ביטוח סייבר וכאלה
עוד תחום שצובר תאוצה בעקבות אבטחת מידע וסייבר בתקופה האחרונה הוא ביטוח סייבר.
ביטוח סייבר… צריך אותו? יכול להועיל לארגון? ומהו בכלל ביטוח סייבר? אז משהו קצת שונה מכל המאמרים הטכניים שאני כותב.
באופן אישי אני וביטוחים לא מסתדרים כל כך טוב וגם לא מעניין אותי אותי התחום אבל שנשאלתי על הנושא הזה הייתי חייב לברר מי, למה וכמה.
בשנה האחרונה הותקפו ארגונים רבים בעולם בינהם ארגונים ישראלים במתקפות סייבר שונות, חלקם בצורה מזערית עם מתקפות כופר וחלקם בצורה הרסנית יותר עם ריגול תעשייתי שגרמו נזק כלכלי לארגון.
למשל רוב הארגונים שנפגעו במתקפות כופר נאלצו לשלם את הכופר ויצאו בנזק קטן של עשרות אלפי דולרים אך ישנם חברות שהותקפו במתקפות סייבר חמורות יותר ויצאו בנזק גדול יותר ואחת הודגמאות הבולטות היא חברת Target האמריקאית שהותקפה ובמהלך המתקפה נגנב מידע של לקוחות החברה. הנזק בנגרם לחברה הוא אחד הגדולים במתקפות סייבר של השנים האחרונות עם נזק שנאמד בסכום של 148 מיליון דולר. למאמר המלא Target Puts Data Breach Costs at $148 Million .
והשאלה המעניינת היא איך חברה שעברה מתקפת כזאת לא קרסה? בגלל סיבה מאד פשוטה, ביטוח סייבר שנתן מענה וכיסוי לכל המתקפה והנזק שנגרם.
דוגמאות מוכרות בעולם
- הבנק המרכזי של אירופה הודיע על פריצת סייבר וכתוצאה מכך נחשפו פרטים של 20,000 משתמשים
- אתר המכירות EBAY נפרץ והצליחו לגנוב פרטים של 233 מיליון משתמשים
- במתקפה מול אתר הבגידות אשלי מדיסון פורסמו נתונים של 37 מיליון משתמשים
לצד המתקפות האלה ישנם מתקפות רבות שכוללות בין היתר ריגול תעשייתי, מתקפות כופר, מתקפות ממודקות, גניבת מידע (זהויות ופיננסי) והרשימה ארוכה ולכן כלל הארגונים ללא יוצא מן הכלל חשופים למתקפות אלה החל מארגונים קטנים ועד לארגוני ענק וההשלכות העלולות להיגרם כתוצאה מכך הן הרסניות וקיצוניות אפילו לקריסת הארגון.
אז מהיכן הגיע כל הצורך בביטוח סייבר
התפתחות הסייבר בשנה האחרונה עשתה קפיצה ענקית וכלל הארגונים תלויים בתפקודו התקין של הסייבר בעיקר בגלל התפתחות סיכונים ואיומים שהולכים וגוברים ונעשים דינמיים מול מערכות המחשוב בארגון. סיכונים אלה שינו את התפיסה הארגונית וחייבו את מערך אבטחת מידע להתייחס לכל אותם סיכונים ואיומים בצורה אחרת ממה שהיה עד כה, והדוגמא לכך הם ההשקעות והמיקוד שנעשה בתחום אבטחת המידע והסייבר בארגון.
במקביל להתפחות הסייבר, הסיכונים, האיומים וקצב חידוש סוגי המתקפות נעשה תהליך של ניהול והערכת סיכונים ע”י פעולות רקורסיביות וע”י שיטות שונות שתפקידן לגלות את הבעיות ולדווח על כך בכדי שהארגון יוכל לתת מענה לכל אותם בעיות שנתגלו.
לצד ההשקעה שהארגון מיישם בתחום הסייבר עדיין הארגון עלול להיות חשוף למתקפות שונות כדוגמת Zero-Day ולכן כאן נכנס משהו חדש שנקרא ביטוח סייבר שנותן מענה לנזקים שעלולים להיגרם עקב מתקפת סייבר.
מה זה בכלל ביטוח סייבר
המושג הכללי של ביטוח סייבר מובן אבל ישנם מספר שאלות שנובעות מתוך המושג הזה של ביטוח סייבר:
- מה זה אומר ואיך אפשר בכלל לבטח סייבר?
- האם אפשר להעריך את הסיכונים, הרי כל יום ישנה מתקפה חדשה?
- מה ניתן לכסות בביטוח כזה ואיזה צד מבטחים?
כאשר שאלתי מספר אנשי ביטוח לגבי ביטוח סייבר קיבלתי מידע כללי והבנתי שכל התחום הזה חדש ועדיין אין קונספט ברור, כאשר עושים ביטוח סייבר הוא נותן מענה וכיסוי לארגון עצמו בצורה ישירה ולנזק שנגרם בעקבות המתקפה (במושגי הביטוח כיסוי ישיר וצד ג).
ביטוח סייבר נחלק למספר חלקים עיקריים:
- כיסוי נזקי הארגון – אובדן הכנסות כתוצאה ממניעת גישה למערכות המחשב ומניעת שירות, פגיעה במוניטין, נזק למערכות המחשב עצמן ותשלום כופר במקרי סחיטה
- כיסוי נזק צד ג’ – נזק פיננסי שנובע ממתקפת סייבר וגרם לדליפת מידע של צד שלישי, פגיעות אישיות בצד שלישי והחדרת וירוסים למחשבי צד ג’
- ניהול אירוע – באירועי סייבר נדרשת תגובה מהירה של אנשי סייבר בכדי לבצע בדיקת נזקים ולאתר את החדירה ולאחר מכן לסדר את הנזק שנגרם למחשוב בארגון
איפה האתגרים בביטוח סייבר
ביטוח סייבר הוא משהו יקר מאד וכמובן שעלול לעלות לחברת ביטוח מיליוני דולרים במיוחד אם מדובר על מתקפות שגרמו נזק רציני, אך הבעיה הגדולה נמצאת בהערכות והיעדר נתונים של חברות הביטוח מול תחום הסייבר.
- בחירה שלילית – למבוטחים פוטנציאליים יהיה ידע רב יותר על שיטות העבודה ועל החולשות של מערכות המידע מאשר למבטח בעצמו. מדובר במידע א-סימטרי בין המבטח למבוטח.
- סיכון מוסרי – חברות הביטוח אינן יכולות לדעת בוודאות האם ארגונים יבצעו את כל הדרוש למנוע מתקפת סייבר
- היעדר נתונים – חברות ביטוח יודעות לנהל סיכונים כדי לקבוע את מחיר הפרמיה של הביטוח אך בבתחום הסייבר אין מספיק מידע כדי לבחון את הסיכונים ולקבוע את הפרמיות
לסיכום
ביטוח סייבר הוא משהו טוב שיכול לסייע לארגון ברגע שייכנס למצב קיצוני עקב מתקפת סייבר ויכול להציל את החברה מקריסה, ישנם מספר סברות לגבי איזה סוגי ארגונים יכולים להרשות לעצמם ביטוח סייבר, למשל ארגונים מבוססים כלכלית, ארגונים שאינם יכולים להשקיע במערכות סייבר או ארגונים שמחויבים לכך.
ביטוח סייבר מצריך מארגונים לעמוד בתקן כלשהוא בכדי שיהיה מוגן עם המערכות הרלוונטיות על מנת שיוכלו לבטח את הארגון ללא חשש, לכן ההמלצה האישית שלי היא שכדאי ליישם את המערכות סייבר הרלוונטיות שמקטינות את הסיכוי להיות מותקף או לגרום לנזק מזערי ככל האפשר.
