המאמר נכתב בידי עו"ד דניאל גארי ועו"ד יואב מ. גרייבר ממשרד עורכי הדין האמריקאי- ZEK Law Firm – Zeichner Ellman & Krause LLP, USA.
_____________________________________________
נדמה שמדי חודש אנו שומעים על עוד אירוע פריצת סייבר בשווי מיליוני דולרים. החברות האמריקאיות eBay, Target ו- Home Depot הן רק דוגמאות בודדות לתאגידי ענק אשר ספגו מכות קשות בשל פריצות סייבר.
אם נבחן את המתקפה על Target לבדה, ניווכח לראות כי החברה הפסידה כ-252 מיליון דולר (!) ו"בדרך" גם איבדה את ה-CEO שלה. בנוסף לדוגמאות יש לציין את הנפגעות הטריות: ספקית הביטוח הרפואי האמריקאית Anthem וחברת Sony Pictures אשר סך העלויות בגין התקיפה על תאגידים אלו הגיע ללמעלה מ-100 מיליון דולר.
בתגובה להתגברות איומים מקוונים אלו, אנו עדים לעלייה חדה במספר החברות אשר מחפשות לבטח עצמן מפני מתקפות. חיוני שנבין איזו הגנה הן מחפשות על מנת שנוכל, כעורכי דין, להעניק להן ביטוח סייבר יעיל, מקיף ונמנע ממלכודות מיותרות.
המציאות כיום
החברות מבינות כי סטנדרט האחריות המסחרית הכללית (“CGL”) אינו כולל ביטוח מפני מתקפות סייבר, ולכן הן מוכנות להתגמש בהיקף הביטוח מפני איומים אלו (ראו הערה #1 למטה).
למשל, לאחר מתקפת הסייבר שאירעה נגד Sony’s PlayStation Network ב-2011, חברת הביטוח של סוני – , Zurich American Insurance Company הגישה תביעה בבקשה להצהרה כי חברת הביטוח איננה מחויבת בגין ההפסדים שאירעו לסוני כתוצאה מהמתקפה. ביהמ"ש, בפסיקה תקדימית, הסכים כי חברת הביטוח לא מחויבת לשפות את סוני, שכן המתקפה לא נפלה תחת הוראות האחריות המסחרית הכללית ב-CGL (ראו הערה #2 למטה).
תביעה תקדימית זו הביאה את חברות הביטוח לניסוח מדיניות ביטוח, מדיניות ההגבלות ווכן קביעת היקפי ביטוח חדשים. באמצעות העדכונים שבוצעו, Sony Pictures, Target ו- Home Depot זכו להחזרים משמעותיים מחברות הביטוח על אשר הפחיתו משמעותית את הפגיעות הקשות שגרמו המתקפות. רק כדי לסבר את האוזן, הפסדי חברת Target הופחתו מ-252 מיליון דולר ל-105 מיליון דולר, לאחר השתתפות חברות הביטוח והפחתת מס.
חברות הביטוח – מלחמה במספר חזיתות
עלות הביטוח מפני מתקפות סייבר משתנה תכופות, וזאת כתוצאה מחוסר ההתאמה שבין המידע המצוי בידי המבטח והמבוטח. במרבית המקרים, למעט האינפורמציה שמעביר המבוטח במעמד כריתת הביטוח, למבטח אין גישה למידע הזמין על מנת ליצור ולהפעיל מנגנון בקרה רציף.
בנוסף, החברות לא מעוניינות לחשוף בפני הציבור מידע בנוגע לניסיונות ההתקפה איתן הן מתמודדות. חדשות לבקרים מתעוררים חידושים טכנולוגים המציעים לחברות הביטוח מנגנוני בקרה עבור סיכוני הסייבר, אך פתרונות אלו מצויים רק בתחילת דרכם (ראו הערה #3 למטה).
מעבר לכך, חברות רבות נאלצות להתמודד עם סיכונים נוספים כתוצאה ממתקפות הסייבר. לדוגמא, חברת Target עומדת כעת אל מול תביעות משפטיות מצד לקוחות ומוסדות כלכליים אשר טוענים כי התרשלה בהגנה מפני המתקפה וכתוצאה מכך דלף מידע פרטי רגיש אודות לקוחותיה (ראו הערה #4 למטה).
במקרה של Target ביהמ"ש פסק לטובתה ודחה את התביעות נגדה, בצעד זה הוכשרה הקרקע לבחינת יעילותן של חברות הביטוח מפני מתקפות סייבר.
הפתרון
כיום, רוב חברות הביטוח הגדולות מציעות תכניות שונות של ביטוח מפני מתקפות סייבר. התוכניות מגוונות ומציעות הגנה וביטוח עבור הוצאות הנוגעות לחקירת המתקפה, שיקום, הוצאות משפטיות ופיצויים עבור צד ג וכו'. כמו כן, רוב הביטוחים מציעים גם מוצרי אבטחת סייבר המותאמים אישית בהתאם לצרכי החברה.
הדבר המרכזי שיש לזכור, במידה והחלטתם לחפש אחר ביטוח מפני מתקפות סייבר, הוא לפנות לייעוץ מקצועי מוסמך מיועץ משפטי או מומחה אחר, שיוכל לעזור לכם לוודא כי מדובר בפוליסת הביטוח שמתאימה לכם. על מנת לוודא שהארגון שלך מנהל מערכת הגנה יעילה מפני מתקפת סייבר.
המשפט של Target וחברות נוספות צריך להניף דגל אדום עבור חברות גדולות או קטנות, ציבוריות או פרטיות, כי הגיע הזמן לרכוש ביטוח מפני מתקפות סייבר שיעמוד לצדכם בשעת סכנה ויפה שעה אחת קודם.
_____________________________________________
המחברים הינם שותפים במשרד ZEK (משרד Zeichner Ellman & Krause) שבניו-יורק. הדעות המוצגות הן של המחברים בלבד, ולא בהכרח משקפות את הדעה הרווחת שבמשרד ZEK, הלקוחות או השותפים.
המאמר מיועד להצגת מידע כללי ולא למטרת ייעוץ משפטי. ZEK מפעילים משרד עו"ד זרים בתל אביב- Zeichner Ellman & Krause PC.
_____________________________________________
הערות שוליים
הערה #1- ראה: Angela Yu, Let’s Get Physical: Loss of Use of Tangible Property as Coverage המופיע ב Cyber Insurance, 40 Rutgers Computer & Tech. L.J. 229- 2014
הערה #2- ראה: Zurich Am. Ins. Co. v. Sony Corp. of Am., Index No. 651982/2011 – Sup. Ct. N.Y. Cty. February 21, 2014
הערה #3- ראה: Mike Lennon, New FireEye Services Help Insurance Industry Manage Exposure to Cyber Threats, Aug. 7, 2014 – קישור.
הערה #4- ראה: re: Target Corp. Customer Data Security Breach Litig., MDL. No
