פרשנות | האחריות לפיצוי בגין תקיפות סייבר מדינתיות עוברת למדינה
משפט שהסתיים לאחרונה לטובתה של חברת התרופות Merck חושף את המציאות בעולם הסייבר - חברות ביטוח אינן מוכנות לקחת אחריות על תקיפות בחסות מדינה. בעתיד, המדינה תצטרך לספק פתרונות לעסקים במקרים אלו
עמי רוחקס דומבה
| 24/01/2022
bigstock
שני אירועים שהתרחשו לאחרונה מעידים כי חברות ביטוח התבגרו ומגלגלות את האחריות על פיצוי בגין מתקפות סייבר מדינתיות - למדינה. אירוע אחד הוא ההודעה של חברת לוידס הבריטית לגבי הסדרת החרגות בפוליסת ביטוח סייבר מפני תקיפות מדינה. שניה, משפט שהסתיים לאחרונה לטובתה של חברת התרופות Merck.
האירוע המכונן שהתחיל את שני המהלכים הללו הוא מתקפת NotPetya שארעה ב-2017. בעקבות המתקפה, כ-40,000 מחשבים של חברת Merck נפגעו והפסיקו לעבוד. המתקפה יוחסה על ידי ארה״ב לרוסיה. פוליסת הסייבר של Merck כיסתה חלק מאד קטן מהנזק שהיקפו הגיע ל1.4 מיליארדי דולרים.
עו״ד של Merck הגו רעיון - להפעיל את פוליסת הרכוש של החברה. פוליסה זו מכסה היקפי נזק של 1.75 מיליארדי דולרים ואינה כוללת החרגה למתקפות סייבר. חברת הביטוח, Ace American, לא הסכימה לשפות. הנושא הגיע לבית משפט בניו ג'רזי ב2019 ובימים האחרונים ניתנה הכרעה לטובתה של Merck. בית המשפט קבע כי נוסח ההחרגה בפוליסת הרכוש של החברה מופשט, ואינו מחריג באופן ברור נזקים ממתקפות סייבר מצד מדינה.
״מאז 2018, אחרי NotPetya, חברות ביטוח החלו להיות ערות לנושא תקיפות סייבר מדינתיות. ראשית, הן התחילו לנסח בצורה מפורשת שפוליסות רכוש אינן כוללות נזקים חומריים ממתקפות סייבר״, מסביר שי סימקין, מנהל אגף ביטוח סייבר בברוקרית הביטוח הגלובלית האודן, בראיון לישראל דיפנס.
״בנוסף, במהלך 2021, חברת לוידס, רגולטור עולמי לתחום הביטוח, הבינה כי החרגת אירוע מלחמה אינו מנוסח טוב בפוליסות סייבר. וצריך להבהיר, כי מבחינת חברת הביטוח, כל נזק פיזי כתוצאה ממתקפת סייבר בינמדינתית לא יהיה כלול בפוליסת הסייבר.״
עם זאת, סימקין מציין, כי גם חברות הביטוח נמצאות בבעיה להוכיח תקיפת סייבר מדינתית. בעולם הסייבר, נושא ייחוס התקיפה אינו ודאי. גם אם פלוני משתמש בפונקציה המיוחסת לגורם מדינתי, אין דרך לוודא כי אותו פלוני קשור לגורם המדינתי (פולס פלאג).
יתרה מכך, גם אם פלוני אינו עוסק בהתחזות לאחר, פונקציות וכלים בסייבר עוברים שימוש חוזר באופן טבעי. כך שהייחוס על פי פורנזיקת קוד, אינו וודאי. ״במקרים חריגים כמו מתקפת NotPetya, כנראה יהיה קונצנזוס שזו מתקפת מדינה. אבל אלו אירועים חריגים״, מסביר סימקין.
ואם הבולשת האמריקאית או CISA מפרסמים אודות מתקפה מדינתית? זה תופס בבית משפט?
״במקרה כזה, כל צד יביא עו״ד שינסו לשכנע את השופט וכנראה תהיה פשרה. אולי אפילו ללא משפט.״
כיצד מנכ״ל צריך להתייחס לשינוי המגמה בהתייחס לאירוע מלחמתי בסייבר?
״הוא צריך להבין שאם יתרחש אירוע כמו NotPetya, פוליסת הסייבר שלו לא תכסה אותו. כמו גם, הוא צריך לדעת שפוליסת הרכוש שלו לא תכסה מתקפות סייבר.״
האם לדעתך המדינה צריכה להקים קרן ייעודית לנושא סייבר מדינתי?
״אני מניח שבעתיד מדינות יעשו זאת. חברות ביטוח לא רוצות לקחת את הסיכון לשפות פעולות מלחמה. אחרי אסון התאומים בארה״ב, מדינות החלו להקים קרן לסוג כזה של אירוע. חלק מהפרמיה בפוליסה מופרשת לקרן זו. אם יקרה אירוע, הקרן הזו תשמש לשיפוי עסקים.״
משפט שהסתיים לאחרונה לטובתה של חברת התרופות Merck חושף את המציאות בעולם הסייבר - חברות ביטוח אינן מוכנות לקחת אחריות על תקיפות בחסות מדינה. בעתיד, המדינה תצטרך לספק פתרונות לעסקים במקרים אלו
bigstock
שני אירועים שהתרחשו לאחרונה מעידים כי חברות ביטוח התבגרו ומגלגלות את האחריות על פיצוי בגין מתקפות סייבר מדינתיות - למדינה. אירוע אחד הוא ההודעה של חברת לוידס הבריטית לגבי הסדרת החרגות בפוליסת ביטוח סייבר מפני תקיפות מדינה. שניה, משפט שהסתיים לאחרונה לטובתה של חברת התרופות Merck.
האירוע המכונן שהתחיל את שני המהלכים הללו הוא מתקפת NotPetya שארעה ב-2017. בעקבות המתקפה, כ-40,000 מחשבים של חברת Merck נפגעו והפסיקו לעבוד. המתקפה יוחסה על ידי ארה״ב לרוסיה. פוליסת הסייבר של Merck כיסתה חלק מאד קטן מהנזק שהיקפו הגיע ל1.4 מיליארדי דולרים.
עו״ד של Merck הגו רעיון - להפעיל את פוליסת הרכוש של החברה. פוליסה זו מכסה היקפי נזק של 1.75 מיליארדי דולרים ואינה כוללת החרגה למתקפות סייבר. חברת הביטוח, Ace American, לא הסכימה לשפות. הנושא הגיע לבית משפט בניו ג'רזי ב2019 ובימים האחרונים ניתנה הכרעה לטובתה של Merck. בית המשפט קבע כי נוסח ההחרגה בפוליסת הרכוש של החברה מופשט, ואינו מחריג באופן ברור נזקים ממתקפות סייבר מצד מדינה.
״מאז 2018, אחרי NotPetya, חברות ביטוח החלו להיות ערות לנושא תקיפות סייבר מדינתיות. ראשית, הן התחילו לנסח בצורה מפורשת שפוליסות רכוש אינן כוללות נזקים חומריים ממתקפות סייבר״, מסביר שי סימקין, מנהל אגף ביטוח סייבר בברוקרית הביטוח הגלובלית האודן, בראיון לישראל דיפנס.
״בנוסף, במהלך 2021, חברת לוידס, רגולטור עולמי לתחום הביטוח, הבינה כי החרגת אירוע מלחמה אינו מנוסח טוב בפוליסות סייבר. וצריך להבהיר, כי מבחינת חברת הביטוח, כל נזק פיזי כתוצאה ממתקפת סייבר בינמדינתית לא יהיה כלול בפוליסת הסייבר.״
עם זאת, סימקין מציין, כי גם חברות הביטוח נמצאות בבעיה להוכיח תקיפת סייבר מדינתית. בעולם הסייבר, נושא ייחוס התקיפה אינו ודאי. גם אם פלוני משתמש בפונקציה המיוחסת לגורם מדינתי, אין דרך לוודא כי אותו פלוני קשור לגורם המדינתי (פולס פלאג).
יתרה מכך, גם אם פלוני אינו עוסק בהתחזות לאחר, פונקציות וכלים בסייבר עוברים שימוש חוזר באופן טבעי. כך שהייחוס על פי פורנזיקת קוד, אינו וודאי. ״במקרים חריגים כמו מתקפת NotPetya, כנראה יהיה קונצנזוס שזו מתקפת מדינה. אבל אלו אירועים חריגים״, מסביר סימקין.
ואם הבולשת האמריקאית או CISA מפרסמים אודות מתקפה מדינתית? זה תופס בבית משפט?
״במקרה כזה, כל צד יביא עו״ד שינסו לשכנע את השופט וכנראה תהיה פשרה. אולי אפילו ללא משפט.״
כיצד מנכ״ל צריך להתייחס לשינוי המגמה בהתייחס לאירוע מלחמתי בסייבר?
״הוא צריך להבין שאם יתרחש אירוע כמו NotPetya, פוליסת הסייבר שלו לא תכסה אותו. כמו גם, הוא צריך לדעת שפוליסת הרכוש שלו לא תכסה מתקפות סייבר.״
האם לדעתך המדינה צריכה להקים קרן ייעודית לנושא סייבר מדינתי?
״אני מניח שבעתיד מדינות יעשו זאת. חברות ביטוח לא רוצות לקחת את הסיכון לשפות פעולות מלחמה. אחרי אסון התאומים בארה״ב, מדינות החלו להקים קרן לסוג כזה של אירוע. חלק מהפרמיה בפוליסה מופרשת לקרן זו. אם יקרה אירוע, הקרן הזו תשמש לשיפוי עסקים.״
