תפסיקו להאשים את איראן: לויד'ס מפסיקה לבטח מתקפות סייבר הקשורות למדינות לאום
ייחוס בלתי אחראי של מתקפות סייבר יכול לפגוע בחברות עסקיות בישראל. לויד'ס, המשמשת גם כמבטחת משנה של חברות ביטוח ישראליות, מפסיקה לשפות עסקים אם מתקפת הסייבר תיוחס למדינת לאום
עמי רוחקס דומבה
| 09/12/2021
bigstock
חברת הביטוח הגדולה לויד'ס מלונדון פרסמה כי מוצרי ביטוח הסייבר שלה לא יכסו עוד התקפות סייבר בין מדינות לאום. המבטחת אמרה בשבוע שעבר כי נזקים מ"מלחמת סייבר" בין מדינות לא יהיו מכוסים יותר, וכי הגדרה זו משתרעת על פעולות שיש להן "השפעה מזיקה גדולה על תפקוד המדינה".
פוליסות ביטוח הסייבר החדשות הגיעו עם ארבעה "סעיפי אי-הכללה של מלחמת סייבר ומבצעי סייבר", שהונפקו על ידי מנהל החיתום של החברה פטריק דוידסון. זה קורה כאשר חברות הביטוח כבר החלו לבטל כיסויי סייבר, כאשר מחקר שנערך לאחרונה מצא שחברי הסינדיקט של לויד'ס קיצצו את הכיסוי בכ-50% וגובים פרמיות גבוהות יותר ב-2021 עקב ההשפעה העולמית של התקפות תוכנות כופר.
לויד'ס אומרת שהיא כבר לא רוצה להתמודד עם הפסדים הנובעים מ"מלחמת סייבר". המשמעות היא התקפות סייבר במהלך מצב מלחמה פורמלי וכן תגמול מצד מדינה אחת נגד אחרת. הגדרה זו כוללת גם פעולות סייבר שיש להן "השפעה מזיקה גדולה" על תפקוד המדינה, דבר המרמז על התקפה על תשתית קריטית.
הניסוח של לויד'ס אינו מבהיר לחלוטין מה יהיה הסטנדרט המשפטי לשקול התקפות סייבר הקשורות לקבוצת APT כפעולה של "מלחמת סייבר" למטרות שלילת כיסוי ביטוח הסייבר.
מדאיג עוד יותר הוא שהתקפות סייבר על תשתיות קריטיות עשויות לעורר שלילת ביטוח סייבר, גם אם ההתקפות לא הגיעו מגורם ידוע במדינת לאום. נראה כי הסף הוא רק שהמתקפה מייצרת "השפעה גדולה" על פונקציה כלשהי של מדינת לאום, עוד מרכיב שאינו מוגדר באופן חוקי לחלוטין.
לויד'ס אכן מפרטת שאין צורך בייחוס רשמי של המתקפה לשחקן ממלכתי כדי להפעיל את הסעיף; המבטח יכול להשתמש ב"מסקנה סבירה מבחינה אובייקטיבית" כדי לקבוע בעצמו אם התקפות סייבר נתונות עומדות בסטנדרטים החדשים הללו. המבטחים גם לא יצטרכו להמתין לייחוס ממשלתי שעשוי להגיע אם הם יקבעו שהייחוס לוקח "זמן בלתי סביר".
ייחוס בלתי אחראי של מתקפות סייבר יכול לפגוע בחברות עסקיות בישראל. לויד'ס, המשמשת גם כמבטחת משנה של חברות ביטוח ישראליות, מפסיקה לשפות עסקים אם מתקפת הסייבר תיוחס למדינת לאום
bigstock
חברת הביטוח הגדולה לויד'ס מלונדון פרסמה כי מוצרי ביטוח הסייבר שלה לא יכסו עוד התקפות סייבר בין מדינות לאום. המבטחת אמרה בשבוע שעבר כי נזקים מ"מלחמת סייבר" בין מדינות לא יהיו מכוסים יותר, וכי הגדרה זו משתרעת על פעולות שיש להן "השפעה מזיקה גדולה על תפקוד המדינה".
פוליסות ביטוח הסייבר החדשות הגיעו עם ארבעה "סעיפי אי-הכללה של מלחמת סייבר ומבצעי סייבר", שהונפקו על ידי מנהל החיתום של החברה פטריק דוידסון. זה קורה כאשר חברות הביטוח כבר החלו לבטל כיסויי סייבר, כאשר מחקר שנערך לאחרונה מצא שחברי הסינדיקט של לויד'ס קיצצו את הכיסוי בכ-50% וגובים פרמיות גבוהות יותר ב-2021 עקב ההשפעה העולמית של התקפות תוכנות כופר.
לויד'ס אומרת שהיא כבר לא רוצה להתמודד עם הפסדים הנובעים מ"מלחמת סייבר". המשמעות היא התקפות סייבר במהלך מצב מלחמה פורמלי וכן תגמול מצד מדינה אחת נגד אחרת. הגדרה זו כוללת גם פעולות סייבר שיש להן "השפעה מזיקה גדולה" על תפקוד המדינה, דבר המרמז על התקפה על תשתית קריטית.
הניסוח של לויד'ס אינו מבהיר לחלוטין מה יהיה הסטנדרט המשפטי לשקול התקפות סייבר הקשורות לקבוצת APT כפעולה של "מלחמת סייבר" למטרות שלילת כיסוי ביטוח הסייבר.
מדאיג עוד יותר הוא שהתקפות סייבר על תשתיות קריטיות עשויות לעורר שלילת ביטוח סייבר, גם אם ההתקפות לא הגיעו מגורם ידוע במדינת לאום. נראה כי הסף הוא רק שהמתקפה מייצרת "השפעה גדולה" על פונקציה כלשהי של מדינת לאום, עוד מרכיב שאינו מוגדר באופן חוקי לחלוטין.
לויד'ס אכן מפרטת שאין צורך בייחוס רשמי של המתקפה לשחקן ממלכתי כדי להפעיל את הסעיף; המבטח יכול להשתמש ב"מסקנה סבירה מבחינה אובייקטיבית" כדי לקבוע בעצמו אם התקפות סייבר נתונות עומדות בסטנדרטים החדשים הללו. המבטחים גם לא יצטרכו להמתין לייחוס ממשלתי שעשוי להגיע אם הם יקבעו שהייחוס לוקח "זמן בלתי סביר".
