אתר הביטוח - איגוד והתאחדות המבטחים בישראל

















דירקטורים חשופים ברשת. האם הדירקטוריון אחראי היום גם במקרה של מתקפת סייבר על הארגון?

הכיסויים הביטוחים הסטנדרטיים אינם נותנים מענה לסיכון הסייבר שאינו נמצא ברשימת הסיכונים של פוליסות הרכוש ואינו וגם אינו נמצא בהגדרת מקרה הביטוח של ביטוחי החבויות
 

עו"ד ריטה בעל טקסא

לפני כעשור, התרגלנו לשמוע שמזהירים אותנו מפני קריירה של דירקטור, כי דירקטורים הם: "חשופים בצריח". השימוש במילה צריח, היא אמנם מטאפורית, אך שייכת לעולם הישן. עולם שבו מי שעולה לצריח חשוף לעיני כל ולפגיעה.

בשנים האחרונות, אנחנו חשופים בעיקר במחשכים. לא בכדי הרשת בה בוחרים התוקפים הווירטואליים להשתמש נקראת ה- THE DARKNET.

מנהלים בארגון אינם יכולים להתעלם מסיכון עולה שתופס היקף רחב יותר ויותר בפעילותו של הארגון.

הסיכון העולה הוא הסיכון לכשל מערכתי, שלא כתוצאה מסיכון פיזי מוכר כגון: אש, רעידת אדמה, נזקי טבע, הצפות וכד'. הכשל המערכתי יכול שיקרה באופן מכוון על ידי האקר (פצחן) ויכול שיקרה בגלל טעות אנוש. הקושי להוכיח את מקור הכשל, הוא הסיבה שההתייחסות הענפית ל- EMERGING RISK OF THECNOLOGICAL FAILIURE, אינה דורשת הוכחה לקיומה של  "מתקפת סייבר".

הכיסויים הביטוחים הסטנדרטיים אינם נותנים מענה לסיכון הסייבר שאינו נמצא ברשימת הסיכונים של פוליסות הרכוש ואינו וגם אינו נמצא בהגדרת מקרה הביטוח של ביטוחי החבויות. יתרה מכן, בשני המקרים, קיימת מגמה ברורה של המבטחים בעולם, להוסיף חריג לגבי אירועי סייבר לפוליסות הרכוש והחבויות המסורתיות.

אז, מה יעשה דירקטור, על מנת לעמוד בסטנדרטים המחויבים לניהול נכון של הסיכונים אליהם חשוף הארגון?

חובתו של הדירקטור לבחון את מפת הסיכונים של הארגון. לגרום לכך שיתכנסו להם יחדיו, מיטב המוחות של החברה ויערכו קונסוליום שינוצח על ידי איש מקצוע, בו יריצו מאות תסריטים של מתקפות סייבר אפשריות וכיצד הן משפיעות על הארגון מכמה פנים: 

1.  הפן המשפטי: מחד, איזה חובות רגולטוריות מופרות בעצם העובדה שהתאפשרה מתקפה כאמור. מאידך, אילו חובות רגולטוריות, צפות ומחייבות את הארגון ברגע שלאחר גילוי הנזק. דיווחים לבורסה לרשות לניירות ערך ולאינדיבידואלים שנפגעו (תלויה ברגולציה מקומית ומשתנה ממדינה למדינה).


2.  הפן העסקי: אילו נזקים יגרמו לארגון עקב שיבושים או השבתה של המערכות עד שתוקמנה מחדש (אבדן רווחים).


3.  הפן המערכתי: כיצד יאותר מקור הבעיה, כיצד יטופל וינוקה וכיצד תועלה לאוויר המערכת מחדש, נקייה מכל בעיה. כל זאת, במועד הקרוב ביותר ותמורת העלויות הנמוכות ביותר.

4.   הפן הפיננסי: כיצד הדבר משפיע על המאזן של החברה, על התקציב, על מחיר המניה, על מצב רוחם של המשקיעים וכד'.


5.   הפן התדמיתי: כיצד אנו מגיבים? איך מנהלים את המשבר הזה?

 

מוכנותו של הארגון תלויה בהכנה נכונה, המורכבת משלושה פרמטרים:

1.     מיגון מיטבי של המערכות.


2.  עריכת מיפוי של הסיכונים ורכישת ביטוח סייבר המותאם לארגון, לצרכיו ולמיפוי הסיכונים הספציפי שלו.


3.    התייחסות לנושא מתקפת סייבר בפרוטוקול ה- Business Continuity Plan. חובה לייחד פרק עצמאי בתכנית למתקפת סייבר. אין דומה מתקפת סייבר לאירוע של שריפה או לאירוע של רעידת אדמה או הצפה.

מעבר להיות תכנית ה- BCP מסמך מכונן שישמש את העוסקים במשימה בפועל במקרה של אירוע. זוהי למעשה ראיה לכך שהדירקטורים פעלו כיאות, כדירקטורים סבירים, אשר נקטו בכל האמצעים הנדרשים על מנת למנוע ו/או למזער את הסיכון הכרוך באירוע מסוג זה. זהו נמל המבטחים (Safe Harbour) עליו יוכלו להסתמך בהגנתם.

לאחר האירועים המתוקשרים של השנים האחרונות לא ניתן יהיה לברוח מאצבע מאשימה לעבר דירקטורים שלא פעלו בכדי למנוע ו/או למזער את הסיכון. ברור כשמש, כי מדבור בסיכון ממשי, הגבוה יותר מהסיכון לרעידת אדמה בישראל (והסיכון לרעידת אדמה בישראל נחשב כגבוה).

מספר הארגונים הרוכשים פוליסות לכיסוי סיכוני סייבר עולה בהתמדה ושנת 2015 היתה שנת שיא ברכישת כיסוי סייבר ברמה עולמית. פקיחת עיניים אל מול סיכונים אלה היא זו שתציל ארגונים מציפורני פרצות הטכנולוגיה ותאפשר את הישרדותם גם לאחר פגיעת סייבר בלתי צפויה.

בשנה קודמת, הרמתי את הדגל האדום וקראתי:  WAKE UP CALL  ...  מי שיפעל בעיניים פקוחות לרווחה, יהיה פטור מאצבע מאשימה כי נהג תוך עצימת עיניים אל מול הסיכון הגואה. אין ספק שחלק התעורר והחלק האחר, שם את הנושא כל "SNOOZE" ועבר שנה שלימה מבלי שהצליח להתעורר. תקוותי שהיא שההתעוררות תגיע לפני הנזק.

 

הכותבת משמשת כסמנכ"ל בכיר במארש ישראל