מה שבטוח – ביטוח סייבר; חלק ב'

ביטוח הסייבר הוא נושא שהולך וצובר תאוצה בזמן האחרון, לאור גלי התקיפות הרבים נגד ארגונים וגורמי ממשל. חברות רבות רוצות לבטח את עצמן מפני מקרים כגון אלה ולדעת כי יקבלו פיצוי במקרה שחלילה יעברו תקיפה.

יום עיון שנערך באחרונה עסק בנושא זה. את היום, שהתקיים תחת הכותרת "פוליסות ביטוח סייבר – חשיפות לסיכוני סייבר בקרב עסקים", ערך משרד עורכי הדין הרצוג פוקס נאמן (HFN) במקום מושבו בבית אסיה בתל אביב, והשתתפו בו מיטב המומחים בתחום.

המשרד כולל צוות סייבר שמלווה חברות וארגונים בכל הנוגע להיבטים הרגולטוריים והאסטרטגיים המורכבים שחלים על מוכנות והגנת הארגון מפני איומים. כיוון שרבים מלקוחות המשרד הם תאגידים בינלאומיים, לצוות ניסיון רב בייעוץ בנושא. בהרצוג פוקס נאמן החליטו לקיים את יום העיון לאחר שקיבלו שאלות רבות שקשורות לסוגיה החמה הזאת.

הנמר בדרכים

השאלה הראשונה המתבקשת איתה ניסו להתמודד המומחים שהשתתפו באירוע היא: האם יש בכלל צורך בפוליסות? כלומר: האם לא ניתן להסתפק בביטוחים הקיימים כיום בשוק, דוגמת ביטוח חבות מוצר, ביטוח אחריות לנושאי משרה ומנהלים או ביטוח מערכות ממוחשבות? היותו של עולם ביטוחי הסייבר חדש, דינמי ומורכב, המצריך מומחיות ביטוחית והבנה טכנולוגית לצד מומחיות משפטית ורגולטורית, מביא לשאלות פרקטיות רבות: כיצד ידעו חברות מפני אילו תרחישים עליהן להתגונן ומפני אילו תרחישים לא יהיו מוגנות, על אף הפוליסה שירכשו? כיצד נקבע המיון? גובה הפרמיה? ותחת אילו משטרי רגולציה וסטנדרטים פועלות החברות?

סוגיה נוספת שעלתה היא: מהו מועד הכיסוי? האם הפוליסה חלה מהיום בו נרכשה או שמא גם לגבי אירועי אבטחה שקדמו לרכישת הביטוח אך התגלו רק לאחריה? דוגמה לכך היא אירוע דליפת המידע ברשת מלונות ווינדהם, שבמסגרתו דלפו פרטי כרטיסי אשראי של כ-70 אלף לקוחות ושנבע מתקיפת האקרים שאירעה שנתיים וחצי לפני גילויה.

האם יש צורך בביטוח סייבר?

אולי בימינו הכול נראה עמום וערטילאי, אבל כפי שהוכח בהיסטוריה, פעמים רבות קיים צורך באירוע מכונן כדי להביא להבנה שאכן, יש צורך בביטוח כזה או אחר.

דוגמה קלאסית לכך היא השריפה הגדולה בלונדון, שהתרחשה ב-1666 והביאה לכליה של 13 אלף מבנים. שריפה זו היא שגרמה לשינוי התפיסה בנושא הביטוח כצורך הכרחי. באנלוגיה לכך, ניתן לשאול אם גם כיום צריכים נושאי המשרה הבכירים בחברות לחכות ל-"שריפת המידע" הגדולה על מנת להתעורר.

המסקנה מיום העיון היא שכך או אחרת, נראה שביטוח הוא חוליה אחת מתוך שרשרת הכלים – טכנולוגיים, תאגידיים ומשפטיים – המומלצים לכל תאגיד החשוף לסיכוני מערכות המידע שלו. שילוב הכלים הללו, בהתאמה אישית לאופי התאגיד ולסיכונים הרלוונטיים לו, הוא שיסייע לו ולנושאי המשרה שבו להפחית את הסיכון לאירוע סייבר והוא שיתווה את הדרך להתמודדות נכונה עם אירוע כזה.

מה היה עוד באירוע?

יצוין כי את צוות הסייבר של הרצוג פוקס נאמן (HFN) מובילים עורכי דין בעלי מומחיות מעשית ורגולטורית ייחודית בתחום, בהם עו"ד ד"ר נמרוד קוזלובסקי, עו"ד אריאל יוספי, עו"ד יהונתן אלכסנדרון-מושונוב ועו"ד דניאל רייזנר.

רון גוטלר, יו"ר דירקטוריון המכללה למנהל, יו"ר ה-Audit Committee ב-Wix ובסייברארק (CyberArk) ולשעבר יו"ר Nice Systems, פתח את יום העיון בהרצאה בנושא התמודדות הדירקטוריון עם אירוע סייבר. אחריו הרצתה עו"ד קרן אלבורג-רימון מהרצוג פוקס נאמן על מגמות בפסיקה בכל הנוגע לכיסוי ביטוחי לאירועי סייבר

ב-"פריצה" לא מתוכננת מראש הפתיע ענבר רז, VP Of Research בפרימטריקס, כשעלה על הבמה (בהזמנת ד"ר קוזלובסקי). הוא הראה עד כמה קל לפרוץ לעסקים, קטנים וגדולים, דווקא מבפנים, מתוך הרשתות שלהם. כמו כן, הוא הראה עד כמה חשופים ארגונים המצוידים במיטב כלי אבטחת המידע והסייבר כשהם משאירים נקודות גישה זמינות לפריצה בשקעי הרשתות המקומיות ובנתבים האלחוטיים שלהם.

סיים את האירוע פאנל בהנחיית ד"ר קוזלובסקי, בו השתתפו שי סימקין, מנכ"ל האודן ישראל ומנהל תחום ביטוחי סייבר בהאודן העולמית; עו"ד עודד חיימוב, מנכ"ל לידרים; איתן ברמלר, סמנכ"ל שיווק ומוצרים ב-Safe-T; שרון שחם, סמנכ"לית אגף ביטוח מסחרי ב-AIG ישראל; עו"ד יעל פינקלמן-נייגר, חתמת ראשית ומנהלת מחלקת סיכונים מיוחדים בתחום העסקים וביטוחי משנה במנורה מבטחים; ואריאל קירסון, מנהל אבטחת מידע בפיתוח מוצרים ב-BMC.

רון גוטלר, יו"ר דירקטוריון המכללה למנהל, משתף מניסיונו בדירקטוריונים

ענבר רז, VP Of Research בפרימטריקס, מדגים פריצות שיכולות להתבצע בקלות דרך הקופה הרושמת או הנתב האלחוטי לגניבת מידע יקר ערך, כמו פרטי כרטיסי האשראי של לקוחות

ממה יש להיזהר, על פי ענבר רז

עו"ד קרן אלבורג-רימון מהרצוג פוקס נאמן (HFN)

הרוח החיה על הבמה ומנחה הפאנל, עו"ד ד"ר נמרוד קוזלובסקי מ-HFN

הפאנליסטים. מימין: איתן ברמלר, שי סימקין, עודד חיימוב, שרון שחם, יעל פינקלמן-נייגר ואריאל קירסון

לחלק א' לחצו כאן.