יחד עם אירועי הסייבר הגוברים בישראל ובעולם, גם שוק ביטוחי הסייבר מצוי בימים אלה בהתפתחות מואצת. בחודש נובמבר 2020, במפגש השנתי של הפורום לפיתוח כלכלי בין ישראל לארצות הברית, התייחס הממונה על שוק ההון ביטוח וחיסכון, ד"ר משה ברקת, לעולם הביטוח והסייבר, מתוך ראייה אינטגרטיבית של הסיכונים הגלומים בתחום הזה וההזדמנות בביטוח סייבר, תוך שיתוף פעולה של ממשלות וגופים מבטחים, באומרו:
"...בשנים האחרונות קיימת עלייה במכירת פוליסות כנגד סיכוני סייבר כתוצאה מהתגברות תמידית בשימוש בטכנולוגיה על ידי ארגונים. סיכוני סייבר עשויים להגיע ממספר גורמים, אשר חלק מהם עשויים אף להיות מוגדרים נזק עליון או נזק טרור/מלחמה...הרחבת ביטוחי הסייבר ותמריצים לקידום ופיתוח ביטוח זה עשוי להוות גורם משמעותי בתהליך המיטיגציה של סיכוני סייבר.
ביטוחי הסייבר כוללים בתוכם גם חבל הצלה לארגונים ולמשק, מעבר לכיסוי החבות, באמצעות העלאת רף ההתמודדות וניהול הסיכונים והחדרת אמצעי ניהול סיכונים אקטיביים ומניעה משמעותיים יותר, לרבות ניטור מתמיד ושימור הידע הארגוני. למהלך רחב כזה יש לא רק תועלת למבוטחים ולמשק, אלא גם תועלת למבטחים בכך שחברת הביטוח הופכת לא רק למוכרת מוצר, אלא גם לספק שירותי אבטחת סייבר מתמשכים, לצד מתן הכיסוי הביטוחי...".
הכוונה חדשה שפורסמה בחודש שעבר על ידי הרגולטור של חברות ביטוח וגופים פיננסיים במדינת ניו יורק - New York Department of Financial Services NYDFS), להלן - DFS) מספקת קווים מנחים לגופים המבטחים לניהול "מסגרת לסיכוני ביטוח סייבר" (Cyber Insurance Risk Framework), ובד בבד נותנת פרספקטיבה לתפקידים שעשויות חברות הביטוח למלא בהשפעתן על רמת הגנת הסייבר של מבוטחיהן ושל המשק בכלל.
הנייר פורסם בתום עבודת מטה מעמיקה, שכללה התייעצויות רבות עם תעשיית הביטוח, מומחי ביטוח סייבר, מומחי סייבר ורגולטורים לתחום הביטוח מארה"ב ומאירופה, והוא כולל שבע "פרקטיקות טובות" אשר מבטחי רכוש וחבויות נקראים לאמץ על מנת לשפר את ניהול סיכוני ביטוח הסייבר. גם מבטחים שאינם מציעים פוליסות סייבר ייעודיות, נקראים להעריך חשיפתם ל"סיכון השקט" ולנקוט בצעדים להפחתתו.
הרקע למסמך נובע מההכרה כי סיכוני הסייבר, שהתעצמו בתקופת הקורונה, ילכו ויגברו בשנים הקרובות, ועל כן נצפה גם זינוק בשוק ביטוחי הסייבר. ככל שסיכוני הסייבר גדלים, כך גם גדלים הסיכונים של מבטחי הסייבר. סקר שערך ה-DFS בשנת 2020 מראה עליה משמעותית בשנים האחרונות במספר תביעות הביטוח הנובעות מאירועי כופרה, ועלייה בעלות הממוצעת לתביעת כופרה. הביטוח מתואר כאמצעי חשוב לניהול ולהפחתת סיכוני הסייבר.
הנייר כולל דגשים המיועדים למבטחים ביחס לאומדן סיכוני סייבר והערכת הסיכון למבוטחים, טרם הצעת מוצר ותמחור לארגונים. בין היתר מושם דגש על -
- הצורך בניהול סיכונים בהתאמה לסוג המגזר והארגון ותוכנית הגנת הסייבר שלו.
- התייחסות לסיכון "הסיסטמטי" (systematic risk), שכן כאשר מדובר בספק תוכנה או חומרה לארגונים רבים, הסיכון המצרפי עלול להיות גבוה מאוד (הנייר מזכיר בהקשר זה גם את אירועי הסייבר SolarWinds שהתרחשו לאחרונה בארה"ב).
- הסיכון ה"שקט" ((silent risk, זה הנשקף מפוליסות "שקטות", שאינן מתייחסות במפורש לסייבר, אך עלולות להתפרש כמכסות אירועי סייבר, מבלי שהסיכון נלקח בחשבון מראש ותומחר במסגרת הפרמיה (מודגש בהכוונה, כי בעקבות אירועי הסייבר NotPetya משנת 2017, עיקר הסכומים הגבוהים שמבטחים נדרשו לשלם היה על בסיס פוליסות "שקטות" כאלו).
ביחס לתשלום כופרה, על רקע ההתרעות שהוצאו מטעם משרד האוצר בארה"ב באוקטובר 2020 (לעניין תשלום כופרה והאפשרות להפרה של דיני איסור הלבנת הון, איסור מימון טרור או סנקציות אמריקאיות), ה - DFS בחר בעמדה נחרצת יחסית בנושא, והוא ממליץ להימנע מתשלום כופרה על מנת למגר את פשיעת הסייבר ותופעת הכופרה, והתמריצים לה.
מהן איפוא אותן "פרקטיקות טובות" שמבטחי רכוש וחבויות נקראים לאמץ על מנת לשפר את ניהול סיכוני ביטוח הסייבר?
- בראש ובראשונה, גיבוש אסטרטגיה לניהול סיכוני סייבר בביטוח, שתאושר ככלל, על ידי ההנהלה והדירקטוריון של חברת הביטוח, כולל יעדים כמותיים ואיכותיים להערכת הסיכון. על האסטרטגיה לכלול את שש הפרקטיקות הטובות שיפורטו להלן.
- ניהול ה"סיכון השקט" והפחתתו (עד כדי שלילתו) - כיוון שסיכון לא מתומחר עלול לחשוף את המבטח לעלויות בלתי צפויות, יש למפות את החשיפות הפוטנציאליות בגין אירועי סייבר, ולהגדיר במפורש בכל פוליסה האם היא מכסה גם אירועי סייבר. כיוון שהתהליך צפוי לארוך זמן לאור ריבוי הפוליסות, נוכח חוסר הוודאות, מצוינת חשיבות קיומו של ביטוח משנה.
- הערכת סיכונים "סיסטמטיים" מצדדים שלישיים – בהתאם להמלצה זו, לאור ההסתמכות של ארגונים רבים על ספקי שירותים (לדוגמא ספקיות ענן), על מבטחים להבין מיהם הצדדים השלישיים הקריטיים למבוטחיהם, ולמדל את האפקט של אירוע סייבר קטסטרופלי על צדדים שלישיים אלה, כאשר עלולים להיגרם נזקים סימולטניים לרבים ממבוטחיהם. אירוע מסוג זה עלול להוביל לנזקים כבדים, ולסכן את היציבות הפיננסית של מבטחים.
- הערכת סיכוני מבוטחים באופן פרטני – ההמלצה קוראת לגבש תוכנית מקיפה מבוססת נתונים (data-driven) של כל אחד מהמבוטחים. תוכנית זו תכלול בין היתר, איסוף נתונים מקיף על רמת הגנת הסייבר של מבוטחים על בסיס סקרים וראיונות, ותבחן קיומם של בקרות ומימשל תאגידי; בקרות גישה; ניהול חולשות; הצפנה; ניטור; תוכנית ניהול ותגובה לאירועי סייבר; מדיניות אבטחת צדדים שלישיים. הדבר יאפשר למבטח להעריך פערים וחולשות פוטנציאליים אצל המבוטח. בין הכלים להערכת סיכוני המבוטח, ייבחנו גם מקורות מידע מטעם צדדים שלישיים (ניהול סיכונים חיצוני) וכן תיערך השוואה לנתוני תביעות מהעבר לזיהוי הסיכון.
- חינוך המבוטחים וסוכנויות הביטוח בדבר הצורך, היתרונות והמגבלות בביטוח סייבר – המבטחים נקראים לספק למבוטחים מידע על הגנת סייבר, לתמחר את הפוליסות בהתאם לאפקטיביות תוכניות הגנת הסייבר של המבוטחים, ובכך לתת למבוטחיהם תמריץ לנקיטת צעדים לשיפור הגנת הסייבר, ולהפחתת סיכונים מאירועי סייבר. המבטחים עשויים להציע למבוטחים מגוון של שירותים, ובהם שירותי הגנת סייבר מוזלים, הערכת מצב של הגנת סייבר ארגונית והמלצות לשיפור. ההכוונה קוראת לקדם יוזמות אלה ולהרחיבן בסוגים, בהיקף ובמגוון. בנוסף המבטחים נקראים לפעול גם להדרכת סוכני הביטוח ביחס לחשיפות סייבר פוטנציאליות, וביחס למגבלות המוניטריות על חברות הביטוח.
- פיתוח מומחיות סייבר אצל המבטחים – המלצה זו מתייחסת לצורך בפיתוח כח אדם מתאים ומנוסה בענייני סייבר בחברות הביטוח, לרבות לצורכי ניהול סיכונים.
- הצעה להכללת דרישה בפוליסות, לפיה מבוטחים ידווחו על אירועי סייבר לרשויות אכיפת החוק. בהקשר זה, מפורטת התרומה הפוטנציאלית של רשויות להתנהלות קורבן באירוע סייבר, בין היתר במודיעין שאינו גלוי למגזר הפרטי ובחסימת העברות כספים בלתי מורשות הנעשות באמצעים אלקטרוניים, כמו גם התרומה למוניטין הקורבן שדיווח, כאשר אופן תגובתו ייבחן על ידי בעלי מניות, רגולטורים והציבור. כמו כן נזכרת התועלת הציבורית הצפויה בשל מעורבותן של הרשויות, הן באפשרות לנקוט הליכים כלפי התוקפים, הן ביכולת להתריע בפני קורבנות פוטנציאליים, והן לצורך הרתעה מפני פשעי סייבר עתידיים.
לסיכום, בשיח המתפתח בארה"ב בעקבות המסמך של ה-DFS, נשמעות טענות כי בהכוונה זו ישנם עמימות ופערים פרשניים, ולצידן טענות הפוכות, לפירוט יתר. בשורה התחתונה, כפי הנראה, מדובר בצעד ראשון מסוגו מטעם רגולטור מדינתי בארה"ב, לספק הכוונה למבטחים בנושא ניהול סיכוני סייבר בפוליסות, ומכאן חשיבות המהלך ותשומת הלב לה הוא זכה בארה"ב.
מעבר להמלצות הקונקרטיות המכוונות לחברות הביטוח, נראה כי המסמך מחזק את הגישה הרואה בחברות הביטוח כממלאות תפקיד מעין "רגולטור" בלתי רשמי, להעלאת רמת הגנת סייבר ולהשפעה חיובית על התנהלות הציבור, במתן תמריץ לבעלי הפוליסות לשפר את הגנת הסייבר בארגונים. על פי המסמך, הביטוח אינו מוצג כתחליף לעיסוק הארגון בהגנת סייבר, אלא להיפך, הפוליסות יתומחרו על בסיס אפקטיביות תוכנית הגנת הסייבר הארגונית.
על רקע ההתפתחויות בשוק ביטוח הסייבר הגלובאלי, ולצידן המהלכים בישראל ופרסום טיוטת הנחייה בשלהי שנת 2020 מטעם הממונה על רשות שוק ההון, ביטוח וחיסכון, לפיה על חברות הביטוח לנתח ולמפות את רמת חשיפתן לסיכוני סייבר בפעילות הביטוחית, דומה כי במיוחד בעת הנוכחית, המסגרת המוצעת בנייר לניהול סיכוני סייבר יכולה לשמש כמקור נוסף לבחינה ולהתייחסות גם בשוק הביטוח בישראל.
*הכותבת היא שותפה וראש תחום סייבר ו-AI במשרד ליפא מאיר (לשעבר ראש תחום מדיניות ויוזמות בינלאומיות במערך הסייבר הלאומי).