ניהול סיכוני ביטוח וסייבר

מהו ביטוח דירקטורים להתקפות סייבר?

ביטוח דירקטורים ונושאי משרה (D&O) להתקפות סייבר הוא סוג של ביטוח שנועד להגן על דירקטורים ונושאי משרה בחברות מפני תביעות משפטיות ונזקים הנובעים מהתקפות סייבר. התקפות סייבר כוללות חדירה למערכות מידע, גניבת נתונים, והשחתת מערכות טכנולוגיות של הארגון.

מרכיבי הכיסוי הביטוחי:

1. הגנה משפטית: כיסוי עלויות משפטיות הנובעות מתביעות בעקבות התקפת סייבר. תביעות אלו יכולות להגיע מלקוחות, ספקים או בעלי מניות.
2. פיצויים לנפגעים: כיסוי פיצויים שיש לשלם ללקוחות או צדדים שלישיים שנפגעו מהתקפת הסייבר.
3. שחזור נתונים: כיסוי עלויות שחזור נתונים ושיקום מערכות שנפגעו מהתקפה.
4. ניהול משברים: כיסוי הוצאות לניהול משבר, כולל ייעוץ תקשורתי ויחסי ציבור כדי למזער את הנזק למוניטין החברה.

דוגמאות לכיסוי ביטוחי במקרים של התקפות סייבר

1. פריצה למאגרי נתונים: חברה שבה פרצו למאגרי הנתונים וגנבו מידע רגיש על לקוחות. הלקוחות מגישים תביעה נגד החברה בטענה לרשלנות באבטחת המידע. הביטוח מכסה את הוצאות המשפט ואת הפיצויים ללקוחות.
2. מתקפת כופר: חברת טכנולוגיה מותקפת במתקפת כופר (ransomware) שבה כל המידע שלה מוצפן והפורצים דורשים כופר לשחרור המידע. הביטוח מכסה את עלויות השיקום והשחזור של המידע, ואף את עלות תשלום הכופר אם זה מה שנדרש כדי לשחרר את המידע.

מקרים אמיתיים ודוגמאות מהארץ ומהעולם

• התקפות DDOS ופגיעה במערכות מידע:
  • באפריל 2023, התקפות מניעת שירות (DDoS) פגעו באתרים של חברות כגון יאנגו, מקורות ומכון ירושלים למחקרי מדיניות. ההתקפות שיבשו את הפעילות של אתרים אלו וגרמו לנזקים כלכליים ותפעוליים​ (אינפורמט פתרונות מחשוב)​.
• גניבת נתונים ופגיעה בפרטיות:
  • קבוצת האקרים אינדונזית פרסמה מאגרי נתונים גנובים של תחנות דלק ותחנות אוטובוס ישראליות, ואף חדרו למצלמות מקוונות בבתי ישראלים​ (אינפורמט פתרונות מחשוב)​.

• התקפת הסייבר על Yahoo!: בשנת 2013, Yahoo! חוותה את אחת מהתקפות הסייבר הגדולות בהיסטוריה, בה נגנבו נתוני משתמשים של מיליארדים. לאחר מכן, החברה נאלצה להתמודד עם מספר תביעות מצד בעלי מניות ולקוחות שטענו לרשלנות באבטחת המידע. מקרה זה מדגיש את הצורך בביטוח D&O שיכסה את הוצאות המשפט והפיצויים העצומים הנדרשים.
• התקפת הסייבר על Equifax: בשנת 2017, חברת Equifax נפרצה והמידע האישי של כ-147 מיליון לקוחות נחשף. החברה עמדה בפני תביעות רבות מצד לקוחות וממשלות שונות. הפוליסה הביטוחית של Equifax כיסתה את הוצאות המשפט ואת הפיצויים שנדרשו.

• תביעות משפטיות:
  • בשנה האחרונה הוגשו בארה"ב תביעות רבות נגד דירקטורים ומנהלים של חברות שנפגעו מתקיפות סייבר, בטענה שלא נקטו בצעדים מספיקים להגנה על מערכות החברה​ (Calcalist)​. תביעות אלו עשויות להגיע גם לישראל בשנים הקרובות, לאור העלייה בתדירות וחומרת מתקפות הסייבר.

החשיבות של ביטוח סייבר לדירקטורים

בעידן של מתקפות סייבר מתוחכמות, חשיבות הביטוח לדירקטורים גדלה. הדירקטורים נדרשים להיות מוכנים להתמודד עם איומי סייבר ולנקוט בצעדים לשמירה על אבטחת המידע.

ביטוח דירקטורים ונושאי משרה להתקפות סייבר הוא חיוני בעולם העסקי המודרני, בו התקפות סייבר הופכות לנפוצות יותר ויותר. ביטוח זה מבטיח הגנה מקיפה על נושאי המשרה, ומעניק להם את הביטחון הדרוש כדי להמשיך ולבצע את תפקידם ללא חשש מהשלכות כלכליות אישיות במקרה של מתקפת סייבר.

כמו כן הוא הכרחי לניהול סיכונים ולהגנה על הארגון במקרים של פריצות ופגיעות באבטחת מידע.

מאמר של ריטה בנושא הסייבר נלקח מהאתר שלה:

ביטוח סייבר – החוליה המקשרת בין חדש הדירקטוריון לחדר השרתים

לתגובה / מאמרים / 28 בפברואר 2021 / ביטוח,גישור,דירקטורים,האקרים,כופרה,מחלוקת,סייבר,סיכונים,תקיפות סייבר

במסגרת הדואליות של החיי הדירקטוריון הוא אחראי על שתי האונות של הארגון:

מצד אחד – החלק יצירתי: אסטרטגיה, חדשנות, הובלה והכוונה של פעילות החברה לעתיד, בדומה לאונה הימנית, האמנותית ומלאת הדמיון של המוח האנושי.

מצד שני – החלק האנליטי: בקרה ופיקוח על מה שהחברה מבצעת ו/או צריכה לבצע בהתאם להתוויות שהןפועל יוצא של הפעילות הראשונה. פעילות זו דומה לאונה השמאלית, המחושבת והמבוססת על ההגיון של המוח האנושי.

עולם הסייבר נוגע בשתי האונות. מחד, רמת היצירתיות הקיימת בעולם זה, עולה על כל דמיון. כל אירוע חושף אותנו לעוד דרך יצירתית שבה ניתן לפעול בעולם זה. תחת הנחה זו, יש להוביל את הארגון לנצל את כל האפשרויות הגלומות בפעילות בענף הסייבר וגם להתגונן באופן יצירתי מפני הסיכונים שהוא מקים. מאידך, הצורך לפקח על הפעילות ולבקר את האופן שבו פועלים.

מנהלים בארגונים אינם יכולים להתעלם מכך שעולם הסייבר מהווה לצד ההזדמנות, גם איום הולך וגובר, אשר תופס נפח גדול יותר ויותר מפעילות הארגון. הסיכון הגובר הוא הסיכון לכישלון מערכתי, שאינו תוצאה של סיכון פיזי ידוע, כגון שריפות, רעידות אדמה, אסונות טבע, שיטפונות וכו'. הכשל המערכתי יכול להתרחש בכוונה על ידי האקרים או כתוצאה מטעות אנושית. הקושי בזיהוי מקור הכישלון הוא הסיבה שמגזר הביטוח מתייחס אליו כאל "סיכון לכשל במערכות" שאינו מצריך הוכחה ל"מתקפת סייבר זדונית".

הכיסויים הביטוחיים הסטנדרטיים אינם נותנים מענה לסיכון זה, מכיוון שהוא אינו חלק מרשימת הסיכונים בפוליסת הרכוש ואינו כלול בהגדרת מקרה הביטוח בביטוח אחריות. ואכן, קיימת מגמה ברורה בקרב מבטחים ברחבי העולם להוסיף אי הכללה ספציפית לאירועי סייבר בפוליסות רכוש ואחריות מסורתיות.

אז מה מצופה ממנהל סביר לעשות על מנת לעמוד בסטנדרטים הנדרשים בתהליך ניהול הסיכונים התקין של הארגון?

חובתו של המנהל היא לבחון את מפת הסיכונים של הארגון, להקים גוף פנימי שמנהל תהליך סיעור מוחות מקצועי. גופים רבים בוחרים לערב בתהליך מומחה חיצוני, שבוחן מספר גדול של תרחישי כשלים אפשריים במערכת כדי להעריך כיצד הם ישפיעו על הארגון במספר היבטים:

1. ההיבט המשפטי: מצד אחד, אילו דרישות רגולטוריות מחייבות היערכות מוקדמת, לפני יום האירוע, וכיצד בדיוק על הארגון להיערך?מצד שני, אילו דרישות רגולטוריות מחייבות את הארגון מרגע גילוי הנזק, כולל דיווח לבורסה, לרשויות האבטחה ולאנשים שעלולים להיפגע (תלוי בתקנות מקומיות שונות בכל מדינה).

2. היבט עסקי: אילו נזקים (סוג הנזק וגם כימותו) עלולים להיגרם לארגון כתוצאה מכשל מוחלט של המערכות עד להשבתן (כגון אובדן רווחים)?

3. היבט פיננסי: איך ישפיע אירוע הסייבר על מאזן החברה, על התקציב שלה, על מחיר המניה שלה, על הסנטימנט של המשקיעים? על יכולת גיוס ההון?

4. היבט יחסי ציבור: איך יגיבו הלקוחות? כיצד תנהל החברה את המשבר? איך זה ישפיע על המוניטין? האם תהיה השפעה על הזמנות קיימות (ביטולים)? וכיצד יושפע צפי ההזמנות בעתיד?

מוכנות הארגון תלויה בהכנה נכונה, המורכבת משלושה פרמטרים: טכנולוגיות תהליכים אנשים נזקי הסייבר הגיעו בשנת 2020 ל- 2 טריליון $ (מבוטחים ולא מבוטחים), 90% מהם מערבים חולשה אנושית, 92.4% נעשה שימוש במייל, ואף-על-פי-כן, רק 31% מהארגונים מאמנים את העובדים שלהם באופן שוטף להתמודד עם האיום. הפער הזה, בהחלט יכול להיות משויך להיעדר מעורבות ופיקוח של הדירקטוריון, אשר לא הנחה את ההנהלהלבצע הדרכת עובדים סדירה ושוטפת שמטרתה להעלות מודעות ולאמן את העובדים לזהות סיכונים ולפעול באופן מתודי, כאשר הם נתקלים באחד.

בנוסף, חשוב לבנות פרק ייעודי לסיכוני סייבר בתוך תכנית ה- BCP, Business continuity plan. מסמך זה משמש את העוסקים בפועל בהתמודדות עם אירוע בעת התרחשותו, ומשמש ראייה לכך היא שהדירקטורים פעלו כדירקטורים סבירים ונקטו מבעוד מועד בצעדים הנדרשים בכדי למנוע ו / או למזעראת סיכון הכרוך באירוע מסוג זה. זהו 'הנמל הבטוח' (Safe harbor) עליו יוכלו להסתמך להגנתם, במקרה והתרחיש הגרוע ביותר יצא לפועל וגם תוגש בגינו תביעת רשלנות כנגדם.חשבו להבין שלא כל הסיכונים הנובעים מסייבר מקבלים כיום מענה של כיסוי ביטוחי.

לענף הביטוח יש עוד דרך משמעותית לעשות בענף הסייבר, בכדי להביאו לכיסוי אופטימלי של נזקים שאין להם פתרון הולם: נזקים פיזיים, אבדן רווחים שיניוני, נזקי מוניטין, ופיצויים מוסכמים.אבל לזכותו של ענף הביטוח יש לומר שגם הוא דינמי ומתפתח במהירות על מנת להקנות פתרונות לאתגרים החדשים שצצים לנו חדשות לבקרים.

מספר הארגונים שרוכשים פוליסות המכסות סיכוני סייבר גדל כל העת ושואף ל- 40% שנת 2020 הייתה לשנת שיא ברכישת ביטוח סייבר ברחבי העולם, והענף יגדל ביותר מ- 20% משנה לשנה ועל פי התחזיות שנערכו עד לשנת 2025.

דירקטוריון שיהיה ער לסיכון, ויוביל את ההנהלה לתיפוקד נכון, תוך פיקוח על הפעילות יוכל לחסוך מעצמו את מפח הנפש של סיכון שהתממש ללא שום מנגנון שיפוי ויאפשר את הישרדותו כעסק חי, גם לאחר אירוע שכזה.

כתבה: ריטה בעל-טכסא, עו"ד ומגשרת – מומחית בביטוחי דירקטורים וסייבר