חדשות רעות לישראל: לויד'ס הודיעה שלא תפצה חברות שייפגעו בתקיפות סייבר של מדינות
חדשות רעות לישראל: לויד'ס הודיעה שלא תפצה חברות שייפגעו בתקיפות סייבר של מדינות
על פי עדכון פוליסות הסייבר של ענקית הביטוח לשנה הבאה, היא לא תשלם פיצויים לארגונים וחברות שייפגעו ממתקפות סייבר בגיבוי מדינות. הסיבה: השכיחות הגדולה של מתקפות כאלה, הנזק העצום שהן יכולות לגרום, והיעדר היכולת הממשית למנוע נזק משמעותי
אם חברה או ארגון ייפגעו ממתקפת סייבר שמקורה בתקיפה של מדינה - או בגיבוי מדינה (nation-state) - ויש ברשותם פוליסת ביטוח של לויד'ס או של אחד מנציגיה, החברה לא תפצה אותם על הנזקים שייגרמו - כך לפי עולה מעדכון פוליסות הסייבר של החברה לשנה הבאה אשר פורסם בידי לויד'ס בשבוע שעבר.
לויד'ס היא אחת מקבוצות הביטוח הגדולות בעולם ושולטת ללא עוררין בעולם ביטוחי הסייבר. השינוי שהיא מתכננת עשוי להיות משוכפל על ידי שאר ענקיות הביטוח או לפחות להביא להתייקרות משמעותית של הפרמיות.
הסיבה למהלך, שמהווה מכה קשה עבור חברות שנסמכות על ביטוחי סייבר כדי להתמודד עם מתקפות כאלה, היא הנזק הפוטנציאלי העצום שהתקפות כאלה יכולות לגרום לשוק ביטוחי הסייבר. במילים אחרות, אין דרך למנוע נזק משמעותי שנגרם מפריצה שמקורה בהתקפה מדינתית.
התקפות כאלה רחוקות מלהיות נדירות, ובזכות היכולות של יחידות סייבר מדינתיות הן תמיד הרסניות אם הן מצליחות. למעשה רוב התקיפות הגדולות של השנים האחרונות שגרמו לנזקים גדולים מקורן בפעילות של יחידות סייבר ממשלתיות או בשליחות ממשלות.
הדוגמה האחרונה? סדרת תקיפות הסייבר בין ישראל לאיראן - כך לפי פרסומים זרים - שבין היתר השביתו נמלים ותחנות דלק באיראן וגרמו לנזקים לאתרי ממשל וחברות פרטיות בישראל. דוגמאות אחרות? פריצות הסייבר של קוריאה הצפונית לבנקים ובורסות ביטקוין, תקיפות המיוחסות לסין ברחבי העולם כדי לגנוב מידע עסקי, תקיפות של רוסיה נגד מתקני תשתיות במדינות הסובבות אותה ובעיקר נגד אוקראינה מעט קודם לפלישה אליה.
רוסיה גם אחראית לקמפיין NotPetya - נוזקה שהצליחה להשבית ולפגוע בפעילות של חברות כגון ענקית הימאות מארסק ב-2017 עם נזקים מצטברים של מיליארדים. גם חלק ניכר משירות הבריאות הלאומי הבריטי לפני כמה שנים ספג תקיפה על ידי נוזקת WannaCry שככל הנראה הונדסה בצפון קוריאה וגרמה לנזק של מיליארד דולרים, שלפחות חלק גדול ממנו נספג על ידי חברות הביטוח. אבל למרות שמתקפות כגון אלה מוכרות, בעולם הסייבר קשה מאוד לייחס באופן מלא תקיפת סייבר כזו או אחרת לגורם מדויק. גם חברות סייבר מנוסות נוהגות לספק רק "הערכה" ולא לחתום ב-100% על מקור התקיפה. הדרך היחידה היא אם מדינה מגדירה את התוקף באופן רשמי ופומבי.
זאת ועוד, בשנים האחרונות גובר השימוש בהאקרים צד שלישי כדי לבצע פעולות סייבר ממשלתיות. מעין שכירי חרב או אפילו אקטיביסטים פטריוטים ששמחים לפעול נגד גורם זה או אחר מתוך "אהבת המולדת". השינוי של הפוליסה נובע מהרצון של חברות ביטוח רבות לדייק - כלומר לצמצם - את המקרים שבהם הן חייבות לפצות את הלקוחות. כך למשל, ענקית הפארמה מרק (Merck) תבעה את המבטחת שלה לאחר שזו סירבה לפצות אותה על נזקים שנגרמו לה מאותה תקיפת NotPetya. שופט אמריקאי דחה את הטענות של חברות הביטוח והכריח אותן לשלם.
התקיפה נגד מרק עלתה כ-1.4 מיליארד דולר בנזקים ובעלויות חזרה לפעילות, לפי דיווח של הוול סטריט ג'ורנל שלשום (ו'). מרק לא היחידה שתבעה על נזקים שנגרמו מ-NotPetya, ענקית המזון מונדלז תבעה גם היא כ-100 מיליון דולר, ה-NHS - שירות הבריאות הלאומי הבריטי - תבע גם הוא כ-100 מיליון דולר לכיסוי הנזקים שנגרמו מתקיפת WannaCry. שתי התקיפות האלה יוחסו רשמית על ידי ממשלת ארה"ב לרוסיה ולצפון קוריאה. כך שהיה קל להגדיר אותן כתקיפות מדינתיות.
גם מלחמות, כגון זו של רוסיה נגד אוקראינה, מהוות בעיה. בעוד רוב חברות הביטוח מכלילות סעיפי כוח עליון או מלחמה בין הגורמים שעליהן לא יפצו בפוליסות שלהן, לא ברור עד כמה היה ניתן להגדיר סייבר כפעולת מלחמה ממשלתית. כעת מדובר במדיניות ברורה - לויד'ס לא מתכננת לפצות מי שנפגע מפעולת סייבר שמקורה בפעולה ממשלתית, ובטח כאשר זו היא חלק מפעולה מלחמתית. עבור חברות שפועלות באיזורים עם סיכון גבוה לפגיעה מפעולות סייבר מעין אלה, כלומר גם בישראל, מדובר בחדשות רעות מאוד.
