סייבר דיבייט – ריטה בעל-טכסא נ. נוי ארז

"מספר האיומים, ההתקפות והתחכום של ההאקרים נמצאים בעלייה תלולה";

"עולם הביטוח עדיין לא יודע לתת פתרון לכל הסיכונים האפשריים"

 

 

עו"ד ריטה בעל-טכסא ועו"ד נוי ארז השתתפו בכנס האלמנטרי ה-15 של עדיף במסגרתו יקיימו עימות בנושא "סיכוני סייבר, ניהול משברים והגנות ביטוחיות" | ריאיון משותף

 

 

תקופת הקורונה הקפיצה את עולמות הטכנולוגיה והדיגיטציה כמה שנים קדימה. המשבר אילץ ארגונים וחברות לאמץ שיטות עבודה שיענו על צרכי הלקוחות מבלי לקיים עמם קשר ישיר. השינוי שהתחולל גם כפה על מקומות עבודה רבים לפתח שגרת עבודה של עבודה מהבית. המחשוב הפך לעוגן מרכזי להמשך הקיימות העסקית.

להאצה הטכנולוגית היה פאן אחר. מסוכן מאוד. אירועי הסייבר התעצמו וכך גם עוצמת התקיפות שעלה משמעותית והתחכום שלהן.

עולם הסייבר, על שלוחותיו השונות, יהיה מהעוגנים המרכזיים בכנס האלמנטרי ה-15 של עדיף שישודר ב-25 בפברואר. פאנלים, הרצאות וראיונות – ידונו בקשת רחבה של נושאים, החל מהגנה על העסק ועד לניהול משבר סייבר. עימות בנושא "סיכוני סייבר, ניהול משברים והגנות ביטוחיות", יקיימו ריטה בעל-טכסא, עו"ד ומגשרת, מומחית לביטוח סייבר

ודירקטורים ועו"ד נוי ארז, מנכ"ל משותף בקריטיקל אימפקט, מומחה בניהול משברי סייבר ומשא ומתן. לקראת הכנס קיימנו אתם ריאיון משותף.

 

ענף הסייבר מכיל בתוכו עולמות תוכן רבים. מאיזה עולם תוכן אתם מגיעים ואיזו פעילות אתם מקיימים בו?

בעל-טכסא: "אני מגיעה לעולם הסייבר משלושה כיוונים שונים. הראשון, כתבתי קוד בשנותיי בתיכון הנדסאים ומתוך ההתנסות הזו אני מבינה את הדרך שבה המתכנתים בונים תרשימי זרימה בשורות הקוד שהם כותבים ואיזה כלים של בינה מלאכותית יכולים לעמוד לרשות אנשי הטכנולוגיה בשני צדי המתרס. השפה והז'רגון מוכרים לי ולכן, התקשורת בינינו היא קלה וזורמת."

"השני, הוא עולם הרגולציה. כעו"ד אני מבינה את הסביבה המשפטית והחובות שחלות על הארגונים בתחומי אבטחת הפרטיות וההיערכות הנדרשת על מנת למנוע ולכל הפחות לצמצם את החשיפה לאירועי סייבר וכמובן גם את ההתנהלות המשפטית המחויבת במקרה שאירוע מתממש.

"השלישי, הוא עולם הביטוח. כבכירה בענף הביטוח הייתי מהראשונים שהתוודעו לעולם הסייבר והציגו בפני הלקוחות את הפתרונות הקיימים בעולם הביטוח לניהול הסיכון הזה. החל מניסוח פוליסות וכלה בשכנוע מבטחי המשנה לתמוך בכיסויים הנדרשים ללקוחות ספציפיים".

ארז: "אני מגיע מעולם ניהול המשברים שבו אני עוסק במתארים שונים כבר למעלה משני עשורים, הן בעולם הצבאי-ביטחוני והן בעולם האזרחי-עסקי. כעו"ד עסקי אני פועל במשך שנים בניהול קונפליקטים מורכבים ושימשתי יועץ משא ומתן משברי לגופים גדולים במשק.

"בשנים האחרונות, עם הקמת קריטיקל אימפקט, יחד עם שותפי ד' (דורון) הדר, התבקשנו לנהל אירועי כופרה בשל הידע והמומחיות שלנו ב'לדבר עם האנשים הרעים מהצד השני' ובשל ההתמחות הייחודית שלנו לנהל משא ומתן במתארי קיצון של אולטימטום".

אילו שינויים עבר ענף הסייבר בשנים האחרונות ובפני אילו אתגרים חדשים הוא ניצב? עד כמה הם שונים במהותם מהאתגרים שהיו עד כה?

בעל-טכסא: "על אף שעולם הסייבר הוא גלובאלי במהותו, והמתקפות הן חוצות יבשות ומדינות, היה פער משמעותי ברגולציה ובהתמודדות של ענף הביטוח עם הנושא. כבר לפני יותר מ-20 שנה ארה"ב הייתה עמוק בתוך ההתמודדות עם הגנת הפרטיות והשלכותיה הרגולטוריות והביטוחיות. אירופה וארה"ב השכילו להצטרף רק במאי 2018, עת נכנסו לתוקף בפער של כשבוע תקנות ה-GDPR של האיחוד האירופי וחוק אבטחת המידע הישראלי. אמנם הסיכון קיים גם ללא רגולציה והפתרון הביטוחי היה נגיש גם קודם לכן, אך לא ניתן להתעלם מכך שהרגולציה נתנה בוסט רציני למודעות ולרצון של הארגונים להתמגן בכל דרך, טכנולוגית, תפעולית וביטוחית כנגד הסיכון. במקביל, עלתה כמותן ותחכומן של ההתקפות והפרופיל התקשורתי שלהן הפך לנחלת הציבור, הן בגלל העניין שהן מעוררות והן בשל חובת הדיווח הקיימת מכוח החוק.

"בגדול, הייתי אומרת שאם בעבר יכולנו לשמוע מנהלי IT אומרים שהם יצרו ארגון שהוא FORT KNOX, אז היום כבר אין כאלו שמתבטאים כך. היום מנהלי ה-IT, ה-CIO, ה-CISO של הארגונים יאמרו שזו לא שאלה של אם, אלא שאלה של מתי – ואם נדייק עוד יותר, המתי הוא לא ביחס לחדירה עצמה אלא ביחס לגילויה. שאלת גובה הנזק גם היא כבר מתייחסת לעד כמה הוא יהיה גבוה ולא האם יהיה נזק משמעותי".

ארז: "אין ספק שהתיאוריה הפכה לפרקטיקה, ודברים שנחשבו בעבר מדע בדיוני, הפכו להיות למציאות עכשווית. למרות שלפני שנתיים-שלוש היו גורמים שכבר הספידו את עולם הכופרה, התקפות הכופרה זכו לעדנה ולגידול משמעותי.

"מספר האיומים וההתקפות מצד אחד, התחכום מצד שני וגובה הכופר הנדרש – נמצאים כולם בעלייה תלולה. חלקה נובע מזליגה של טכנולוגיים מדינתיים או מפריצת חברות הגנה לידיים עוינות. כך למשל, אם בעבר היינו נתקלים בהתקפות שדורשות רק כופר כנגד מפתח לפתיחת ההצפנה, כיום רוב ההתקפות הן מסוג Double Extortion, דהיינו שנדרש כופר הן עבור המפתח לפתיחת הקבצים המוצפנים והן לגבי מחיקת חומר שדלף החוצה.

"גם המודלים העסקיים של המערכות היריבות התפתח וניתן למצוא יותר ויותר מודלים של RAAS (Ransom as a sericve).  בל נשכח, כי שנת 2020, שנת הקורונה עם כל העבודה מרחוק, אישורי הרשאות, קיצור נהלים, היוותה קרקע פורייה להתקפות רבות ואגרסיביות".

 

"יש לשפר את היכולת הארגונית והניהולית לנהל מצבי קיצון בעלי אופי משברי"

 

לאילו כיוונים אתם צופים שהעולם יתפתח? על מי זה ישפיע ובאיזה אופן?

בעל-טכסא: "בעתיד נראה, שכימות הנזק הפוטנציאלי יהפוך להיות מדעי יותר, בהתאמה למידע שיהיה מצוי בידי התוקפים. המתקפות הולכות ומשתדרגות מכיוון ה-'one size fits all' לכיוון ה-'precise  cut', כך שהתוקפים יודעים בדיוק את מי הם תוקפים וכמה הנתקף יכול לשלם וגם עד כמה כדאי לו להעביר את התשלום. גם המתקפות עצמן אינן מיועדות רק לסקטורים נבחרים, אלא מתפרסות על כל פלחי התעשיות".

ארז: "בערוץ התקיפה, העלייה התלולה לה היינו עדים תימשך וזאת תחת הנחה שערוץ ההגנה לא יוכל למנוע ולהגן על ארגונים באופן מלא. יחד עם זאת, בל נשכח, המודעות גברה ובעקבותיה חל גידול בהשקעות, מוצרי הגנה ופעולות היערכות.

"בערוץ הביטוח – המודעות לעיל תביא להתפתחות בפוליסות ובמקצועיות רבה יותר של השחקנים המעורבים. דבר שיביא מצד אחד לגידול במכירת הפוליסות אך גם בהתייקרותן.

"תחום הרגולציה – בעיקרו בהיבטי שמירת פרטיות יגרום לשינויים בתחומי החקיקה ורגולציה".

תקופת הקורונה היוותה מקפצה לשימוש הולך וגובר בדיגיטציה. גם איומי הסייבר גברו בהתאמה. מה הייתם מייעצים לארגונים כדי להימנע מפגיעה?

בעל-טכסא: "זה תמיד השילוש הקדוש של טכנולוגיה, היערכות וביטוח. את השימוש בשלושתם כדאי לתרגל לפני יום פקודה. נוי בטח ידע להסביר בפירוט איך מתנהל 'משחק מלחמה' שמתרגלים ארגונים כדי לא להגיע לא מוכנים לרגע האמת".

ארז: "בבסיס התשובה, חיזוק האסטרטגיה העוסקת במודעות, הכנה ובלימה. אך צריך לזכור, התיזה שבה אנו מאמינים היא ש'קו ההגנה לעולם יפרץ' ומה קורה אם תהיה התקפה? לנקודה זו, מרבית הארגונים אינם מוכנים עדיין.

"לטובת זה, יש לשפר את היכולת הארגונית והניהולית לנהל מצבי קיצון בעלי אופי משברי – בין היתר באמצעות משחקי מלחמה שמדמים מציאות כזו והשקעה בחולייה שתמיד תהיה חלשה וזו המרכיב האנושי. בין היתר, ארגונים יידרשו להתקשרות מקדימה עם גופי מקצוע לטיפול באירועים על בסיס היכרות שלהם עם בעלי התפקידים, נהלים, תרבות ארגונית וכיוצ"ב".

כיצד על ארגון לפעול ברגע שהוא נחשף והתקיימה אצלו פריצת סייבר?

בעל-טכסא: "אני ממליצה על טלפון למי שנבחר מבעוד מועד ל'מנהל האירוע'. משם זה מתנהל כמו 'טיול כוכב' מתוך חדר המצב מול כל אנשי המקצוע הרלבנטיים".

ארז: "הנהלת הארגון אינה יודעת ואף אינה אמורה לדעת לנהל משבר מסוג זה. הנהלת החברה צריכה לדעת לנהל את החברה וכן את ההמשכיות העסקית שלה. לטובת ניהול המשבר, עדיף להיעזר במומחים מכל עולמות התוכן הרלבנטיים (ניהול משברים, טכנולוגיה, משא ומתן, ביטוחי, תקשורתי) אשר ייעצו לה לנהל את המשבר (ולא ינהלו אותו).

"ככל שיש ביטוח סייבר רלבנטי, יש לפנות למבטח באופן ישיר ו/או באמצעות הסוכן או הברוקר להפעלת הצוותים הרלבנטיים. הגופים המתמחים מאוד מיומנים ויעילים.

"אין ספק ש-24 השעות הראשונות (יממת הזהב) הן השעות הקריטיות. טעויות שנעשות בשעות אלה בניהול האירוע – הן פעולות טכנולוגיות, הן פעולות למול המערכת היריבה והן פעולות למול הלקוחות/תקשורת ורגולציה, הן בעלות פוטנציאל נזק דרמטי ולכן יש חשיבות בפתיחת חמ"ל מנוהל ומקצועי כבר בשלב מוקדם".

 

"בכל פוליסה משמעותית יש לערוך התאמה לצרכים הייחודיים של הארגון"

 

האם פוליסות הביטוח הקיימות מכסות את כל האיומים האפשריים? אם לא, כיצד ניתן לפתור את זה כדי להציע פוליסות  הדוקות ככל שאפשר?

בעל-טכסא: "לא. עולם הביטוח עדיין לא יודע לתת פתרון לכל הסיכונים האפשריים, אבל בכל פוליסה משמעותית יש לערוך התאמה לצרכים הייחודיים של הארגון והנוסח הסטנדרטי מקבל ליטוש עם הדרישות שעולות מהעבודה הפרטנית שנעשית בארגון. ועדיין יש מספר תחומים שאין להם מענה מספק בענף הביטוח:

1. נזק פיזי כתוצאה מסייבר – עולם התעשייה, התשתיות, הלוגיסטיקה הרפואה וכיוצ"ב נשאר חשוף לנזקים הפיזיים שעלולים לקרות ממקור 'סייברי'. פוליסות הרכוש והחבויות למיניהן מחריגות יותר ויותר אירועי סייבר, ופוליסות הסייבר מוגדרות כך שהן יכסו נזקים פיננסיים בלבד. במקרים בודדים בלבד הוסבו פוליסות 'טרור' על בסיס נזק ראשון לכיסוי נזקי סייבר. מובן שאין בכך בכדי להחליף את ה- MPL(Maximum Probable Loss).

3. כיסוי לאבדן רווחים שיניוני – כלומר אבדן רווחים הנגרם לנו כתוצאה מאירוע סייבר אצל ספק או אבדן רווחים שנגרם ללקוח שלנו כתוצאה מאירוע סייבר אצלנו. כמובן גם אירוע נגרר, כתוצאה מאירוע סייבר אצל ספק שגורם נזק שאינו מאפשר לנו לתת שירות ללקוחותינו, שבתורם נפגעים גם כן. עולם הביטוח יודע לשרת סגמנט מאוד צר של הסיכון הזה (לקוחות וספקים) שקשור באירוע של דליפת מידע אישי.

4. נזקי מוניטין – נזקים אלו אינם מבוטחים לרוחב כל תעשיית הביטוח בהיותם קשים לכימות ומדידה מחד, ורחבי טווח, מאידך. העיסוק במוניטין גם עלול לטשטש אינטרסים נסתרים ו/או זרים שיכנסו לתמונה במועד דרישת הפיצוי. תחום זה יכול ליהנות מיוזמה פרמטרית עם פיצוי מוסכם מראש.

5. פיצוי מוסכם – כיסוי המופעל בהתקיים אירוע אובייקטיבי, ברור ומדיד הנקרא בלשון המקצועית, ביטוח פרמטרי, ללא פורנזיקה טכנולוגית ו/או חשבונאית. בהתקיים טריגר שהוגדר מראש – יתקבל פיצוי מוסכם. עולם הביטוח מתקשה לקבל את הקונספט המערער את הגישה, שהינה מיסודות ענף הביטוח, כי ביטוח לא נועד להעשיר את רוכש הביטוח. גישה שמקורה במטרה להימנע מסיכון מוראלי וחקירת יתר ביחס לאותנטיות של הצורך של מי שמבקש לרכוש את הביטוח ופוטנציאל ניצולו לרעה באופן זדוני.

נכון להיום, עולם הביטוח משקיע מאמצים מקצועיים ניכרים, הכרוכים בעלויות גבוהות על מנת לוודא את קיומו ואת היקפו של כל נזק נתבע. הרחבת הגישה הפרמטרית תגרום להסטה (SHIFTING) של עלויות אלה ממועד קרות הנזק למועד רכישת הביטוח, אלא אם יוגדר מוצר צר עם גבולות ברורים (טריגר/פרמטר) עם תחשיב פיצוי מוסכם שחישוב הפיצוי המוקנה בו פשוט ושקוף ללא מרחב לשיקול דעת".

ארז: "למרות שאנו עובדים הרבה עם מבטחים ועבור מבטחים, אנו לא מומחי ביטוח ולכן ההמלצה שלי היא לקחת יועץ ביטוח ולהתאים ביטוח ייעודי לארגון ופחות ללכת על מוצרי ביטוח גנריים. מהניסיון שלנו ראינו מקרים בהם, לכאורה היה ביטוח סייבר, אבל בסופו של דבר הסתבר שהוא לא כיסה את האתגרים שעל הפרק – למשל סוגיית המשא ומתן והכופר".

 

  

סיכוני הסייבר, ניהול משברים והגנות ביטוחיות – דיון מקצועי לקראת כנס האלמנטר השנתי של Adif communications עם שותפי לראיון – Noy Erez

ריטה בעל-טכסא, עו"ד ומגשרת. מומחית בביטוחי דירקטורים וסייבר ויועצת לדירקטוריוניםRBTration Ltd.

Please follow and like us:

לתגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *