תקיפות סייבר וכיסוי ביטוחי

פורסם: 16/6/2013

תקיפות סייבר וכיסוי ביטוחי / עודד סלע, עו"ד*

מאמר זה, מבוסס על מאמר מאת עוה"ד Brian E. Finch and Scott N. Godes ממשרד עורכי הדין האמריקאי דיקשטיין שפירו שפורסם ב Cybersecurity ומובא לפניכם בהתאמות ועידכונים באדיבותם.

אם עד לפני שנים אחדות, סיכון קיברנטי נשמע כמו מושג שלקוח מסרטי מדע בדיוני, כמעט כולם מסכימים כיום כי האיום הקיברנטי הוא אמיתי בשלב זה של המאה ה-21 ודי לפתוח את מדורי החדשות של העיתונים היומיים בחודשים האחרונים כדי להבין זאת. דו"ח שפורסם השנה בארה"ב, העלה טענה כי בסין ישנם גופים שלטוניים העוסקים במסע מתמשך של תקיפות סייבר נגד ארצות הברית. העניין בנושא זה התעצם באופן טבעי בעקבות הדיון המתמשך בבירת ארה"ב לגבי הצעדים והדרכים בהן יש לנקוט לגבי Cybersecurity. הקונגרס האמריקני מקיים זה שנים ארוכות דיון מתמשך בשאלה האם להתקין תקנות כופות בנושא בענפי המשק השונים, והבית הלבן פרסם צו נשיאותי הקורא ליצירת תוכנית וולונטרית לעידוד חברות לתרגל מצבי משבר של  Cybersecurity בצורה טובה יותר.

השאלה לחברות מסחריות נשארה, עם זאת, מה אנחנו עושים עם כל זה? איך אנחנו יכולים לעצור את ההפרות או ההתקפות הקיברנטיות הפוטנציאליות? התשובה הקצרה לשאלה זו, היא שלא ניתן לעצור את ההתקפות.

כשזה מגיע לCybersecurity, הגנה מושלמת עשויה להיות מטרה ראויה, אבל יעד זה אינו מציאותי. האקרים ברמת מדינה, הם יצירתיים, מגובים במימון מאסיבי ובמוטיבציה. האקרים כאלה ימצאו את דרך לנהל הפרה מוצלחת ופריצה לכל אתר (כמעט ?). הדברים נכונים בשינויים מחויבים גם כאשר מדובר בהתארגנויות של האקרים פרטיים המשתפים ביניהם פעולה ממטרות מסחריות או אידאולוגיות שונות.

היום בו ימצא הפתרון המושלם להגנת הרשתות והמידע של חברות מסחריות, אינו נראה לעין וספק רב אם יגיע אי פעם. במקום להמתין ליום המיוחל, מה שחברות צריכות לעשות הוא לחפש את הפתרונות הטובים לצמצום החשיפה ואת מדיניות ה- Cybersecurity הזמינים והטובים ביותר, ליישם אותם, ולהמשיך לחפש דרכים כדי להישאר מעודכנים באיומים המתעדכנים חדשות לבקרים וכך לשפר באופן קבוע את ההגנות של החברות תוך בחינת עלות תועלת ו ROI. במקביל, החברות צריכות להיות מוכנות, כך שכאשר מתרחשת הפרה, החברות תדענה איך להגיב ותנקוטנה בצעדים הנכונים כדי להקטין את הסיכונים ולהמשיך בפעילות (Business Continuity).

לאור המציאות החדשה (ישנה), הצורך להיות מוכן לסיכוני Cyber, וההכרה של השיטות להעברת הסיכון לאיומי סייבר בחברות היא קריטית. ביטוח הוא חלק חיוני של הכרת השיטות להעברת סיכון, גם בנושא Cyber.

שוק הביטוח הבינלאומי, רווי בפוליסות ביטוח משווקות החל "Cyberinsurance." היקף הכיסוי שמציעות פוליסות אלו שונה זה מזה במידה ניכרת. ישנן פוליסות ביטוח המציעות כיסוי לעלויות של הודעות לצדדים שלישיים לאחר פריצה למאגר הנתונים של החברה, גניבת מידע ומידע פרטי על לקוחות, כגון זהויות. ישנן פוליסות לאבדן רווחים של העסק והוצאות נוספות להן הוא חשוף לאחר Cyberattack ושיבוש פעילותה העסקית של החברה. ניתן גם לשלב בין הכיסויים והפוליסות השונות כדי לכסות את הסוגים השונים של הסיכונים. הכיסויים הביטוחיים כמו גם ניסוחם, והחריגים לפוליסות, משתנים ממבטח למבטח, ולכן, ישנה חשיבות רבה לתשומת הלב שיש להקדיש לתנאים המוצעים בחוזה הביטוח לפני רכישתו.

מעבר לעריכת פוליסות ביטוח מסוג Cyberinsurance, מומלץ לחברות לבחון ולסקור את תכניות הביטוח הקיימות שלהן כדי לקבוע האם קיימת חפיפה בכיסוי לסיכוני סייבר על פי פוליסות אחרות של החברות בין פוליסות ה- Cyberinsurance לבין הפוליסות הסטנדרטיות של החברות  - הפוליסות ה"מסורתיות". כמו כן חשוב לבדוק את הרגולציה הרלבנטית לתחום פעילותה של החברה ולבחון האם היא מתייחסת לסוגיות ביטוח Cyber כפי שקיים למשל בהוראות שונות של  ה-SEC בנוגע ל- Cybersecurity. הוראות רגולציה בנושאים אלה ברגולציה הישראלית, לא מתייחסות בצורה ברורה לדרישות ביטוח בניגוד לסיכונים אחרים כגון ביטוחי אחריות מקצועית וביטוחים נוספים הנדרשים בהוראות דין שונות על ידי רשות ניירות ערך, אגף שוק ההון ביטוח וחסכון והבורסה לניירות ערך בתל אביב.

בעת ביצוע ניתוח הכיסוי הביטוחי בפוליסות המסורתיות, מומלץ לבדוק את כל תיק הביטוח באופן יסודי. לעיתים מתקיימים מצבים בהם קיים כיסוי זמין לסיכוני סייבר על פי פוליסות ביטוח שאינן משווקות כ" cyberinsurance". למשל, במקרה שאירע לאחרונה בארה"ב נמצא כיסוי לנזק ולהפסד עקב פגיעה בבסיס נתונים, בסך של מיליוני דולרים, תחת פוליסת ביטוח פשע (Crime Insurance Policy). במקרה נוסף שארע לאחרונה, חברת הביטוח הודתה כי הרחבה שערכה לפוליסת Crime שלה, נועד לכיסוי סיכונים מסוימים עקב פריצת האקרים למסדי נתונים של מבוטחים.

לסיכום, סיכוני סייבר הם בלתי נמנעים, ואולם עם הערכות מתאימה וניתוח נכון של צרכי הביטוח של החברות, ניתן לגדר את הסיכונים ולצמצמם באופן משמעותי את החשיפה במקרה שיתרחשו, כמו גם לתת מענה ביטוחי הולם במקרה של התממשות הסיכון.

_______________

*שותף במשרד עורכי הדין זילברשץ, סלע, ברנדס המתמחה בדיני ביטוח וניהול סיכונים.

דף הבית | גירושין