ההאקר לא פוגש את סוכן הביטוח: מה חסר בסצנת הסייבר הישראלית
ישראל היא אולי מעצמת סטארט־אפים בלוחמת רשת, אך נשארת מאחור בתחום אפרורי וחשוב. ביטוחי הסייבר, שבעולם המערבי הפכו לשיטה לצמצום נזקי ההאקרים, כמעט אינם קיימים בארץ. חברות הביטוח: "החקיקה לא מעודדת את זה"
זוהי שעתו הגדולה של הסייבר. לוחמת רשת ואבטחת מידע הפכו לשניים מהתחומים המדוברים ביותר בעולם הטכנולוגיה, ונראה שלא עובר יום בלי שעוד סטארט־אפ מציע עוד דרך להגן על מחשבים, סמארטפונים ומכשירים אחרים. בישראל, לפי נתוני IVC, חל ב־2015 גידול של 40% בהיקף האקזיטים של סטארט־אפים בענף הסייבר, שהסתכמו ב־1.2 מיליארד דולר.
- סייבר ארק ממשיכה לקנות: רכשה את אגתה מהוד השרון
- כך הבנקים הפסיקו לפחד והחלו לאמץ את תעשיית הפינטק
- חוקרים ישראלים: כשליש מהאתרים המאובטחים בעולם חשופים לפריצה
יש רק בעיה אחת: כפי שיודע כל האקר ואיש אבטחה, אין מערכת שאי אפשר לפרוץ, לא משנה עד כמה ההגנות עליה משוכללות. ופריצה כזאת בארגון גדול עלולה לגרום לנזקים אדירים.
התובנה הזאת יצרה תת־ענף נוסף, שלא מתמקד בניסיון למנוע את המתקפות, אלא במאמץ למזער את נזקיהן העסקיים והפיננסיים. לצד חברות שמטפלות בפריצות בזמן אמת, כמו סטארט־אפ הענק טאניום של משפחת הינדאווי הישראלית־לשעבר, נכנסו לוואקום גם חברות הביטוח המסורתיות. אלה נוהגות להציע בעולם המערבי "ביטוחי סייבר", שבגרסאותיהם המורחבות מכסים כמעט כל אספקט של פריצות האקרים: מעצירתן בזמן אמת, דרך ייעוץ טכני, עסקי ותקשורתי ועד פיצוי כספי. אלא שבעלי עסקים בישראל, שירצו להגן על מערכות המחשוב שלהם בדרך זו, יגלו שהאפשרויות שלהם מוגבלות מאוד.
אין הגנה מאנונימוס
שלוש חברות ביטוח מוכרות כיום ביטוחי סייבר בישראל: AIG, מנורה מבטחים והראל. מלבד התחרות המצומצמת, הפוליסות אינן נותנות מענה מלא לחברות הישראליות. הפוליסה של מנורה, המהווה חלק מביטוח העסקים של החברה, חלקית וכוללת שירותים נלווים בהיקף מצומצם יחסית. בהראל המצב דומה. זו של AIG רחבה יותר, אך זהה לפוליסה שנמכרת בארצות הברית ואינה מתייחסת לאיומים הרלבנטיים יותר לעסקים ישראליים, כמו סייבר־טרור או מתקפות של תנועות דוגמת אנונימוס - שאמנם מתקשה לחדור למערכות מורכבות, אך אוהבת במיוחד להפיל אתרים כחול־לבן.
שי סימקין, מנכ"ל Howden בישראל: "בעולם האחריות על הסייבר עברה ממחלקת ה־IT להנהלה הבכירה" צילום: אוראל כהן
הדלילות הזאת מפתיעה בהתחשב בכך שביטוחי סייבר הם אחד השווקים הצומחים ביותר בעולם הביטוח כיום. לפי דו"ח של חברת הייעוץ KPMG, אם ב־2013 היקף פרמיות הסייבר בארה"ב עמד על 1.3 מיליארד דולר בלבד, הרי שב־2014 הוא כבר צמח ל-2 מיליארד דולר, ובשנה שחלפה הסתכם ב-2.75 מיליארד דולר. התחום טרי כל כך שחברות הביטוח עדיין מתקשות לאמוד נזקי מתקפות האקרים בצורה מדויקת, ובמקרים רבים נאלצות להתבסס על הערכות מושכלות, אך הן זיהו את הביקוש והפוטנציאל הכלכלי ודאגו ליצור פוליסות בהתאם.
להתפתחות התעשייה תרמו כמה פריצות מתוקשרות לחברות ענק, ובהן ג'יי.פי מורגן, הום דיפו וטארגט. במקרה של האחרונה, ביטוח הסייבר מנע ממנה לספוג נזק כספי כבד: ב־2014 נחשף כי האקרים הצליחו לגנוב מרשת הסופרמרקטים עשרות מיליוני מספרי כרטיסי אשראי ופרטים אישיים אחרים. הם גרמו לה נזק המוערך ב-150 מיליון דולר, שאליו נוספו תביעות משפטיות בהיקף של 50 מיליון דולר. אלא שטארגט קיבלה החזרים ניכרים מחברות הביטוח שהסתכמו ב־180 מיליון דולר, וכך מזערה מאוד את הנזק. חברה ישראלית שתעמוד בפני מקרה מקביל תהיה, ברוב המקרים, מוגנת הרבה פחות.
טארגט. האקרים גרמו נזק המוערך ב-150 מיליון דולר צילום: בלומברג
גם בתעשיית הביטוח המקומית מודים שמדובר בבעיה. "תחום ביטוחי הסייבר אינו מפותח דיו בישראל", אומרים ל"כלכליסט" נציגי הענף שאיתם דיברנו על הנושא - שרון שחם, סמנכ"לית הביטוח המסחרי ב־AIG; יעל פינקלמן נייגר, מנהלת החיתום והתביעות באגף העסקים של מנורה מבטחים; ושי סימקין, מנכ"ל הנציגות הישראלית של סוכנות הביטוח הבריטית Howden, שמשווקת את ביטוחי הסייבר הזמינים בשוק.
"בעולם המצב שונה לגמרי. האחריות על הנושא עברה בשנים האחרונות ממחלקת ה-IT למנהלים ואף למנכ"ל", אומר סימקין. "בעקבות הפריצה לטארגט, למשל, כל ההנהלה הבכירה אולצה ללכת הביתה". ישראל עדיין לא שם, ולא רק בגלל חוסר מודעות לנושאי אבטחה מצד העסקים. הבעיה העיקרית, מסכימים השלושה (כמו גורמים רבים אחרים בתחום, ולא רק בעלי אינטרסים) נובעת מחובת הדיווח על אירועי סייבר. או יותר נכון מהיעדרה.
הדיון שאינו נגמר
עם כל הכבוד לסצנת הסטארט־אפים הצומחת בתחום האבטחה, בכל הנוגע לחקיקת סייבר ישראל עדיין נמצאת הרבה מאחורי ארה"ב. שם, בעקבות הפריצות לחברות ענק וגם לארגונים ממשלתיים, הקונגרס החליט להתערב. הממשל מחייב חברות לדווח על חדירה למערכות המחשב שלהן, ומגדיר מה עליהן לעשות בכל מקרה.
ל־FB- לדוגמה יש סמכות לבדוק מחשבים של חברות שעברו מתקפת סייבר, גם אם הן אינן מעוניינות בכך. הבולשת מעבירה לחברה את פרטי הפריצה הידועים לה (למשל, מאיזה מחשב התבצעה), וזו מחויבת להגיב ולפתור את הבעיה — בעזרת חברות הסייבר והשירותים שמעמידות לרשותן חברות הביטוח. באופן טבעי, חברות שיודעות כי לא תהיה להן אפשרות להסתיר מתקפות האקרים, ושנדרשות לנקוט צעדים בעקבותיהן, יפנו יותר לפתרונות ביטוחיים.
"וזו הבעיה המרכזית בישראל מבחינתנו", אומרים נציגי חברות הביטוח. "הכנסת אמנם דנה בחקיקה בנושא, אך זו עדיין לא עברה". למעשה, מדובר בדיון ותיק למדי: הצעת החוק לחייב עסקים בדיווח על אירועי סייבר הוגשה עוד ב-2012, אך יוזמיה - אורי מקלב ומשה גפני מיהדות התורה, לצד חברי כנסת שכבר אינם מכהנים - לא הצליחו להעביר אותה. משרד ראש הממשלה התנגד לה מסיבה שאינה ברורה, ורק שנתיים לאחר מכן, ב־2014, היא הצליחה לעבור בקריאה טרומית. אלא שנפילת הממשלה קברה את ההצעה, שהוגשה בפעם השלישית במאי האחרון ולא קודמה.
על המחסור בחקיקה יכולה לפצות התערבות מצד הרגולטורים, אך גם אלה, מאשימים סימקין ושחם, "מושכים את הזמן ואינם מתייחסים לנושא". הרגולטור היחיד שחייב עד היום ארגונים לדווח על אירועי סייבר הוא המפקח על הבנקים, בהוראה כללית, מעורפלת למדי ונטולת סנקציות. רגולטורים אחרים לא פרסמו הנחיות דומות, כשמשרד הבריאות למשל עמל על ניסוחן כבר שנתיים. "ללא חובת דיווח המצב יישאר בעייתי", מסכמים השלושה. "כנראה שום דבר לא ישתנה עד שלא יקרה אירוע חמור".
גם חברות הביטוח עצמן, אגב, אינן כפופות לרגולציה בתחום הסייבר: הממונה על הביטוח באוצר פרסם טיוטה בנושא, אך היא לא הפכה למחייבת. משרד הממונה מסר ל"כלכליסט" כי בקרוב תפורסם טיוטה נוספת ונרחבת יותר.
