הביטוח לא יכסה: החברות ייאלצו להתמודד עם הקנסות החדשים בעצמן

תקנות ה–GDPR, שייכנסו לתוקף בעוד שבועיים, מביאות עמן סיכונים חדשים לחברות — ובהם קנסות גדולים ■ אבל נראה שאי־אפשר לבטח מפני הקנסות, מכיוון שהרגולטור שואף להרתיע ולהשית אותם על החברות ולא על המבטחות

אסא ששון
שתפו כתבה במיילשתפו כתבה במייל
מעבר לטוקבקיםכתוב תגובה
מרכז הגנת סייבר בדרום קוריאה
מרכז הגנת סייבר בדרום קוריאהצילום: Yun Dong-jin/אי־פי

בעוד כשבועיים ייכנסו לתוקף תקנות ה–GDPR, העוסקות בנושאי איסוף, שמירה, אחסון, שימוש והעברת נתוני מידע שונים, ומתייחסות לאזרחי מדינות האיחוד האירופי. מטרתן העיקרית היא העברת השליטה בנתונים מהחברות והארגונים (הפרטיים, ציבוריים וממשלתיים) שאוספים את המידע לידי המתמשים. יש לכך השלכה על חברות הביטוח המוכרות ביטוחי סייבר.

הרגולציה מחייבת במיוחד את הארגונים המסחריים — החל בסטארט־אפים הפועלים במחסן וכלה בבנקים, חברות ביטוח וכדומה. היא מחייבת אפילו את מי שיש לו אפליקציה בחנות כלשהי. שוק ביטוח הסייבר תפס תאוצה בשנים האחרונות, והוא נערך כבר זמן רב ליום שלאחר כניסת תקנות ה–GDPR לתוקף, ומתמודד כיום עם השאלה כיצד הפוליסות יכולות לכסות את החשיפות החדשות שהתקנות מביאות עמן.

האי־ודאות הגדולה ביותר כיום נוגעת לשאלה אם הקנסות העצומים שהרשויות יכולות להטיל על כל ארגון שיפר את התקנות הם בני ביטוח. התקנות אינן נותנת לכך מענה ברור, וזו שאלה שעשויה להתברר בעתיד רק בתקדימים בבתי המשפט. נקודות ההנחה בשוק היא שהקנסות אינם בני ביטוח, בדומה לסנקציות פליליות אחרות. המטרה היא להעניק לרגולציה החדשה "שיניים" ולהרתיע את מנהלי הארגונים — שיצטרכו לשאת בתשלומי הקנס, מתוך המאזן של החברה עצמה בלי יכולת לגלגל את התשלום לפתחן של חברות הביטוח.

אדי אביעד
אדי אביעדצילום: דוריאן קרידו

אדי אביעד, מנהל תחום הסייבר באיאון (Aon) ישראל, מסביר: "התקנות החדשות עושות סדר בכל תחום הסייבר — גם לחברות הביטוח וגם למבוטחים. זה מטיל עומס כבד על החברות העסקיות, מפני שזה מחייב אותן לעשות מיפוי איך המידע מוחזק. אבל בטווח הארוך זה יעשה להן טוב — החברות יהיו ערוכות, וכשיקרה אירוע סייבר הן יידעו מה לעשות".

לדבריו, "החוק מדרג גם את המידע ואת הסוג שלו ומה החברה אמורה לעשות בעת אירוע סייבר, ויש חובת דיווח מיידי. החוק מטיל קנס של 2%–4% מהמחזור על אי־דיווח ועל אי־הערכות — קנס כבד לחברה, שכנראה אינו בר ביטוח".

אביעד מוסיף כי "בישראל התקנות יחולו על כל מי שיעבד נתונים של אזרחים אירופאים. כל חברה שיש לה פעילות באירופה צריכה להיערך, ויש התעוררות בשוק ברכישת ביטוח סייבר. אני מעריך ששוק ביטוחי הסייבר בישראל מגלגל פרמיות בעשרות מיליוני דולרים בשנה. אם נביא בחשבון גם את הבנקים, אלה פרמיות בסך כ–150 מיליון דולר בשנה בישראל".

שוק ביטוחי הסייבר העולמי מגלגל כיום פרמיות בשווי של 2.5–3 מיליארד דולר בשנה. ההערכות הן שב–2020 הסכום יזנק ל–7.5–10 מיליארד דולר בשנה.

פוליסת ביטוח סייבר כוללת למעשה שלושה נדבכים: הראשון הוא שלב החיתום, שבו המבטחת בוחנת את החברה המבקשת לבצע ביטוח סייבר, ומעריכה את הסיכונים העומדים בפני החברה.

הנדבך השני הוא בזמן שמבוצעת מתקפה נגד החברה. מבחינת המבוטחת, זה שלב הקריטי בניהול המשבר, שכן יש חשיבות גבוהה לאופן התגובה ב–24–72 השעות הראשונות. זה אירוע חירום, שבו מופעלים מומחים רבים שמטרתם להבין מה קרה ולפעול בכל הגזרות הרלוונטיות. למעשה, צריך להפעיל מעין חדר מלחמה.

הנדבך השלישי מבוצע לאחר שהחברה חזרה לעבוד באופן תקין. זהו שלב הסקת המסקנות, התשלומים והערכות הנזק. אחת הבעיות בתחום הסייבר היא הערכת נזק של המרכיבים שאינם מוחשיים. קשה לחשב אומדן נזקים כמו הפסד כספי עקב פגיעה במוניטין. עם זאת, התקנות החדשות מחייבות את חברות הביטוח להתאמות.

תגובות

הזינו שם שיוצג באתר
משלוח תגובה מהווה הסכמה לתנאי השימוש של אתר TheMarker