דיוני הסייבר שבהם השתתפתי תמיד הרגישו לי כמו סרט ריגול משנות ה-90. חצי מדע בדיוני. עד שיום אחד, לפני קצת יותר משנה, החשבון של הבן שלי, באחד המשחקים האהובים עליו, נפרץ. משם, כיאה לאקטוארית, הדרך למחקר מעמיק הייתה קצרה מאוד, והגילויים מעניינים אף יותר.
העולם שלנו הופך לדיגיטלי יותר ויותר, וזה אומר דבר אחד – ההאקרים חוגגים. מתקפות סייבר הן כבר לא משהו שקורה רק בסרטים, הן אמיתיות לגמרי, קורות כל הזמן, והן רק הולכות ומסתבכות. חברות מכל הסוגים והגדלים, גם חברות וסוכנויות ביטוח, נמצאות בסיכון, ואם הן לא זהירות, הן עלולות לשלם על זה ביוקר. לפי הדיווח האחרון של "השומרים של האינטרנט" (AKA מערך הסייבר הלאומי), תקיפות סייבר עולות לישראל לפחות 12 מיליארד שקלים כל שנה. כן, קראתם נכון – 12 מיליארד! אז בפעם הבאה שאתם גולשים באינטרנט, תזכרו שגם אתם שחקנים במשחק הזה.
אוקיי, אז הבנו שמתקפות סייבר זה לא פיקניק, ושההאקרים לא מתעסקים בפיצוח גרעינים. אז מה עושים?
תארו לכם שהארגון הוא טירה, וצריך לשמור עליה מפני דרקונים. בחלק מהארגונים יש "מדריך הישרדות מדרקונים" שקיבלו מהרגולטור, כלומר הנחיות וכללים לניהול סיכוני סייבר. הם חייבים לפעול לפיו כדי להישאר בטוחים. לדוגמה:
• להחליט כמה קרוב יתנו לדרקון להתקרב, ואיזה סיכון הם מוכנים לקחת.
• לדמיין כל מיני דרכים שהדרקון עלול לתקוף.
• לתכנן איך להתגונן מאש הדרקון.
• לבנות מערכת שתתריע כשדרקון מתקרב.
זה בעצם מה שארגונים עושים כחלק מניהול סיכוני סייבר.
מאפיינים ייחודיים מאוד לסיכוני סייבר
מנקודת מבט אקטוארית יש לסיכוני סייבר מאפיינים ייחודיים מאוד, למשל:
האופי המתפתח: בבסיס הסיכון עומדים מחוללי נזקים (האקרים, כן?) שמחפשים כל הזמן דרכים חדשות לבצע מתקפות. המשמעות היא שהסיכון הוא דינמי ומתפתח, וזה מסבך את החיים למי שמנסה לנתח ולהבין את הסיכונים האלה.
זמינות מידע לאירועי עבר: היעדר נתונים רלוונטיים איכותיים זמינים וריבוי מידע שלא מתוקף או מאומת על ידי גורמים מוסמכים, מוסיף לאתגר של אקטוארים. חלק ממאגרי המידע דורשים התייחסות מסויגת, תוך הבנה מלאה של מגבלות המאגר, הגדרות הנתונים או האוכלוסייה. במילים אחרות, בדרך כלל מאגר אחד לא יספיק וצריך לחפש עוד מידע ממקומות אחרים כדי להבין את התמונה המלאה.
קורלציה וסיכון קטסטרופלי: לסיכוני סייבר יש נטייה להיות בעלי השפעה מורכבת ומשתנה. לכן כשיש בעיית אבטחה במקום אחד, זה לעיתים מתפשט כמו אפקט דומינו ועלול לגרום להתרחבות הנזק למערכות אחרות או אפילו להשבתה מלאה. לכן יש צורך בשימוש נכון במודלים של התפלגות הסיכון ושילוב קורלציות בתוך המודלים.
הערכה וחיזוי נזקים: הנזק הפיננסי שאירוע סייבר עלול לגרום, שונה מאוד מארגון לארגון. הוא כולל בין היתר הוצאות לטיפול באירוע, הוצאות לשיקום והחלפת תשתיות או מערכות, אובדן הכנסות, תשלום פיצויים או קנסות, הוצאות על הליכים משפטיים ומנהליים. ואל תשכחו את הנזק לשם הטוב של הארגון – פגיעה במוניטין יכולה להסב נזק עצום שייקח שנים לצאת ממנו. עכשיו.
שילוב טכניקות אקטואריות במסגרת ניהול סיכוני סייבר
בחלק מהארגונים, סיכוני סייבר מטופלים כבעיה של טכנולוגית מידע, כזאת שרק מומחי מחשבים יכולים להבין, ויש סיכוי שמרבית האנשים בחדר לא מבינים אותם (ואולי גם מתביישים לשאול) ולכן יכולת המדידה של ההשפעה הפיננסית על הארגון מוגבלת. בארגונים אחרים, סיכוני סייבר מטופלים כבעיה אסטרטגית, כאשר ההשפעה הפיננסית על הארגון נמדדת בטכניקות שלא מבוססת על ניתוח תהליכים, קשרים בין התהליכים והשפעות עקיפות.
כדי לאפשר ניהול יעיל יותר של סיכוני סייבר, במיוחד בהיבטים של מדידת ההשפעות הפיננסיות, בשנים האחרונות התפתח שיתוף פעולה בין-תחומי מיוחד. מומחי סייבר ואקטוארים עובדים יחד על מנת לפתח מסגרות הערכת סיכונים חזקות המשלבות הן את הבנה הטכנית של איומי סייבר והן טכניקות מדידה כמותיות.
מומחי סייבר מביאים לשולחן את המומחיות שלהם בזיהוי חולשות, נתיבי תקיפה והבנת האסטרטגיות והשיטות שמשתמשים בהם גורמים עוינים. הם מספקים את התובנות האיכותיות הנחוצות להזנת המודלים האקטואריים.
אקטוארים תורמים את המיומנות שלהם בניתוח נתונים, שיטות סטטיסטיות ומידול פיננסי. הם לוקחים את המידע האיכותי שמספקים אשפי הסייבר ומתרגמים אותו למודלים ומספרים.
כך, ביחד, הם יוצרים תמונה ברורה שעוזרת לחברות לקבל החלטות מושכלות בנוגע לאסטרטגיות ניהול סיכונים. האם וכמה להשקיע בהגנה, כמה כסף לשים בצד למקרה חירום או לרכוש כיסוי ביטוחי ואיזה.
בשנים האחרונות בוצעו מספר מחקרים ועבודות בתחום אקטואריה של סיכוני סייבר ופותחו מודלים ייחודיים, אשר יישום שלהם בתהליך ניהול אבטחת מידע, מאפשר שיפור הערכת הסיכונים בכל השכבות של הארגון – החל מתשתיות ומערכות ועד ספקי צד ג' ותהליכים עסקיים.
בין השאר נבנו מודלים של שכיחות בדרך כלל מבוססים על ניתוח הסתברויות וקורלציות ושימוש בתהליכים סטוכסטיים ואפילו רשתות נוירונים. כמו כן פותחו מודלים של הערכת הנזק שבדרך כלל מבוססים על ניתוח פרמטריאלי תוך שימוש במטריצות הקורלציה ולעיתים חלוקה לרכיבי הפסד בהתאם לסוגים של אירועי סייבר.
אתגרים מיוחדים העומדים בפני האקטוארים העוסקים ב"ביטוח סייבר"
זה לא מפתיע ששוק ביטוחי הסייבר בצמיחה מטורפת. כולם מבינים שהטכנולוגיה מתקדמת, עבודה מהבית נהייתה סטנדרט, והכל מחובר לרשת (כמובן עם סיסמה שבמקרה היא גם מספר הטלפון שלכם). לכן התפתחות שוק ביטוחי סייבר מביאה עימה אתגרים גם לאקטוארים שעוסקים בביטוח סייבר.
ייחודיות. כמו בכל ענף אחר, אקטוארים צריכים להכיר את טבעם של הסיכונים והמושגים המקצועיים הרלוונטיים. היכרות מעמיקה עם עולם התוכן המקצועי של מומחי סייבר, תאפשר תמחור ובניית מוצרי ביטוח טובים יותר.
שינויים מהירים. שוק ביטוחי סייבר מאופיין בצמיחה מהירה, שינויים בהגדרות הסיכונים, הכיסויים הביטוחיים, ניסוח החריגים, כניסה של שחקנים חדשים לתחום ושימוש בטכנולוגיות לניהול ומניעה של הסיכונים. כל זה מציב אתגר לא קטן לאקטוארים, כי זה משפיע על היכולת לבנות מודלים יציבים ודורש התאמות תכופות בתמחור והערכת התחייבויות.
איכות וכמות מידע זמין. כדי לתמחר באופן דיפרנציאלי ולהעריך התחייבויות ביטוחיות, אקטוארים בחברות הביטוח זקוקים לנתונים איכותיים שנאספו בתהליכי רכישה, חיתום וניהול התביעות. בעולם הסייבר נדרש גם מידע טכנולוגי (לדוגמה, נתוני מערכות ניטור, FireWall ושיטות אחסון מידע), ולכן נדרשים כלים ייחודיים לאיסוף מידע זה.
מודלים של תביעות גדולות. היות ומדובר בשוק חדש יחסית, יש מעט תביעות מורכבות שניתן לשאוב מהן נתונים ומידע. לכן האקטוארים נדרשים לאמץ מודלים של קטסטרופות ונזקים גדולים מענפים אחרים. אימוץ מודלים, מבלי שניתן לתקף את התאמתם לאופי הסיכון בפועל, מחייב מרווח בטחון בקביעת מחירים והערכת התחייבויות.
מניעה. אחד המשתנים המשמעותיים בתמחור באופן כללי ובמיוחד בביטוח סייבר הוא היכולת למנוע את אירועי הסייבר. על פי המחקרים השונים, יישום צעדי ההגנה ובקרת סיכוני סייבר יכול להביא לירידה שבין 30%-50% בהסתברות לתקיפות סייבר ולירידה של כ-30% בעלות ממוצעת בגין תקיפת סייבר. כדי שאפשר יהיה לקחת בחשבון בתמחור הפוליסה גם את נושא המניעה, נדרש לבנות מדדים אובייקטיבים לבחינת ההגנה של העסק. זה נדרש גם בתהליכי חיתום וגם כניטור תקופתי ומתמשך בכלים ייעודיים, על מנת לוודא כי רמת ההגנה לא נחלשה.
סיכוני טרור ומלחמה. סייבר הפך להיות כלי נשק של ארגוני הטרור. רוב פוליסות הביטוח מחריגות כיסוי נזקים שנגרמו כתוצאה ממלחמה וטרור. לעיתים קיים קושי בשיוך הנזק, כלומר האם הוא מוגדר כאירוע טרור. כתוצאה מכך אין ודאות לגבי היקף התשלומים הצפויים, עד לסיום הבירור המשפטי. דבר הדורש התייחסות מיוחדת במודלים של רזרבות ותמחור, עד להשלמת הבירור וקביעת הנזק הסופי.
לסיכום, כשאיומי סייבר ממשיכים לעלות במספרם ובמורכבותם, שילוב החוזקות של מומחי סייבר ואקטוארים פתח חלון הזדמנויות ייחודי לארגונים שמחפשים כלים להתמודדות. בין אם זה דרך מנגנוני ביטוח משופרים או הערכות סיכונים מדויקות יותר.
ואם עדיין אין לכם "מדריך הישרדות מדרקונים", ההמלצה החמה שלי היא לדאוג למדריך כזה, שייכתב על ידי צוות ייעודי כבר היום, ויתעדכן באופן שוטף.
• הכותבת הינה F.IL.A.A, מנכ"ל ACTUIT בשיתוף אגודת אקטוארים בישראל ע"ר
כתבות נוספות
הפינה המקצועית: מקסום של הטבות מס לעצמאים
מחדל לאומי: מדינת ישראל מפקירה מיליוני אזרחים ללא ביטוח סיעודי
העליון קבע: אין חובת גילוי לחברות הביטוח בנוגע למעבר מדרגות גיל בפוליסות רכב
ניהול סיכונים חדשני: התקדמות מעבר לביטוח המסורתי
שיקולים למכירת תיק ביטוח: מורה נבוכים למוכרים פוטנציאליים
כניסה לחשבון שלי
(באמצעות סיסמה קבועה)שמסתיים בספרות {{phone-four-last-digits}}
אנא הזן את הקוד שקיבלת