ביטוח סייבר – כל מה שצריך לדעת

חלק משמעותי מהפעילות העסקית הגלובלית עבר בעשור האחרון להתבצע באמצעות האינטרנט ובאמצעים טכנולוגיים.

ולא מדובר רק בסטארטאפים וחברות מסחר מקוון – קשה לחשוב על חברה אחת גם בתעשיות המסורתיות שאין לה פעילות עסקית המבוססת על טכנולוגיות שונות לניהול העסק, או בעלת נוכחות ברשתות החברתיות וברשת האינטרנט.

ולצד הערך העצום שיש לטכנולוגיה ולדיגיטציה עבור פעילותן של חברות רבות, היא חושפת אותן גם לסיכונים לא מבוטלים, כאשר אחד מהם הוא הסיכון שבהתקפות סייבר.

התקפות סייבר אינן דבר חדש, אך נראה שבשנים האחרונות הן נמצאות במגמת התגברות – האקרים, פושעים, חברות מסחריות ואפילו מדינות וצבאות פעילים היום בתחום, אם בצד המתגונן ואם בצד התוקף.

היקף פשעי הסייבר בעולם מוערך בכ-113 מיליארד דולרים בשנה, וההערכות הן כי מספר החברות שנפגעות בכל שנה מפשעי סייבר מתקרב לחצי מיליארד.

התקפת סייבר עלולה לגרום לנזקים כלכליים קשים לארגונים גדולים וקטנים, ובמקרים מסויימים אף לגרום להתרסקותה של חברה עסקית שלמה, ולכן יש חשיבות הולכת וגוברת בחברות רבות ליצירת תכנית להיערכות והתמודדות עם סיכוני סייבר.

תכנית כזו תגדיר בדרך כלל אילו סיכונים ניתן למנוע ובאילו דרכים, עם אילו סיכונים ניתן להשלים, ואילו סיכונים דורשים את העברת הסיכון לגורם חיצוני כגון חברת ביטוח.

1. מי צריך ביטוח סייבר?

ביטוח סייבר חשוב לכל מי שקיימת לו חשיפה משמעותי לפגיעה כלכלית פוטנציאלית בעקבות התקפת סייבר. 

במגזר הפרטי חשופים לאיומי סייבר בראש ובראשונה ארגונים וחברות, אך בשנה האחרונה מתחילות גם משפחות אמידות לרכוש ביטוחי סייבר לכיסוי פרטי, לכיסוי כנגד מקרים של בריונות ברשת, סחיטה מקוונת ופשעי סייבר אחרים.

ביטוח הסייבר הוא מוצר הביטוח הצומח ביותר בעשור האחרון, כאשר ההערכות בענף הביטוח הן שהיקף ביטוחי הסייבר בעולם ישלש את עצמו ב-3 השנים הקרובות ויגיע להיקף פרמיות עולמי של 10 מיליארד דולר.

2. אילו סכנות סייבר קיימות לחברות?

בסקר שנערך ביוני 2017, על ידי חברת SECOZ מקבוצת BDO זיו האפט בשיתוף חברת קונפידס, עולה כי מתוך מעל 150 ארגונים שהשתתפו בסקר, 42% עברו מתקפת סייבר בשלוש השנים האחרונות.

מבין סוגי המתקפות המובילת, השכיחה ביותר היא מתקפת "פישינג" (צוינה על ידי 64% מהמשיבים), ואחריה מתקפות המשלבות תוכנות סחיטה (כופרה) (צויינו על ידי 56% מהמשיבים).

א. גניבה של פרטי לקוחות ממאגרי הנתונים של החברה ("פישינג")

ביולי 2015 פרצו האקרים לאתר "אשלי מדיסון", שנועד לסייע לאנשים לנהל רומנים מחוץ לנישואים, וגנבו ממנו את פרטיהם של יותר מ-37 מיליון משתמשים רשומים.

בהודעתם כתבו ההאקרים "אנחנו נפרסם את המידע על הלקוחות, פרופילים עם כל הפנטזיות המיניות שלהם, תמונות עירום ושיחות בנוסף לכרטיסי אשראי תואמים ועסקות, שמות אמיתייים וכתובות, כמו גם מסמכים וכתובות דוא"ל של עובדים. טרבור, אחראי תחום הטכנולוגיה בחברה, אמר פעם כי 'ההגנה על המידע האישי' היא גורם ההצלחה הקריטי ביותר. ובכן טרבור, ברוך הבא לסיוט הגרוע ביותר שלך".

וההאקרים של אשלי מדיסון לא הגזימו – מתקפת הסייבר הזו איימה למוטט את החברה, וגרמה לה נזק תדמיתי ועסקי משמעותי.

ואשלי מדיסון לא לבד כמובן – מקרים ידועים נוספים של גניבת פרטי לקוחות באמצעות מתקפות סייבר:

מרץ 2015 – פריצה לאתר ebay וגניבת פרטיהם של 233 מיליון משתמשי האתר.

אפריל 2015 – פריצה למחשבים של סוכנות פדראלית בארצות הברית, וגניבת פרטיהם של 4 מיליון עובדים בשירות הממשל.

יולי 2015 – פריצה לאתר הבנק המרכזי של אירופה (ECB) וחשיפת פרטים של כ-20,000 מלקוחות הבנק.

דצמבר 2016 – חברת יאהו מעדכנת שפרטי 500 מיליון לקוחותיה נגנבו בשנת 2013, דיווח שפגע בערך החברה בכ-350 מיליון דולר.

נראה שאיש לא באמת חסין.

ב. גניבת מידע רגיש והפצתו

הבחירות לנשיאות ארה"ב ב-2016 היו חסרות גבולות במובנים רבים, ובהם גם במובן של מעורבותם לכאורה של האקרים רוסיים אשר תקפו את שרתי המחשבים של המפלגה הדמוקרטית, גנבו מהם מידע והשתמשו בו על מנת להשפיע על תוצאות הבחירות.

הסיכון הזה תקף כמובן גם לחברות וארגונים ולא רק למפלגות – הפצתם ברבים של התכתבויות פנימיות בתוך החברה, או של נתונים עסקיים חסויים, עלולים לפגוע באופן משמעותי בתדמית החברה ובפעילותה.

ג. ריגול ואיסוף מודיעין עסקי על ידי מתחרים

השימוש במתקפות סייבר כחלק מאיסוף מודיעין עסקי על ידי חברות מתחרות הוא נושא פחות מדובר אך בעל משמעות גדולה לחברות לא מעטות.

נתוני פעילות עסקית, התכתבויות בנוגע למיזמים ופיתוח עסקי צפוי – מתקפות סייבר עסקיות עלולות להיות קטלניות, גם כשהן סמויות מן העין.

לפי נתוני Verizon, כ-21% מהתקפות הסייבר בשנת 2016 היו מתקפות ריגול ואיסוף מודיעין, כשהנפגעים העיקריים היו ארגונים ממשלתיים, מפעלי ייצור ואוניברסיטאות.

ד. מתקפות כופר

מתקפות כופר הן מתקפות סייבר שבמהלכן חוסמים הפורצים את מחשבי או מערכות הגורם המותקף, ודורשים כופר כספי עבור שחרור המערכות וחזרתן לשגרה.

במהלך שנת 2016 ניכרה מגמת עלייה משמעותית בהיקף מתקפות הכופר נגד ארגונים וחברות, בדגש על ארגונים ממשלתיים, בתי חולים ושירותים פיננסיים.

מאי 2017 – מתקפת סייבר נגד כ-100 מדינות, שבין היתר השביתה את שירותי הבריאות של בריטניה, משרדי ממשלה ברוסיה, את חברת FedEx ומספר מפעלי רכב אירופאים.

ה. מתקפות לפגיעה תדמיתית

מרץ 2017 – מתקפת סייבר על טוויטר שיצרה ציוצים אוטומטיים אנטי אירופאים מחשבונות כמה מהמותגים הגדולים בעולם.

ו. מתקפות לגרימת נזק פיזי

מתקפות סייבר שפחות נפוצות עדיין בעולם העסקי, אך קיימות בעולם הצבאי-בטחוני ועלולות לחלחל גם למגזר העסקי (מישהו דיבר על התולעת בכור האירני?).

3. מהו ביטוח סייבר?

פוליסת ביטוח סייבר (או ביטוח לסיכוני סייבר), נועדה לסייע לחברות להקטין את החשיפה שלהן לנזקים כספיים הנגרמים בעקבות מתקפות או פרצות סייבר, באמצעות פיצוי כספי המאפשר לחברה זמן להתאושש ולשקם את פעילותה ותדמיתה.

​​אין כיום פוליסה אחידה לביטוחי סייבר, אך רוב הפוליסות מכסות בדרך כלל הוצאות ונזקים הקשורים לחברה המבוטחת עצמה, וגם תביעות נזיקין שמקבלת החברה המבוטחת מגורמים אחרים ("צדדים שלישיים" בשפת הביטוח).

בין ההוצאות שמכסות פוליסות ביטוח הסייבר ניתן למצוא בדרך כלל:

1) אובדן הכנסות – פיצוי עבור אובדן הכנסות בעקבות פגיעה מתמשכת במערכות המבוטח, כתוצאה ישירה מכשל באבטחת מידע.

2) צד שלישי – תשלום נזקים לגורם חיצוני (צד שלישי) בגין חשיפת או אובדן מידע אישי ותאגידי.

3) סחיטה / כופר – פיצוי עבור כספים ששולמו בעקבות מתקפת כופר או איום בסחיטה.

4) הוצאות עבור סיוע של מומחה סייבר ויועצי מדיה – במקרה של משבר.

5) תשלום קנסות רגולטורים – קנסות החלים על המבוטח בגין הפרת הפרטיות ופגיעה בחופש המידע.

חשוב לזכור כי תחום הסייבר דינמי מאוד וכי תחום ביטוח הסייבר עוד יחסית בחיתוליו, כך שגם הכיסויים הללו צפויים להשתנות עם הזמן.

4. למה חשוב לשים לב בעת קניית ביטוח סייבר

לא כל חברות הביטוח בישראל מציעות כיום ביטוחי סייבר. בין היחידות שכבר פועלות בתחום ניתן למצוא את הראל, מנורה, AIG וכלל.

הפוליסות שמציעות החברות שונות זו מזו בכיסויים ובמחירים, וחשוב לוודא שהפוליסה שאתם בוחרים היא אכן הפוליסה המתאימה לצרכים העסקיים שלכם.

נושאים שחשוב לשים אליהם לב בעת בחינת ביטוח סייבר:

א. האם חברת הביטוח מציעה פוליסת ביטוח סייבר העומדת בפני עצמה או שמדובר בהרחבה לפוליסה קיימת? ברוב המקרים, פוליסה העומדת בפני עצמה תיתן מענה מקיפה ומותאם יותר לצורך.

ב. האם ניתן לבצע התאמות בפוליסה בהתאם לצרכי החברה?

ג. מה גובה ההשתתפות העצמית?

ד. מהו היקף הכיסויים ומהן המגבלות הקיימות בפוליסה באשר לכיסוי למבוטח ולצד השלישי?

5. כמה עולה ביטוח סייבר?

ביטוח סייבר בסיסי לעסק קטן או בינוני עולה כמה מאות ש"ח לשנה, עם השתתפות עצמית שנעה בין 2,500-4,000 ש"ח לכל מקרה ביטוח.

ההערכות בענף הביטוח הן שחלק מהכיסויים לאיומי סייבר יהפכו להיות חלק אינטגרלי מכל פוליסה לביטוח דירה או עסק.

6. רשימת סוכנויות ביטוח המשווקות ביטוחי סייבר

אספנו עבורכם את מיטב המומחים לביטוחי סייבר, לקבלת פרטים נוספים מלאו את הטופס הבא