הכל התחיל, או יותר נכון הנושא עלה לכותרות ולסדר היום, בפרשת שירביט. חברת שירביט הייתה חברת ביטוח מצליחה ומשגשגת.
הנה הסיפור בקצרה: האקרים פרצו למאגרי המידע של החברה, מאגרי מידע שבהם יש מידע רגיש מאוד.
פרטים אישיים של לקוחות, מסמכי ביטוח, מסמכים רפואיים, פרטים על אמצעי תשלום, מספרי כרטיסי אשראי, מסמכים מזהים – כל מה שצריך כדי לגנוב כסף מאנשים או להתחזות להם.
מדובר בכמות אדירה של אנשים שנמצאים במאגר, וההאקרים התחילו לחגוג.
אותם פורצי סייבר – האקרים – פנו להנהלת שירביט ואיימו – אנחנו רוצים כסף, ולא מעט, כופר על המידע.
לא תשלחו לנו את הכסף, נפרסם מידע אישי של רבבות הלקוחות שלכם באופן ציבורי ונגרום לכאוס רציני באחריותכם, על אפכם ועל חמתכם.
שירביט בתגובה לא מהירה לשלוח לפורצים מיליוני שקלים (שאותם, הם אגב, ביקשו בכסף וירטואלי דיגיטלי, כדי שלא להיחשף באמצעי העברת כספים רגילים), בטענה שאלו יפרסמו את הפרטים בכל מקרה.
באותה תקופה אתר שירביט הפסיק לעבוד ונכון להיום (אמצע-סוף דצמבר 2020) הפורצים והנפרצים עדיין מנהלים חילופי דברים ביניהם כדי לנסות להסדיר את העניין. לפני כמה ימים תמונה של הדרכון של מנכ"ל חברת שירביט פורסמה ברשת באופן ציבורי כהצהרת כוונות מטעם הפורצים.
מה זה ביטוח סייבר?
ביטוח סייבר עלה לכותרות מיד אחרי שהתחילה פרשיית שירביט הסבוכה. הוא נועד להגן בדיוק מפני מקרים שכאלה – להגן על המבוטח מפני מתקפת סייבר.
מתקפת סייבר היא לא רק פריצה למאגר נתונים חשאי ופרטי, אלא גם כל הפרעה מכל סוג בשירותי התקשורת של המבוטח.
תוקף סייבר יכול ללכת על כל הקופה ולדרוש כופר תמורת מידע חשאי כמו בפרשיית שירביט, או לבצע תקיפות מסוג שונה לחלוטין: להפיל את האינטרנט שלכם, להפריע לכם לקבל פניות של לקוחות, למנוע מכם סליקה של אמצעי תשלום של לקוחות, לחתוך לכם את האפשרות לקבל הזמנות דיגיטליות מאתר האינטרנט או האפליקציה שלכם – למעשה – כל מתקפה שמתרכזת בדיגיטל ובתקשורת, היא מתקפת סייבר (ובעברית צחה: מתקפה קיברנטית) שעבורה קיים ביטוח סייבר.
מתקפות סייבר הן נפוצות מאוד ובאמת החלשות שבהן מורידות את אתר האינטרנט שלכם למשך זמן קצר ומוגבל, והחזקות שבהן מגיעות למידע אישי, פרטי וחשאי על הלקוחות שלכם. זו אפילו לא סיטואציה כל כך נדירה – כבר קרה לגופים וחברות גדולות, וגם לגורמים ממשלתיים לא מעט.
לפני כשנתיים נפרץ כל מאגר הנתונים של פייסבוק והפרטים האישיים (כולל סיסמאות) של עשרות מיליוני משתמשים נחשף באופן ציבורי, מאגר הנתונים של לקוחות של רשת המלונות Marriott נפרץ סביב אותה תקופה, והמאגר הביומטרי הממשלתי ההודי גם הוא נפרץ, ופורסם למכירה לכל דורש, גם הוא, סמוך ל-2 האירועים הקודמים שתיארתי, לפני כשנתיים.
מה זה ביטוח סייבר דיגיטלי?
ביטוח סייבר דיגיטלי הוא ביטוח שאותו ניתן להזמין, לנהל ולתבוע באופן מקוון באמצעות ממשקי לקוח פשוטים. נכון להיום ביטוח סייבר דיגיטלי הוא עדיין לא נחלת המציאות, אבל כאשר המודעות תגבר ויפגשו עוד כמה תנאים (עליהם אדבר בהרחבה בהמשך), ביטוח סייבר יהפוך להיות דבר שבשגרה, ואז גם חברות הביטוח יפתחו את ביטוח הסייבר הדיגיטלי. איך זה יראה?
בשלב הראשון, הפוליסות של ביטוח הסייבר הדיגיטלי יהפכו להיות פשוטות ואחידות. רשימה של מקרים ואירועים כנגדם אתם מכוסים במסגרת ביטוח הסייבר שלכם, והסכומים שאתם מקבלים כפיצוי על כל מקרה.
הפיצוי נועד גם להגן על הוצאות ישירות שיהיו לכם כתוצאה מהעניין, וגם, אולי אפילו, לממן כופר כזה או אחר שידרשו הפורצים, כדי שלא תקרסו כלכלית ותסגרו את העסק.
כמובן, גם לקוחות יצביעו ברגליים ועשויים לברוח ממכם, וגם נגד זה הביטוח עוזר. פוליסות ביטוח מכל סוג הופעות להיות פשוטות ואחידות יותר רק אחרי שהרגולציה מתערבת.
נכון לעכשיו, שום גורם ממשלתי או מדיני עדיין לא שם על הכוונת את נושא ביטוח הסייבר, והפוליסות לא אחידות כלל וגם לא פשוטות כלל – כל חברה מגדירה פוליסה לפי ראות עיניה. זה אומר שלקוח שמעוניין לבצע השוואה פשוטה בין ביטוחי הסייבר השונים שמציעים חברות הביטוח – קשה לו מאוד מאחר והפוליסות כל כך מגוונות ושונות זו מזו.
בשלב השני, אחרי שהפוליסות יהפכו לפשוטות ואחידות ויהיה ניתן לבצע השוואת מחירים באופן פשוט וקל אונליין, תוכלו להצטרף לביטוח סייבר דיגיטלי באופן דיגיטלי – באמצעות טפסי הצטרפות ברשת.
בשלב השלישי, אחרי שיש לכם ביטוח סייבר דיגיטלי תוכלו לקבל פרטי התחברות, להכנס לאזור האישי שלכם מול חברת הביטוח, ולנהל את הביטוח. להוסיף כיסוי, להוריד כיסוי, לשנות, לעדכן וכדומה.
בשלב הרביעי, במידה ותותקפו קיברנטית, תוכלו גם להגיש תביעה עם כל המסמכים, ההוכחות והאישורים הנדרשים באופן מקוון באזור האישי שלכם מול חברת הביטוח. בהנתן כל האפשרויות האלו של כל ארבעת השלבים אותם ציינתי, ישלים את המהפך ביטוח הסייבר ממוצר רגיל לביטוח דיגיטלי בכל רמה אפשרית.
כאמור, כל זה יקרה כאשר ביטוח סייבר יהפוך להיות דבר שבשגרה, ורק אחרי שידה של הרגולציה תגיע ותטפל בפוליסות מול חברות הביטוח.
ביטוח סייבר – רלוונטי רק לגופים גדולים?
אז לצד פייסבוק וממשלת הודו מתייצבים גם גופים רבים קצת פחות מוכרים, שהידיעה בנוגע למתקפת סייבר שהם עוברים קצת פחות מגיעה לתקשורת.
גופים להלוואות, חברות עריכת דין, כל גורם יכול ליפול למתקפת סייבר שכזו.
כמובן, שלענקית כמו שירביט קשה לפרוץ, ובכל זאת מצליחים, וזה משהו שמתפרסם, אבל אם יש לכם חברה קטנה, כנראה לא השקעתם פיתוח ויישום של שיטות הגנה מתקדמות (ויקרות) שמקשות על פורצים ברמה הזו, וגם האקרים קצת פחות כשרוניים יכולים לפרוץ אליכם ולגנוב ממכם מידע או לחבל לכם בהזמנות, באתר שלכם או בעסק בכל דרך אחרת.
מתקפת סייבר זה מסוכן
אני לא בטוח שהדגשתי מספיק עד כמה הנושא הזה קריטי, חשוב ומסוכן – לא רק לחברות והגופים שחשופים למתקפות סייבר, אלא גם ללקוחות שלהם או לאנשים שהפרטים שלהם נמצאים אצלהן.
תחשבו על מתקפת סייבר מוצלחת נגד מוסד לימודי גדול (שמחזיק מידע רב על הסטודנטים שלומדים בו), חברות כרטיסי האשראי, הבנקים, קופות ובתי חולים. כל אחד מהגורמים האלו, אם יותקף, זה יכול לגרום למכת מדינה קשה וכואבת שתשפיע על הכלכלה של מדינה שלמה. משהו לחשוב עליו בפעם הבאה שאתם מתקתקים את מספר כרטיס האשראי שלכם באתר מכירות כלשהו וקונים ג'ינס חדש.
כל גורם שהפעילות שלו או אפילו חלק קטן מהפעילות שלו מבוסס על האינטרנט, חשוף למתקפה. בשנת 2020, מדובר בכמעט כל גורם עיסקי.
אני מכיר מעט מאוד גורמים עיסקיים שאין לעסק שלהם חלק באינטרנט שבו עובר מידע אישי על אנשים ולקוחות.
אפשר להפגיז בהגנות ואבטחות, אבל המציאות היא, שכל חכם יש יותר חכם ממנו, ולא משנה עד כמה תשקיעו באבטחה דיגיטלית – העסק שלכם עדיין פריץ וחשוף למתקפה בכל רגע נתון.
נגד מה יכסה אותי ביטוח הסייבר?
ביטוח סייבר יגן עליכם בהתאם למצויין בפוליסה שלכם, בפני הדברים הבאים:
- הגנה וכיסוי משפטי במידה ולקוח או ספק כלשהו החליט לתבוע אתכם, אחרי שפרטיו האישיים נחשפו על ידי ההאקר התוקף.
- כיסוי נגד ההפסדים וההוצאות שיגרמו לכם בעקבות מתקפת הסייבר באופן ישיר. מערכות מחשוב שקרסו, וירוסים שהוחדרו למערכות שלכם, פרטי לקוחות שנחשפו, וכדומה.
- כיסוי נגד נזקים של אובדן הכנסה בעקבות הפריצה והמתקפה, סחיטה ודרישת כופר, הוצאות שקשורות לשיקום העסק מול התקשורת וחברות יח"צ למיניהם, הוצאות בגין כח עבודה או אמצעים שמטרתם לנהל את המשבר ולהחלץ ממנו.
לדברים שציינתי אין "אח ורע" בשום ביטוח אחר. שום ביטוח עסקי אחר לא יגן עליכם מפני מתקפת סייבר באופן דומה (או בכלל).
כמה ביטוח סייבר עולה?
כמובן קשה מאוד לענות באופן חד משמעי על השאלה הזו – הכל תלוי (מאוד) בגודל העסק שלכם ובהיקפי הכיסוי שאתם דורשים. העניין הוא שמדובר בביטוח מהיקרים שקיימים, בהשוואה לביטוחים עסקיים אחרים. הסיבה היא הסבירות שמשהו כזה יקרה, לצד סכומי העתק שהביטוח מכסה.
בפרשיית שירביט, הכופרים התחילו עם בקשות כופר קטנות, ומשלא זכו לשיתוף פעולה, הרימו את דרישת הכופר והסכום המבוקש וכיום הוא עומד על 200 ביטקוינים – כ-12.5 מיליון ש"ח. אם שירביט תחליט לשלם או שתמצא פתרון אחר מול הכופרים – זוהי רק תחילת הדרך.
לקוחות, גורמים וספקים נוספים ורבים עשויים לתבוע את שירביט אם הפרטים שלהם יפורסמו, ושירביט השקיעה הון תועפות בהחזרת אתר האינטרנט שלה לפעילות, וביחסי ציבור לשיקום התדמית שנפגעה.
ההוצאות עוד לא נגמרו כלל וכלל, צפוי כי שירביט תמשיך להשתמש בפרסום וביחסי ציבור כדי להמשיך לשקם את התדמית שלה בטווח של השנים הקרובות.
האם זה מתאים גם למשקי הבית הפרטיים או רק לחברות גדולות שמתעסקות עם מידע רגיש?
נכון להיום, אין ביטוח סייבר, לא ביטוח סייבר רגיל ולא ביטוח סייבר דיגיטלי, שמתאים למשקי בית פרטיים. שלא תבינו אותי לא נכון, גם מתקפות סייבר מול גורמים פרטיים (שאינם עסקים) מתקיימות על בסיס קבוע וכל הזמן, וגם הן מסוכנות.
הכיסויים הביטוחים המוצעים כיום לא מתאימים, לא מבחינת הכיסוי, לא מבחינת העלויות ולא מבחינת ההתאמה שלהם, לשוק הלקוחות הפרטיים – רק לחברות, ארגונים ועסקים.
יש שירותים שחברות התקשורת מספקות – חומות אש, תוכנות הגנה, אנטיוירוסים, שירותי סינון תכנים ושירותי חסימת מתקפות מבוססי ענן, שאינן בגדר ביטוח.
מדובר על חברות תשתיות האינטרנט הבייתי או ספקיות האינטרנט שמציעות שירותי מגנים שמתבססים בעיקר על מניעה של מתקפת סייבר נגדכם, אך לא פיצוי או כיסוי במידה וכבר הותקפתם.
אם אתם מודאגים בנוגע לחדירה לפרטיות שלכם דרך רשת האינטרנט בה אתם משתמשים – שווה לבדוק מה יש לחברת תשתית האינטרנט שלכם או לספקית האינטרנט שלכם להציע. רק דעו שזה לא ביטוח, רק הגנה מונעת, ויעילותה היא במסגרת מה שניתן לתת לכם בתשלום סימלי חודשי, כמובן. בזמנינו עם הקורונה ואנשים שעוברים לעבוד מהבית – ההאקרים חוגגים, הפעילות האינטרנטית גדלה, ובהחלט שווה לשקול להגן על עצמכם.
אילו חברות משווקות ביטוח סייבר?
חברת כלל, חברת AIG וחברת הפניקס מציעות ביטוח סייבר נכון להיום, ומאחר ואין לחברות אלו ביטוח סייבר דיגיטלי, כל הפעילות הביטוחית מתרכזת נכון להיום סביב סוכני ביטוח שמצרפים אתכם, מנהלים אתכם ויסייעו לכם עם התביעה במידה ותותקפו חס ושלום. פנו לסוכן הביטוח שלכם ובררו מולו מהן האפשרויות שלכם לביטוח סייבר לעסק שלכם.
איך נראה השוק וכמה מבוטחים יש כיום?
המצב כיום בשוק לא טוב. רוב הגורמים העסקיים – קטנים כגדולים, לא מצויידים בביטוח סייבר וחשופים לקריסה ונזק רק במידה ויותקפו קיברנטית. כמובן הן צריכות לדאוג מאוד מכך ולהגן על עצמם באמצעי ההגנה הטכנולוגים החזקים והטובים ביותר שיש – אבל הדאגה היא לא רק עליהם. גם אתם, כלקוחות של השירותים והמוצרים שלהם, צריכים לדאוג – המידע שלכם הוא זה שבסכנה. הכתובת שלכם, מידע אישי, מידע רפואי, מיד פיננסי, מספר כרטיס האשראי שלכם…
גם חברות ביטוח (קטנות כגדולות) וחברות פיננסיות להשקעות וניהול כספים – לא כולן מצויידות בביטוח סייבר.
אין ספק כי הפיצוץ של ענקית הביטוח שירביט שעלה לכותרות לא מזמן בהחלט יוביל להתעוררות בתחום, ועדיין, הרבה חברות, חלקן גדולות וחלקן מחזיקות במידע או פעילות רגישים, לא ממהרות להפוך למבוטחות כנגד מתקפות סייבר.
ההערכה היא כי נכון להיום במגזר התשתיות, מגזר החינוך, מגזר הבריאות והרווחה כרבע עד שליש מהחברות מבוטחות, מגזר התקשורת מבוטח רק בכרבע מהחברות הפועלות בשוק, ומגזרים קריטיים וחשובים שבהחלט מרכזים סביבם מידע רגיש מאוד ופוטנציאל גבוה למתקפה כמו שוק הביטוח ושוק הפיננסים, רק חמישית מהחברות מבוטחות. אותי, אישית, זה מדאיג מאוד שחברת הביטוח שלי או סוכנות הביטוח שלי לא מבוטחים.
יש לי שם פרטים אישיים וקריטיים מאוד.
עוד קצת על פרשיית שירביט, הלבטים והבעייתיות שבתקיפת סייבר וביטוח סייבר
לגבי שירביט, החברה לא מוסרת מידע בנוגע לביטוח סייבר שהיה ברשותה לפני הפריצה, או שרכשה לעצמה אחרי הפריצה. אני מניח שהפרטים יתגלו בקרוב.
בכל מקרה, מדובר בסיפור מתמשך והפורצים ושירביט דנים על ההשלכות ודרישות הפורצים ממש בזמן כתיבת שורות אלה. בנוגע לכופר עצמו שהפורצים דורשים מחברת שירביט – יש סביבו המון בעייתיות.
ראשית, חברת שירביט באמת לא מסוגלת לדעת האם הפורצים יקבלו את הכסף ויעלמו מפני השטח, או שמא הם ימשיכו להגיש דרישות ובקשות משירביט, כלומר, משקיבלו את האצבע ידרשו את כל היד.
שנית, יש סבירות ריאלית לחלוטין שהפרטים שהפורצים השיגו לגבי לקוחות חברת שירביט, יפורסמו בכל מקרה ברגע שהפורצים יקבלו את דמי הכופר.
מדובר במידע דיגיטלי ואי אפשר "להחזיר" אותו לשירביט במידה והכופר ישולם שכן הוא וירטואלי ולא פיזי.
שלישית, בקשת כופר שכזו היא בעייתית גם מבחינה חוקית, אפילו אם שירביט מעוניינת לשתף פעולה עם הפורצים, יתכן והיא עוברת בכך על החוק.
זהות הפורצים לא ידועה, אם מדובר בארגון טרור או משהו בסגנון – אסור לשירביט לשלם את הכופר ואם היא תשלם אותו ויתברר לאחר מכן כי מדובר בגורם שזה לא חוקי לשלם לו כופר, שירביט יכולה להסתבך מאוד משפטית מול המדינה על כך.
מהצד השני, ביטוח יכול מאוד להשתלם לחברות והארגונים השונים.
לא חסרים תקדימים לגבי חברות שהמידע שלהם נפרץ, הפורצים ביקשו כופר של מיליון דולר, החברות לא הסכימו לשלם לכופרים ולאחר מכן השקיעו עשרה מיליון דולר כדי לשחזר את המידע ולשקם את תדמיתן.
יש יתרונות נוספים בביטוח הסייבר, במקרה הצורך בהפעלת הביטוח יתייצבו לצידכם מומחים בתחומים כמו משא ומתן, ניהול משברים וכדומה, שיעזרו לכם לנהל את המשבר. לא רק כיסוי כלכלי, אלא גם מומחים שיהיו שם לצידכם בעת הצורך.
לסיכום
פרשיית חברת הביטוח שירביט שמאגרי נתוני הלקוחות שלה נפרצו לא מזמן הרים לסדר היום את כל נושא הביטוח נגד מתקפות סייבר. כל גורם עם פעילות אינטרנטית מכל סוג חשוף למתקפות.
ביטוח סייבר מטרתו להגן ולכסות משפטית מפני תביעות של לקוחות וספקים, לכסות הפסדים והוצאות שיגרמו לכם כתוצאה מפריצה, לאפשר לכם לעמוד באובדן הכנסה ובעלויות לצורך שיקום התדמית.
כיום עדיין לא קיים ביטוח סייבר דיגיטלי אך הסברה היא שכאשר הרגולציה תתערב ותכניס אחידות ופשטות למבנה הפוליסות, יהיה ניתן לרכוש ביטוח סייבר בדיגיטל, אולי אפילו יהיה מדובר בביטוח שיפתח גם לשוק הפרטי ולא רק לעסקים.
כיום עלות של ביטוח סייבר גבוה מאוד, והרבה מאוד ארגונים, קטנים כגדולים, וגם כאלו שמחזיקים בידיהם מידע רגיש (ונפיץ) מאוד, לא מחזיקים בביטוח סייבר.