בשנים האחרונות מתפתח והולך שוק ביטוח מפני אירועי סייבר, כשחברות הביטוח מציעות לחברות רובד נוסף בניהול סיכוני הסייבר. בשונה מאמצעי הגנה אחרים, ביטוח הסייבר לא אמור למנוע מתקפות אלא לספק לארגונים סל של אמצעים (ותקציב) למקרה של חדירה למערכות, ולעיתים אף פיצוי מנזקי המתקפה.
בארצנו האימוץ של ביטוח מסוג זה כאמצעי התמודדות נוסף עם תקריות סייבר איטי למדי (מערך הסייבר התריע על כך בדו"ח מיוני 2019, כשקבע שרק ל-13% מהחברות במשק יש ביטוח סייבר, אולם תקריות שזכו לחשיפה תקשורתית רבה כגון "שירביט" האיצו מאוד את התהליכים.
ביטוח סייבר כולל בתוכו רכיבים מקצועיים שארגון אינו צורך בשגרה כמו צוותי התערבות, ייעוץ משפטי ותדמיתי וכן צוותי מו"מ לניהול התקרית מול ההאקרים. בנקודה זו בא לידי ביטוי הכיסוי הביטוחי באופן המשמעותי ביותר.
מתקפות הכופרה הרבות של השנים האחרונות הציבו בפני חברות דילמה כואבת - האם לשלם את דמי הכופר או לסבול מ"קיפאון תפעולי", עד שמערכות הארגון ישובו לפעולה תקינה. לכך נוסף בזמן האחרון ממד נוסף של סחיטה - האקרים גונבים מידע רגיש ומאיימים להדליף אותו אם הכופר לא ישולם במהרה. מכיוון שחברות שנסחטות בדרך חסרות את הידע והאמצעים לניהול משא ומתן שכזה, הן מפעילות את חברות הביטוח, שבתורן מעמידות לרשותן צוותים טכניים שמנסים לטפל בפרצה ובנזקיה וכן מומחי מו"מ. אותו מומחה יוצר קשר עם התוקפים, מאמת את הכוונות שלהם (לדוגמא, האם באמת יש ברשותם מידע רגיש שאותו הם מתכוונים לפרסם?) ומנסה להבין את הנזק שייגרם באם הכופר לא ישולם.
בנקודה זו החברה נדרשת להחלטה - האם לשלם את הכופר (או חלקו, כתלות בנכונות התוקפים להתפשר ובמיומנות של הנושא ונותן עמם) או "לוותר" על המידע שנגנב ולהחזיר את הארגון לפעולה תקינה באופן עצמאי (מה שעלול לקחת זמן רב). המשוואה היא פשוטה - אם עלות הכופר נמוכה מעלות הנזקים שייגרמו עקב השבתה (Downtime) ועלות הכופר תכוסה על ידי הביטוח - אזי החברה תעדיף לשלם. זאת, על אף גידול מתמיד בסכומי הכופר שדורשים התוקפים (נראה שחברות הביטוח משתכללות באמצעי המו"מ שלהם ומצליחות לשמור על סכום נמוך יחסית של תשלום כופר).
מסתמן שזה פיתרון שנוח גם לחברות הביטוח. תשלום הכופר נמוך לעיתים מכיסוי הנזקים הישירים של המתקפה שכלולים בפוליסת הביטוח. לדוגמא, הערים אטלנטה ובולטימור סבלו ממתקפות כופרה. התוקפים דרשו כופר של פחות מ-100 אלף דולר, שאותו לא הסכימו הקורבנות לשלם. התוצאה - נזקים של מיליוני דולרים (מעל 8 מיליון במקרה של אטלנטה), אותם סופגים הקורבנות והמבטחים שלהם.
אולם, תשלום כ"פתרון" פלא מביא איתו ביקורת ציבורית בארצות הברית, שם כבר עולים קולות שקוראים לבחון מחדש את הפרקטיקה הזו ואפילו להגביל אותה. לטענת המבקרים, תשלום רק "מתדלק" את תעשיית הכופרה. זאת ועוד, ישנן שמועות שהתוקפים משיגים מידע מוקדם בנוגע לאילו חברות רכשו ביטוח ואת היקף הכיסוי, ותוקפות את אותן חברות מתוך ידיעה שהביטוח ישלם (הם אפילו יודעים כמה כופר לדרוש). המגמה הזו (והביקורת הגוברת והולכת) גמרה למחוקקים בארצות הברית לבחון את החוקיות של תשלומי הכופר.
במקביל, מספר חברות ביטוח סבלו בעצמן ממתקפות כופרה (שירביט בארץ, CNA ואחרות בצפון אמריקה), וכש-40% מתביעות ביטוחי הסייבר נסובו סביב מתקפות כופרה, ברור מדוע חברות הביטוח העלו את הפרמיה לטיפול באירועים אלו בקרוב ל-30%.
האם יש פיתרון ברור לבעיית הכופרה והאם תשלום לתוקפים על ידי חברת הביטוח הוא פתרון הקסמים?
מסתמן שלא. ביטוח מסייע לחברות שנפגעו לטפל באירוע הכופרה. על פי הנתונים הקיימים, נראה שחברות הביטוח (ואנשי המו"מ שהן מפעילות) מבצעות ניתוח אנליטי של המצב, ופועלות להביא לסיום מהיר, יעיל וזול ככל הניתן של האירוע. לעיתים זה כולל תשלום. גם רשויות החוק מבינות זאת. ה-FBI טען בפני המחוקק האמריקאי שלא כדאי להגביל תשלומים של חברות במקרה של כופר (במילים אחרות, לעיתים עדיף לתת לחברה, לביטוח ולתוקפים לסגור את התקרית באופן המהיר ביותר). בכל מקרה, האמביוולנטיות בנוגע לביטוח ולתשלומים תישאר. חלק מהציבור יראה בכך תוספת מבורכת למנגנוני הגנה של ארגונים וחלק יראו בזה אתנן שמתדלק את תעשיית פשיעת הסייבר. וכרגיל, העולם נושא עיניו לארצות הברית שתסדיר את הנושא בחקיקה וברגולציה.
יותם גוטמן הוא מנהל השיווק של חברת הסייבר SentinelOne