היקף הנזקים של פשעי מרחב הסייבר עבר בהיקפו את היקף הסחר העולמי בסמים, ועוד היד נטויה. הדבר מחייב מתן תשובות לסיכונים אלה, הן טכניים והן ביטוחיים.

מהו עולם הסייבר?
עולם הסייבר הוא מרחב של אלקטרוניקה ומחשוב, ובמרכזו עולם האינטרנט.

עולם זה מורכב מרבדים שונים:

רובד פיזי – כלל רכיבי המחשוב והתקשורת – מעבדים, מחשבים, נתבים, מתגים וכו'.

רובד לוגי – קוד התכנה אשר מפעיל את רכיבי המחשוב וקובע כיצד יפעלו.

רובד אנושי – כלל האנשים המשתמשים ברשת – מהמתכנתים ועד למשתמשי הקצה.

מהו האיום?

הפעילות המאיימת עלולה לגרום לתוצאות הרסניות, הבאות לביטוי במגוון צורות:

  • הרס רכוש – כפי שקרה בתכנית הגרעין של אירן.
  • שיבוש מערכות חשמל – תקשורת, תחבורה, אבטחה וגרימת תאונות.
  • השבתת מערכות -למשל השבתת בנקים.
  • השחתת מידע ממוחשב.
  • סחיטה תוך איום בחדירה למערכת או בחשיפת מידע.
  • גניבת כספים מחשבונות בנק או ע"י תרמיות כרטיסי אשראי.
  • גניבת מידע סודי: צבאי, טכנולוגי, מסחרי, רפואי, וכו'.
  • גניבת זהות של אנשים ופעילות בשמות שאולים למטרות פליליות.

התוצאות האפשריות:

פגיעה חמורה במוניטין של החברה, הפסדים כספיים כבדים, צורך בדווח לנפגעים פוטנציאליים (כגון: לקוחות החברה), צורך בהחלפת מערכות מחשוב ותוכנה, חשיפה משפטית לתביעות ייצוגיות וכן תביעות מצד בעלי מניות כנגד ההנהלה והדירקטוריון.

חלק ניכר מהארגונים שמערכות המידע שלהן נפרצו כלל אינם מודעים, במשך תקופה ארוכה ואם בכלל לפריצה.

מבנה מערך הביטוחים ה"רגיל" של המאה ה-20 איננו נותן עוד מענה לסיכונים המתפתחים במאה ה-21. נבחן בקצרה דוגמאות של אירועים שונים, תוך התייחסות לפוליסות הביטוח המקובלות ביותר בישראל:

ביטוח רכוש ואובדן רווחים – תנאי ההפעלה של הפוליסה הוא נזק פיזי ממשי לרכוש המבוטח. אם תנאי זה איננו מתקיים הפוליסה איננה נותנת מענה לנזקים הישירים והתוצאתיים שעלולים להיגרם למבוטח עקב חדירה בלתי מורשית למערכות המחשוב.
הביטוח אינו מכסה נזק כלכלי שנגרם למבוטח עקב חדירה למערכות המחשב של המבוטח, גניבת מידע, השבתת מערכת ופגיעה במוניטין.

ביטוח אחריות כלפי צד שלישי – תנאי ההפעלה של הפוליסה הוא נזק ממשי לגוף או לרכוש שייגרם לצד שלישי. הפוליסה מחריגה מכיסוי: נזק פיננסי כספי שאיננו תוצאה ישירה של הנזק הפיזי לרכוש צד שלישי שניזוק.

ביטוח אחריות המוצר – תנאי ההפעלה של הפוליסה הוא נזק ממשי לגוף או רכוש שייגרם לצד שלישי. הפוליסה מחריגה נזק פיננסי כספי שאיננו תוצאה ישירה של הנזק הפיזי לרכוש צד שלישי שניזוק.

ביטוח אחריות מקצועית– ביטוח אחריות מקצועית אמור לתת פתרון למבוטח במקרה תביעה נגדו בגין נזקים שנגרמו צד שלישי (בעיקר לקוחות של המבוטח) עקב הפרת חובה מקצועית של המבוטח. כאן לא קיימת דרישה לקיומו של נזק ממשי , אך נדרש קיומה של "אחריות מקצועית", מונח שגבולותיו אינם ברורים.

על כל ארגון לשאול את עצמו – האם אנו מוכנים לאירוע של סיכוני סייבר? האם בידנו תוכנית חירום המגדירה כיצד לפעול ביום הדין?

ההגנה של האירגון מורכבת מרבדים של אמצעים המהווים מערכת לניהול סיכונים. תיק הביטוחים מהווה חלק חשוב מהמערכת, אך כפי שהובהר, לעולם איננו נותן מענה למכלול הסיכונים.

ענף הביטוח החל גם הוא לתת פתרונות ביטוחיים לארגונים מפני סיכוני סייבר. השוק הביטוחי לסיכוני הסייבר עדין נמצא בחיתוליו, ובישראל מספר מצומצם של סוכנויות ביטוח להן ידע מקצועי לטיפול ביטוחי בסיכוני הסייבר, למידע נוסף בתחום צרו איתנו קשר.

באדיבות אורי אורלנד
משרד יועצים לניהול סיכונים בע"מ