לי זה לא יקרה? התקפות סייבר נהפכות לשגרה, ושוק הביטוח נגדן צומח - TechNation - TheMarker
 

אתם מחוברים לאתר דרך IP ארגוני, להתחברות דרך המינוי האישי

טרם ביצעת אימות לכתובת הדוא"ל שלך. לאימות כתובת הדואל שלך  לחצו כאן

תיק מניות

רשימת קריאה

רשימת הקריאה מאפשרת לך לשמור כתבות ולקרוא אותן במועד מאוחר יותר באתר,במובייל או באפליקציה.

לחיצה על כפתור "שמור", בתחילת הכתבה תוסיף את הכתבה לרשימת הקריאה שלך.
לחיצה על "הסר" תסיר את הכתבה מרשימת הקריאה.

לרשימת הקריאה המלאה לחצו כאן

לי זה לא יקרה? התקפות סייבר נהפכות לשגרה, ושוק הביטוח נגדן צומח

הסיכון לחברות ממתקפות סייבר הוא כבר מזמן לא חשש מופרך אלא מציאות יומיומית ■ חברות הביטוח מגבשות מוצרי ביטוח רלוונטיים, וחברות היי־טק נכנסות לתחום ומציעות הערכת סיכונים, מודלים לחישוב פרמיות וצוותי כוננות לשעת חירום

מרכז לביטחון סייבר
אי־פי

באחרונה הכריזה ענקית הביטוח היפנית סומפו (Sompo) על הקמת פעילות סקאוטינג (איתור) בישראל, למציאת חברות סייבר מעניינות כדי לצרף אותן לפורטפוליו המוצרים שלה ולשווק אותן ביפן. סומפו מינתה את דלויט לאחראית על איתור הפתרונות המעניינים.

אבל בעצם, מה לחברת ביטוח ולסייבר? מתברר שלא מעט. עם עליית הנזקים הכספיים שיוצרות מתקפות סייבר, עולה גם הצורך לגדר את הסיכון באמצעות ביטוח. מתקפת NotPetya מיוני האחרון יצרה נזק ביותר ממיליארד דולר — וזה הסכום שידוע רק מהחברות שהיו מחויבות בדיווח לבורסה. הנזק נגרם ממגוון גורמים: אובדן מידע, תשלום כופר, השבתת קווי ייצור, פגיעה באספקת המוצרים, תביעות צד ג', פגיעה במותג ואף ירידה בערך מניות.

ככל שאיומי הסייבר מחלחלים לתודעת דרגי ההנהלה וחברי הדירקטוריון עולה המודעות והביקוש למוצרי ביטוח סייבר וחברות גדולות, גם במשק הישראלי, הצטרפו למגמה. בעבודה מ–2014 העריכה פירמת הביטוח והייעוץ PwC כי סך כל השוק העולמי למוצרי ביטוח סייבר יגדל עד 2020 פי שלושה — מ–2.5 מיליארד דולר ל–7.5 מיליארד דולר.

בישראל, חברות ביטוח כמו מנורה, AIG, איילון ואחרות, מוכרות ביטוח סייבר בעיקר לעסקים גדולים. אפשר להעריך בזהירות שבשנים הקרובות, עם מהפכת הדיגיטל, התחום רק יתפתח, ובכל זאת, הרבה ארגונים עדיין יושבים על הגדר.

.

"בעיה שהטכנולוגיה לא מצליחה לפתור"

"סייבר זאת בעיה טכנולוגית — שהטכנולוגיה לא מצליחה לפתור", מסביר אבירם גביש, סמנכ"ל משפטי וביטוח מסחרי ב–AIG. "בסופו של דבר, אחת לכמה זמן גורם תוקף מצליח לחדור ולגרום נזק. זה יכול להיות מישהו שרוצה לגנוב את מסד הנתונים של החברה, לדרוש כופר או לאיים איום אחר, והעסקים רוצים רשת ביטחון. הסייבר הוא כמו כל סיכון — או שאתה לוקח אותו, או שאתה מונע אותו, או שאתה מעביר אותו למישהו אחר, באמצעות ביטוח הסייבר".

אלא שביטוח סייבר הוא לא מוצר רגיל, בוודאי לא כמו מוצרי הביטוח האלמנטריים שאפשר פשוט להירשם אליהם באינטרנט — והתמחור שלו הוא אתגר גדול לחברות הביטוח. "יש שתי בעיות אינהרנטיות בביטוח סייבר", מסביר יותם גוטמן, סמנכ"ל השיווק של חברת CyberDB. "הראשון הוא שאין לחברות הביטוח מידע אקטוארי ארוך שנים כדי לתמחר את הביטוח נכון, והשני הוא שחברות הביטוח לא יודעת מה מותקן אצל הלקוח — כלומר כיצד הוא מתגונן. כשמדובר במכונית, המבוטח עובר טסט — אבל בסייבר, אם הלקוח אומר, 'יש לי פיירוול' (חומת אש — אמצעי הגנה על תקשורת ארגונית; א"ז), זה לא מספיק — אולי הפיירוול בכלל לא דולק".

.

גביש מכיר את האתגרים: "תהליך החיתום (קביעת עלות הפוליסה; א"ז) כולל שאלון חיתום וכן סקר מקיף שנעשה על ידי חברה ש–AIG התקשרה עמה, וכולל פרמטרים רבים, גם בארגון ביחס לעצמו וגם מול התעשייה שבה הוא פועל. בדרך זו הלקוח מקבל אינדיקציה מגורם מקצועי היכן הוא עומד מבחינת חסינות הסייבר שלו".

לדבריו, המחיר של ביטוח סייבר מתחיל באלפי דולרים בשנה לעסק קטן, עולה עד עשרות אלפי דולרים בשנה בתחום מסוכן, "ומבנק הייתי מצפה לשלם יותר משש ספרות במונחים דולריים בשנה. באתר כמו של 'הארץ' מוחזקים פרטי אשראי של לקוחות, שהם אמנם נתונים מעניינים, אבל פחות, למשל, ממאגר המידע במחלקת האורולוגיה בבית חולים. צריך גם למדוד רגישות להפסקת עבודה, ועד כמה הפרופיל הציבורי של הארגון גבוה.

"הביטוח מכסה תשלום כופר, אם שולם — והאמת שבישראל עוד לא היתה לנו תביעה בגין תשלום כופר — וגם תביעות צד ג' ועוד, אבל לא נזק למוניטין, שהוא אמורפי. יש גם כיסוי שמכונה incident response team, או IRT, לצוות שמוזנק ומסייע לארגון להתמודד עם הפריצה. יש לנו התקשרות עולמית בנושא עם חברת KPMG, שיש לה מומחים לנושא. במסגרת הכיסוי אנחנו נותנים 12 שעות של יועצים בחינם, מפני שהאינטרס שלנו ושל המבוטח הוא זהה — למזער את הנזקים מוקדם ככל האפשר. הייעוץ הוא לא רק טכנולוגי אלא יכול להיות גם משפטי — למשל, למי בממשלה צריך להודיע, האם לעדכן את הלקוחות וכדומה".

בישראל, מרבית הארגונים מעדיפים שלא לרכוש ביטוח סייבר. בראיון במאי 2017 אמר גביש כי להערכתו, רק 10% מהחברות הציבוריות הישראליות רכשו ביטוח סייבר, אך כל מתקפת סייבר גלובלית גורמת לזינוק בביקוש. גביש מסביר: "בישראל יש אמונה מוחלטת בטכנולוגיה (במוצרי ההגנה; א"ז) וגם תחושה מאוד ישראלית ש'לי זה לא יקרה'. בסוף זה עוד סעיף הוצאה ובעיני, המגזר העסקי מעריך הערכת חסר את הסיכון. סיכון הסייבר הוא כבר לא בעיה של מנהל מערכות המידע, אלא משהו שכל הנהלת החברה צריכה להיערך לו".

אבירם גביש, סמנכ"ל ב-AIG: "סיכון הסייבר הוא לא בעיה רק של מנהל מערכות המידע, אלא משהו שכל הנהלת החברה צריכה להיערך אליו"
סיון פרג'

משאירים את הלקוחות המסוכנים למתחרים

כמה חברות היי־טק נענות לאתגר הערכת הסיכונים בביטוחי סייבר, ומנסות לשקף טוב יותר לחברות הביטוח מה רמת הסיכון של הלקוחות. תפקיד נוסף, או חזון נוסף, של החברות האלה הוא לפשט את תהליך החיתום, ולהעביר אותו תהליך אוטומציה, כך שגם חברות קטנות יוכלו לרכוש ביטוח סייבר.

אחת מהחברות האלה היא Cyberwrite, סטארט־אפ בתחום הערכות סיכון הסייבר עבור חברות ביטוח, שאותה הקים ניר פרי אחרי כמה תפקידים באקנסצ'ר ו–PwC. "הנושא של ביטוח סייבר קיים כבר מתחילת שנות ה–2000, אבל מ–2014 הוא התחיל לצבור תאוצה עקב אירועים גדולים כמו הפריצה לרשת החנויות טארגט", אומר פרי. "בהתחלה זה היה עסק רק של חברות פורצ'ן 1000, אבל זה מתחיל להשתנות.

"אנחנו מתמודדים עם אתגר החיתום. בחברה גדולה החתם יעשה הערכה בחצר הלקוח, אבל כשחברה קטנה רוכשת ביטוח סייבר של 1,000–10,000 דולר, לא משתלם לשלוח אליה צוות. לחברות הביטוח חשוב לדעת כמה ארגון הוא מסוכן ביחס למתחרים, ומה הנזק הפיננסי שאליו חשוף הארגון, כי הם רוצים לקחת את החברות הבטוחות יחסית ולהשאיר את המועדים לפורענות למתחרים.

"אנחנו פיתחנו מערכת שאוספת מידע באופן אוטומטי מאלפי מקורות באינטרנט ומשתמשת במודלים ביטוחיים של ניתוח סטטיסטי כדי להציג לחברת הביטוח את רמת החשיפה של חברה. אנחנו בודקים אם יש מידע גלוי יש על הארגון, האם יש סביבו קשקשת ברשת (הכוונה לרשת האפלה, Dark Net; א"ז), ואפילו מה רמת שביעות הרצון של העובדים בחברה. ביחד מגיעים לכיסוי הביטוחי שנדרש לארגון. המידע הזה משמש את החתם והסוכן".

זה כבר עובד?

ניר פרי, מנכ"ל Cyberwrite: "לחברות הביטוח חשוב לדעת מה רמות הסיכון והנזק שאליהן חשוף הארגון"
ליאור סוסנה

"אנחנו חברה צעירה. קמנו בשנה שעברה — ויש לנו שני פיילוטים שרצים בחברות ביטוח ולמעלה מ–50 אלף דו"חות על חברות שכבר הנפקנו. גייסנו מיליון דולר ואנחנו יוצאים לסבב ראשון כעת".

להעריך את הסיכון — מתוך הארגון

חברת Cyber Observer מציעה גישה מעט שונה להערכת הסיכון — מהקרביים של הארגון. שמעון בקר, מייסד שותף בחברה, מסביר: "ארגונים מתקינים היום עשרות כלי סייבר, ואנחנו מקלים עליהם לקבל תמונת מצב של ההגנה. תחום הביטוח הוא אחד מקווי העסקים שלנו, וכרגע אנחנו בשיתוף פעולה עם AIG וסוכנות הביטוח האודן בביטוחי סייבר".

בקר מסביר כי כפי שחברות ביטוח דורשות התקנת איתוראן מבעלי מכוניות, או התקנת סורגים מבעלי דירות, "פיתחנו מערכת דומה מאוד לעולם הסייבר. אנחנו מגדירים אוסף של חיישנים על מערכות של הארגון ומוודאים שהן פועלות ומוגדרות כמו שצריך, וכך יוצרים תמונת מצב לחברה ולחברת הביטוח".

הביקורת עליכם ועל מערכות מתחרות היא שאתם בפועל "מלשינים" לחברות הביטוח, שבמקרה של תביעה יוכלו להגיד "הפיירוול לא עבד".

"אפשר להסתכל על זה ככה, אבל אפשר גם לראות את זה כמערכת התרעה שאומרת לארגון מה לא עובד ומה כדאי לבדוק. אנחנו מספקים לארגון נראות על כמה טוב הוא מכוסה, וזה יכול להיתרגם לפרמיה שהוא משלם, ומהצד השני חברת הביטוח יכולה לקחת סיכונים נכונים".

"חברות הביטוח לא ערוכות לקבל עזרה"

רותם אירם, מנכ"ל At-Bay: "בסייבר הסיכון משתנה כל הזמן — פגיעויות ישנות נסגרות, וחדשות נולדות"

חברה הזנק אחרת, At–Bay, הלכה צעד אחד הלאה. היא לא רוצה לסייע לחברות הביטוח, אלא להחליף אותן בביטוחי סייבר. החברה הודיעה באחרונה על גיוס Seed מרשים של 6 מיליון דולר, בו השתתפו לייטספיד ונצ'רס והיזם שלמה קרמר.

רותם אירם, המייסד והמנכ"ל, מסביר: "אחרי שבמשך הרבה שנים ניסיתי לעזור לחברות ביטוח, הבנתי שהן לא כל כך ערוכות לקבל עזרה. עולם הביטוחים הרגילים יודע לעבוד עם סיכונים סטטיים — מה שקרה בשנה שעברה יהיה דומה לשנה הקרובה. הבעיה בסייבר שהסיכון משתנה מהר: בצד אחד יש תוקף אנושי, שזה סיכון פחות חזוי מאש, למשל, ומהצד השני יש רשת ארגונית שכל הזמן משתנה. אפילו שדרוג מערכת הפעלה מגרסה 10 לגרסה 10.1 משנה לגמרי את הסטטוס, כי פגיעויות ישנות נסגרות, וחדשות נולדות.

חברת ביטוח מחשבת את הסיכון לשנה קדימה, ואפילו אם היא מחשבת אותו בצורה אופטימלית, היא לא יכולה לדעת שפתאום כל פרצות ה–NSA ידלפו לרשת ויהפכו לכלי תקיפה. אם זה היה תלוי בי, הייתי יוצא עם פוליסה שבכל יום משתנה בה התמחור — אבל ברור שחברות לא מוכנות לקנות מוצר כזה".

אירם מסביר על הפתרון שמציעה At–Bay: "מצד אחד אנחנו יוצרים תמונת מצב טכנולוגית של הלקוח, ומצד שני מחזיקים תמונת מצב חיצונית על בסיס מחלקת המודיעין שלנו. מרגע שרכשת ביטוח, האינטרס של שני הצדדים הוא שלא יהיה נזק מתקיפה, ואז כחלק מהשירות אנחנו מתריעים בפניך על איום חדש ומציעים איך לטפל בו".

At–Bay בנתה את כל הלוגיקה של המערכת הביטוחית בעצמה, אבל היא מגובה בפוליסה ובכיסויים על ידי הענקית הגרמנית Munich Re, שהיא גם הבסיס לצוותי הכוננות במקרה של הקפצה.

אתם פונים גם לעסקים קטנים?

"כן. למעשה, סיטי בנק, שיש לו 400 אנליסטים, לא צריך אותנו בשביל הערכת סיכונים" מסביר אירם. "אנחנו פונים לשוק הביניים. החוזקה שלנו היא לקוחות של 100–1,000 עובדים, אבל מה שחשוב יותר ממספר העובדים הוא רמת הסיכון. מכרנו ביטוח למשל גם לחברה של 15 עובדים, אבל זאת קרן השקעות, אז היא רגישה יותר למתקפות".

הביטוח כבר בפנים

מגמה חדשה בעולם הסייבר היא לכלול את הביטוח כבר במוצר עצמו — חברות מוכרות מוצר הגנתי, ומציעות כיסוי ביטוחי במקרה שהוא נכשל. לפחות שתי חברות סייבר ישראליות — סנטינל וואן (Sentinel One) וסיימטריה (Cymmetria) — מציעות אחריות על המוצר בתצורה של ביטוח נזקי סייבר במקרה של פגיעה. גדי עברון, מנכ"ל סיימטריה, מסביר: "ענף הסייבר הוא ענף שלא נותן אחריות — אתה קונה מוצר ומקווה לטוב. יש עכשיו כמה חברות שמנסות לעשות שינוי. אנחנו נכסה ללקוחות שלנו נזקי סייבר של עד מיליון דולר, וזה כלול במחיר המוצר. זאת אחריות, אבל היא מגובה בחברת ביטוח בינלאומית". האחריות של סנטינל וואן היא על נזקי כופר, וכוללת כיסוי של עד 1,000 דולר לנקודת קצה, ומיליון דולר בסך הכל.

תחום ביטוח הסייבר הוא ענף צומח אבל הוא עדיין בשלב ראשוני, מסורבל, שעוד רחוק ממוצרי הביטוח האלמנטריים (דירה, רכב, נסיעות לחו"ל) שאפשר להפעיל מהאינטרנט. "בשלב הזה, זה קצת כמו שעל כל ביטוח רכב היה בא טכנאי ומסתכל בשאסי", מסכם גוטמן. ניתן להעריך שבשנים הקרובות, עם השתפרות הטכנולוגיה והצטברות נתונים ההיסטוריים, הענף יעבור תהליך שיהפוך אותו לפשוט ונגיש יותר.



תגובות

דלג על התגובות

בשליחת תגובה זו הנני מצהיר שאני מסכים/מסכימה עם תנאי השימוש של אתר TheMarker

סדר את התגובות

כתבות ראשיות באתר

כתבות שאולי פיספסתם

*#