סיכוני סייבר בעתות מלחמה והאפשרות לנהל את הסיכון באמצעות ביטוח

הכותב, עו”ד אלדד נוי, הינו מנהל מחלקת סייבר וטכנולוגיה בברוקר הביטוח WTW

שהינו חברה הנסחרת בנסדא”ק עם שווי שוק של 25 מיליארד דולר ופועלת עם 45,000 עובדים מ 140 מדינות

בעולם שהופך תלוי יותר ויותר במערכות ממוחשבות וטכנולוגיות, איומי סייבר הפכו כיום לאחד הגורמים שהכי מסכנים את ההמשכיות העסקית של ארגונים וחברות. הדברים מקבלים משנה תוקף בעת חירום ובתקופות מלחמה,

בהן אנו עדים להתקפות סייבר רבות ממניעים פוליטיים ואידיאולוגיים. השלכותיהן של המתקפות עלולות להיות הרסניות, החל מפרצות המסתיימות בדלף מידע רגיש ועד לשיבוש מוחלט של מערכות ותשתיות לרבות נזקים פיזיים.

השפעתן של מתקפות סייבר עלולות להיות הרסניות לא פחות מנזקי הלחימה  המסורתית.

 

החל מה- 7.10.2023 חלה עלייה דרמטית בכמות אירועי הסייבר בישראל, כאשר קבוצות תקיפה רבות המזוהות עם ארגוני טרור ומדינות עוינות, מנסות להוציא לפועל מתקפות סייבר כנגד ארגונים ישראליים ויהודים.

מבין שלל האירועים, מתנהל כעת אירוע סייבר משמעותי ומורכב המשפיע על חברות וארגונים  רבים בישראל. המתקפה בוצעה נגד חברה ישראלית העוסקת בתחום אחסון אתרים ומידע ואשר מספקת גם שירותים רבים נוספים, לרבות פתרונות לקנייה מקוונת ושירותי פיתוח.

מהממצאים עולה שהמתקפה התבססה על נוזקה חדשה ואלימה במיוחד המופעלת ע”י קבוצות תקיפה התומכות בחמאס. הנוזקה הינה מסוג Wiper שכל מטרתה להשמיד מידע ותוכנות כמה שיותר מהר.

בעקבות האירוע החברה המותקפת חדלה מפעילות והשפעות המתקפה מורגשות היטב גם אצל לקוחות החברה שהותקפה (הפעילות של חלקם אף מושבתת לחלוטין).

 

תהליך ניהול סיכוני סייבר הוא בעל חשיבות גבוהה ביותר כדי לשפר את מידת המוגנות והמוכנות הארגונית מפני מתקפה. תהליך זה מהווה נדבך חשוב בניהול הסיכונים התפעוליים ובמערך ניהול הסיכונים הכולל של הארגון.

אחת הדרכים לניהול סיכוני סייבר באופן מיטבי הינה באמצעות עריכת פוליסת ביטוח סייבר ופרטיות. זהו אחד הביטוחים החשובים ביותר בימינו, עבור כל עסק.

ביטוח סיכוני סייבר איכותי, מספק מענה משולב לאלמנטים הבאים:

(1) הגנה מפני תביעות משפטיות מצד לקוחות ו/או ספקים, בין היתר בעקבות דלף מידע והפרת פרטיות.

(2) הגנה מפני נזקים פיננסיים הנגרמים לחברה המבוטחת, לרבות כיסוי אובדן הכנסות, כיסוי למתקפת כופר כולל תשלום הכופר ועוד.

(3) כיסוי לעלויות הדרושות למניעה או מזעור של מתקפת סייבר על מערכות המחשוב של החברה, בעיקר בכל הקשור לשכירת יועצים מקצועיים חיצוניים לטיפול מידי באירוע (צוותי I.R, ייעוץ משפטי, יח”צ וכו’).

חלק ממבטחי הסייבר אף מעמידים לרשות המבוטחים פאנל ספקים מקצועי ומיומן לטיפול באירוע ואולם מומלץ שהמבטחים יאשרו מראש את הספקים שעימם המבוטח מורגל לעבוד והמכירים את מאפייני הארגון ואת מערכותיו.

פוליסות ביטוח רבות כוללות חריג לנזקי מלחמה. ההצדקה לחריג היא שהמדינה (ולא השוק הפרטי) אמורה לשאת בעלויות שעלולות להיות גבוהות. ואכן, חוק מס רכוש וקרן פיצויים המכסה נזקי רכוש ונזקים כלכליים הנגרמים ממלחמה,

מגשים רציונל זה באופן חלקי בכל הנוגע לנזק פיזי לרכוש.

 

למרות שחריג נזקי המלחמה הוא חריג ותיק בעולם הביטוח, שדה הקרב המודרני מאיים לשנות את היחסים שבין מלחמה לביטוח. התקפות הסייבר שהולכות וגוברות בשנים האחרונות ובעת מלחמה בפרט,

פוגעות גם במטרות אזרחיות ולא רק במטרות צבאיות או בגורמי שילטון ונשאלת השאלה האם תקיפות אלה נכללות בגדרי חריג המלחמה בפוליסה. סוגיה זו משלבת שאלות של פרשנות חוזי הביטוח מחד, ושל דיני המלחמה הבינלאומיים מאידך.

בחודש אוגוסט 2022 פורסמו הנחיות גורפות בעניין חריג מלחמה בביטוחי סייבר ע”י שוק הביטוח בלונדון (“לוידס”). הנחיות אלה נכנסו לתוקף באפריל 2023. על פי ההנחיות, כל פוליסת ביטוח סייבר תכלול חריג על פיו,

אם חברה או ארגון ייפגעו ממתקפת סייבר שמקורה בתקיפה של מדינה או בגיבוי מדינה, חברת הביטוח לא תפצה אותן על הנזקים שייגרמו.

 

לוידס פרסמה מספר נוסחים שונים לחריג, ביניהם מספר נוסחים מרוככים ואולם הגישה הפרשנית לחריג המלחמה שונה בין המבטחים, המסגלים לעצמם גישות ותפיסות שונות לעניין זה.

על אף שמטרת הכללת החריג הייתה לייצר וודאות אצל מבטחים ומבוטחים, עדיין נותר מרחב של פרשנות ביחס לחריג, בעיקר בקשר עם שאלת ייחוס המתקפה – מי יקבע שמדינה זו או אחרת היא האחראית.

חברות הביטוח נמצאות בבעיה להוכיח תקיפת סייבר מדינתית, שכן ברוב מתקפות הסייבר, מקור התקיפה אינו ודאי או מוחלט ונטל ההוכחה להתקיימותו של החריג הינה על המבטח.

כלומר, הסעיף מטיל חובה על המבטח להוכיח שמדובר בתקיפה מדינתית ו/או כחלק ממלחמה, אולם על מנת להוכיח כזה דבר, צריך שהמדינה התוקפת תקבל אחריות על המתקפה, דבר שאינו כה פשוט כאמור.

הגישות השונות בהן מאמצות חברות הביטוח את נושא החרגות המלחמה והצורך בבחירות “החריג הכי פחות רע”, מחדדות את הצורך בקבלת ייעוץ ביטוחי ברור ומדויק על ידי ברוקר ביטוח שמכיר היטב את ההבדלים העדינים הקיימים בכל אחד מהנוסחים.

הסתייעות במומחה עשויה להיות ההבדל בין אירוע ביטוחי בו המבטחים יקבלו על עצמם חבות לנזקים ואלה יכוסו במלואם לבין אירוע אותו המבטח יחריג ולא יינתן כיסוי כלל.

הכותב, עו”ד אלדד נוי, הינו מנהל מחלקת סייבר וטכנולוגיה בברוקר הביטוח WTW, שהינו חברה הנסחרת בנסדא”ק עם שווי שוק של 25 מיליארד דולר ופועלת עם 45,000 עובדים מ 140 מדינות

דבר המאפשר לה להפעיל את כובד משקלה על מנת לספק ללקוחותיה את הפתרון הרחב ביותר במחיר הטוב ביותר.

לכל שאלה או הבהרה ניתן ליצור קשר בכתובת המייל: Eldad.noy@wtwco.com