בשנים האחרונות, התקפות סייבר הפכו לאיום גובר על כל תחום העסקי והפרטי, והן מערבות גם את המגזר הביטוחי. ברב השיח "עלייה להתקפה, סייבר ואבטחת מידע", שהנחה רועי אל נר, משנה למנכ"ל, לידור נ.ע.ר,  דנו המשתתפים על היקף התקפות הסייבר, ההשלכות הכלכליות שלהן, וכן על הדרך בה רשות הסייבר ורגולציות הביטוח מתמודדות עם אתגרים אלו.

בר השיח, שהתקיים בכנס הביטוח הכללי ה-19 של עדיף, השתתפו שלמה צרפתי, כלכלן ראשי, מערך הסייבר הלאומי; עו"ד שלומי הדר, משרד עורכי דין ג'ון גבע-הדר ושות'; רועי מושאילוב, מנכ"ל RSecurity; אביתר עמירה, יועץ למוצרי ביטוח ויוצר תוכן. המשתתפים הסבירו את הצורך בהגברת המודעות לביטוח סייבר ובחיזוק ההגנה על מידע, תוך הדגשת חשיבותם של כלים טכנולוגיים וייעוץ משפטי נכון להתמודדות עם האיומים.

מה היקף התקפות הסייבר על ישראל והשלכותיהן הכלכליות?

צרפתי: "דוח מערך הסייבר לשנת 2024 דיווח על 17,000 אירועי סייבר בשנה זו, מתוכם 2,000 בעלי פוטנציאל נזק משמעותי, ומדובר בגידול של 25% משנה קודמת. הנזק העולמי מוערך בכ-8 טריליון דולר והנזק הכלכלי לישראל מוערך בכ-12 מיליארד שקלים כל שנה. על פי כל ההערכות המספרים יעלו משמעותית בשנים הקרובות.

"חוק מס רכוש מתייחס לנזקים פיזיים ולא במרחב הדיגיטלי. יש תביעות סייבר המגיעות למס רכוש כשחברות מראות שמדובר בטרור או שהמערך קובע זאת. המערך דוחף שמס רכוש ירחיב את האחריות שלו לתקיפות סייבר למי שיוכיח רמת הגנה ראויה מבעוד מועד כי אם לא נעשה זאת יהיה תמריץ שלילי לא להגן על עצמך. דוחפים לשם אבל עדיין אין פתרון חוקתי.

"אנשים לא מפנימים את הסיכון. הלקוחות לא שומרים על תוכנות מקוריות, ואימות דו שלבי וזה כמו להשאיר חלון פתוח בבית. ארגונים לרוב לא מצפים שיותקפו בסייבר, כך שאין מודעות ואין אינפורמציה סימטרית להבנת הסיכון הקיים. מצד ההיצע אין מספיק פוליסות גנריות שנוח לעבוד איתן ולהראות את הכדאיות שלהן.

"אנחנו רואים ערך רב בתחום ביטוח סייבר. ככל שיהיה כיסוי נרחב יותר המדינה תהיה מוגנת יותר כי תנאי החיתום יחייבו רמות הגנה מקדימות. בעולם יש יותר שיתופי פעולה בתחום ואנחנו נדחוף את הנושא כמה שיותר כדי ליצר רצף ביטוחי שלם".

כיצד הרגולציה מתעדכנת?

הדר: "יש כמה מהלכים משפטיים שבסבירות סבירה יביאו יותר אנשים להיערך נכון מבחינה ביטוחית להגנה על מידע. תיקון 13 לחוק הגנת הפרטיות ייכנס לתוקף באוגוסט 2025 ומרחיב את סמכות הרשות להגנת הפרטיות, להטלת עיצומים ולחקור עסקים שלא יפעלו לפי הוראות הדין המחייבות הגנת מידע. כשיהיו תביעות, ללא הוכחת נזק, תעלה המודעות ובעלי עסקים יפעלו בתחום".

מהם האתגרים המשפטיים הכרוכים ברכישת פוליסת סייבר?

הדר: "תלוי בפתרון שאנחנו מחפשים. כמו בכל פוליסת ביטוח צריך לראות את ההגדרה מהו המקרה הביטוחי, לאיזה סיכונים נותנת החברה מענה וכו. ברגע שיהיו מוצרים תואמים למציאות של היום פתרונות פשוטים אנשים ירכשו אותם".

כיצד מושפעים העסקים הקטנים והבינוניים?

מושאילוב: "בשנתיים האחרונות חווינו עלייה של מעל 100% בהתקפות סייבר נגד גופים בכל הגדלים. האיומים הבולטים הם הפישינג שנעשה נפוץ מאוד בגלל ה-AI, איומי כופר, איומי דליפת מידע מהרשתות החברתיות וכרטיסי אשראי.

"עד לפני שנה עסקים קטנים ובינוניים לא חשבו שהם יהיו יעד להתקפה. היום הם מבינים שהתוקפים מטרגטים גם אותם, כי מדובר בארגונים שלרוב אין להם פתרונות אבטחה מתוחכמים ונהלים מסודרים ומבית סוכן קטן ניתן להגיע לחברת ביטוח גדולה ביתר קלות".

מה תפקיד הביטוח בהגנה על עסקים?

מושאילוב: "זה כלי שיכול לתת רשת ביטחון ראשונית לארגון אבל בסוף ביטוח סייבר בא לידי ביטוי כשיש כבר אירוע. הוא לא ימנע או יזהה אירוע ולא ימנע נזר תדמיתית הוא מוצר משלים למעטפת אבל לא כמוצר בודד בפני עצמו אלא אם כן יצנו אותו בתנאי סף".

מדוע אין חדירה טובה של ביטוחי סייבר לעסקים?

עמירה: "אין מספיק מודעות ולכן אין פעילות מניעה מספקת. אנשים חוששים לצאת מאזור הנוחות שלו כי סייבר זה עולם מאתגר אבל יש לדעת שפוליסת סייבר היא לא פוליסה טכנולוגית. היא פוליסת תגובה שמגיעה עם פעילות מניעה. סייבר הוא סוג של מחלה קשה לעסק, במיוחד לקטנים ולבינוניים. שם יש לנו כוח כסוכני ביטוח ומנהלי סיכונים.

"לא משנה כמה כלים טכנולוגיים יש מסביבנו אנחנו צריכים לדעת איך להשתמש בהם ומה הם יכולים לעשות. יש הרבה מאגרי ידע זמינים, החל מיו טיוב, קורסים, פודקאסטים ועוד.  חברות הביטוח גם הן מנגישות ידע".

רוב עבודת הסוכנים מתבצעת מול מערכת ניהול לקוחות שלהן הזדהות דו שלבית אז למה צריך ביטוח סייבר אם המידע לא נשמר אצלם?

הדר: "המבוטח הוא הלקוח של הסוכן ואם יהיה אירוע סייבר הסוכן יהיה בתביעה. הדאטה היא הנכס העיקרי של הסוכן גם כאשר היא נמצאת בתוכנה כזאת או אחרת. זאת אחריותו כשהוא מפקיד את המידע אצל חברה חיצונית הוא צריך לוודא שגם היא עומדת בכללים, וגם אצלו במשרד. בכל עסק יש לייצר פרטיות והגנה של המידע. גם לרשות הגנת הפרטיות יש את כלי העיצומים ואף אחד לא רוצה להגיע לשם".

עמירה: "הניסיון מראה שסוכני הביטוח הם יעד להתקפה כי הם מחזיקים מידע רב ומשמעותי. תחשבו על עצמכם כשומר הסף של הלקוח. רוב הפריצות בסופו של דבר הן תוצר של ההתנהגות האנושית".

איזה צעדים ארגון צריך לעשות כדי לשפר את הגנת הסייבר שלו?

מושאילוב: "לאפיין את הארגון, ההרשאות, לעשות סקר סיכונים מקיף גם אצל הספקים, לבדוק איך המידע מגיע לתוכנת ה CRM ולמצוא את פתרונות ההגנה הנכונים באופן שוטף".

הדר: "יש בסייבר סיכון אמיתי, ויש לקחת ייעוץ אמיתי. סוכני ביטוח הם יעד תקיפה אטרקטיבי כי דרכם ניתן להגיע למידע על בכירים מבוטחים ועוד. באתר מערך הסייבר הלאומי אנחנו מנגישים שירותים לעסקים קטנים ובינוניים שחלקם יהיו חינמיים וכללי ברזל שכל עסק צריך להטמיע בעלות לפעמים אפסית".

איך משפיעה ההתפתחות המהירה של ה-AI על הסייבר?

מושאילוב: "בפן ההגנתי זה מצריך להגן בצורה טובה וחכמה יותר, ובפן ההתקפי היא מייצרת התקפות כי קל יותר לייצר אותן".

הדר: "זה מאיץ משמעותי בכמות ההתקפות ואנחנו רואים זאת בעיקר בפישינג".

עמירה: "בצד החיתומי, בעולם מתחילים לבנות פוליסות של AI, ומבטחות המשנה יצאו עם פוליסות רלוונטיות".

הדר: "ההמלצה שלי היא להפריד את המידע שיש לכם מכל התוכנות האחרות שבהן מבקשים רשות להיכנס לדאטה כמו cookies. לקרוא את האותיות הקטנות ולא לפתוח באוטומט את התוכנות האלה כי די בשנייה אחת שהתוכנה מתחברת והמידע יהפוך להיות נחלת הכלל".