרה של שרשרת אספקה, חברת הביטוח תבחן לעומק את הסיכונים הנובעים מהספקים של הארגון."
אפס אמון
האם כמות הספקים משפיעה? "כן. ככל שיש יותר ספקים, הארגון צריך להחליט למי הוא מאפשר כניסה לרשת ולמי נותנים הרשאות. הארגון יצטרך לבחון את הספקים שלו בפינצטה, כולל את הסיכון הנובע בסייבר מכל אחד", אומר סימקין. "ספק שיקבל גישה לרשת הארגון, יצטרך להוכיח רמה גבוהה של הגנה בסייבר. עם זאת, חשוב לבהר. ביטוח נעשה לשנה. במהלך תקופת הביטוח, חברת הביטוח אינה יכולה להגביל את הארגון בכמות או זהות הספקים שמתחברים אליו."
לסיכום, סימקין מבהיר כי כל פוליסת ביטוח סייבר כוללת צד א' ו-ג'. זה חלק מהחבילה ואי אפשר לרכוש בנפרד. לגבי השאלה האם 'שווה' לרכוש פוליסת סייבר או לקחת את הסיכון לשלם את הנזק לבד, אומר סימקין: "הסיכון הכי גדול של הארגון כיום הוא סיכון סייבר. לחברות ביטוח יש הרבה ניסיון בטיפול בתביעות כאלו. בהיבט פיננסי, ביטוח סייבר, למרות הסיכון, עדיין מתומחר ביחס טוב לסיכון."
