Telecom News - היבט נוסף במאבק במתקפות סייבר - ביטוח כנגד נזקי סייבר

היבט נוסף במאבק במתקפות סייבר - ביטוח כנגד נזקי סייבר

דף הבית >> חדשות אבטחה ועולם הסייבר >> היבט נוסף במאבק במתקפות סייבר - ביטוח כנגד נזקי סייבר
היבט נוסף במאבק במתקפות סייבר - ביטוח כנגד נזקי סייבר
מאת: חיים חביב, 12.2.15, 15:57שרון שחם

הביטוח כנגד נזקי סייבר מספק לארגון ליווי ושירות ומתניע פעילות מבוקרת של ניהול סיכונים. חברות רוכשות ביטוח סיכוני אש למרות שיש להן מערכות מיגון מתקדמות וספרינקלרים. ובכל זאת, חברות ישראליות עדיין מציגות שיעורים נמוכים (33%) של חדירת ביטוח כנגד נזקי סייבר.

כל מנהל רציני אמור לדעת, שבכל תרחיש אימה (כמו מתקפת סייבר) לא די רק בהגנה, שמספק הרובד הטכנולוגי. מערך ניהול הסיכונים של הארגון חייב לכלול קווי הגנה נוספים כדי להבטיח את ההמשכיות העסקית של העסק בהתרחש אירוע דרמטי. האמצעי הנוסף הזה הוא הביטוח, שמספק לארגון שכבת מגן (שכפ"צ) כלכלית. הוא אינו מחליף את ההגנה הטכנולוגית אך משלים אותה ומקנה לארגון רשת בטחון כלכלית לעת משבר.

על הסוגיה הזו שוחחתי עם שרון שחם, (בתמונה), סמנכ"לית אגף ביטוח מסחרי בחברת AIG, שהשתתפה ב-10.2.15 בוועידה השנתית ה-7 לאבטחת מידע Cyber Security בת"א ונשאה דברים בנושא.

שרון שחם: "אין תחליף לרובד ההגנה הטכנולוגי באירוע סייבר. אנו מציעים להשלים אותו ולתת לארגון ודאות כלכלית בעת משבר. המטרה היא להבטיח את ההמשכיות העסקית של הארגון לאחר האירוע.

שיעור החדירה של ביטוח כנגד נזקי סייבר עומד כיום בישראל על 33%, על אף שבארה"ב כבר הפנימו זה מכבר גישה של שימוש בביטוח סייבר כמודל פיננסי תומך, בשיעור 90%, ליצירת ודאות בהתרחש אירוע כזה. בארה"ב יש כיום מגמה חזקה לכיוון הפיכת הביטוח לדרישה ולאסדרה מחייבת של הרגולציה לעניין דרישות טיפול במידע וכד', בהליך חקיקה נמרץ בעידוד הממשל. בישראל, למרבה הפלא ועל אף המציאות המיוחדת שלנו, תמונת המצב היא שונה מאד. כאן, עד שלא מכריחים אותך, אתה לא תעשה ביטוח סייבר".

שאלה: מדוע בעצם נדרש ביטוח כזה לארגון?
תשובה: "אין מדובר בשאלה אם קיימת סבירות להתרחשות אירוע כזה אלא בשאלה מתי הוא יתרחש. אירוע כזה מטיל אי ודאות גדולה על הארגון, קטן כגדול, ותפקיד הביטוח לשמש כלי פיננסי להגברת הוודאות הכלכלית ביכולת העסק להתמודד עם האירוע, להתאושש ממנו ולהשיג את המטרה של ההמשכיות העסקית".

שאלה: מה מאפייני האיומים על יכולת החברה לפעול?
תשובה: "יש מספר סוגי איומים:

1.    כשל באבטחת מידע  - עליו שומעים חדשות לבקרים. איום זה הלך והתעצם. אם בעבר, מניעי ההאקרים היו יותר הוכחה לקהילה, שיש להם יכולות לפרוץ או עניין של טובת הנאה אישית מגניבת כספים או זהות, כיום המניעים מרחיקי לכת הרבה יותר: עד כדי השבתת תשתיות מחשוב, מניעת שירות ומוצר ופגיעה קשה מאד בחברה. ארגוני טרור עוסקים בלוחמת סייבר וחברות ישראליות עומדות בחזית החברות המותקפות. גם סחיטת סייבר הפכה פופולרית, לרבות פעילות גורמים עוינים, ש"רק" מאיימים בפריצה וסוחטים את החברה כדי להימנע מפריצה והשלכותיה על הפעילות העסקית (ר' מקרה לאומי קארד, מהבולטים בישראל בשנה האחרונה). למעשה, 80% מהפריצות מקורן בדרך כלל בעובד/מנהל, שהתרשל בתום לב – למשל, disk on key או לפטופ שנגנבו.

2.    כשל מערכות מבית - כתוצאה מפעילות שוטפת בארגון של שדרוג, תחזוקה, עדכוני גרסאות וכד'. במבחן התוצאה, השלכות אירוע כזה דומות מאוד לאירוע פריצת אבטחה.

3.    סיכון לנוכח תלות גוברת בצדדים שלישיים - שימוש בשירותי ענן, דאטה סנטרים, קבלני משנה לייצור ולשירותים ועוד. ספקים אלה מהווים איום מוחשי ל"דלת אחורית" לארגון ולחשיפת החברה לאיומים, שהשליטה שלה עליהם קטנה מאוד.

שאלה: מה מאפיין ומשותף לאיומים אלה?
תשובה: "מסתבר, שבהרבה מקרים לא צריך לפגוע ממש אלא די לאיים על מנת לייצר נזק. האירוע של סוני יכול להיחשב אירוע מכונן, כי פתאום התבהר, שהפגיעה לא ממוקדת רק בחברות של כרטיסי אשראי אלא יכולה להתרחש בכל ארגון מכל סוג. חשוב לזכור, שכל אירוע סייבר מחולל אפקט דומינו: העובדים אינם יכולים לעבוד, יש פגיעה בספקים, בלקוחות ובמכירות, יש נזק למוניטין, חברות ציבוריות תספוגנה צניחה בשווי המניה ובסופו של דבר החברה תיחשף לחקירה ולתביעות. הביטוח היום הוא לא ביטוח תאונה אלא ביטוח המספק ליווי ושירות מנקודת ההתחלה ומייצר פעילות ניהול סיכונים".

שאלה: משפט סיכום והמלצות למנהל הישראלי?
תשובה: "על מנת להתגונן כראוי בפני איום מורכב ולא קונבנציונלי כמו איומי הסייבר יש להשלים את מערך ההגנה של חברה באמצעות פוליסת סייבר מודולרית, שמתאימה לצרכי הארגון ותפורה למידותיו. פוליסה כזו תכסה את הארגון בפני תביעות מצדדים שלישיים וגם תהווה כלי התמודדות ראוי לצמצום האיום על ההמשכיות העסקית ע"י הפחתת אי הוודאות הכלכלית.

אם בעבר מנהלים חשבו, שביטוח סייבר הוא בבחינת nice to have, הרי שכיום חברות גדולות, בינוניות ואף קטנות מבינות, שמדובר באמצעי שהוא בגדר חובה".

סייבר סקיוריטי



 
 
Bookmark and Share