תקיפת סייבר אצל ספק שירות בראי פוליסות הסייבר הישראליות וחשיבותן של "האותיות הקטנות" בביטוח
מאת עו"ד ליטל ענבר
ביום חמישי שעבר, ה-21 במאי 2020, ישראל מצאה את עצמה תחת מתקפת סייבר רחבת היקף. במערך הסייבר הלאומי התקבלו דיווחים רבים לפיהם אתרי אינטרנט הושחתו וכן התמלאו בתכנים ומסרים אנטי-ישראליים, כאשר לפי ההערכות מדובר היה בהתארגנות לקראת יום ירושלים האיראני שחל ביום שישי (22 במאי). על פי הדיווחים בכלי התקשורת, התקיפה הישירה הייתה כנגד שרתי Upress וכתוצאה מתקיפה זו נפגעו אתרי האינטרנט (הישראליים בעיקר) שאוחסנו בחוות השרתים של Upress.
למרות אי הנעימות שנגרמה לבעלי האתרים, דובר בשיטת תקיפה פשוטה יחסית, שברוב המקרים לא גרמה נזק משמעותי למאגרי הנתונים עצמם ותוקנה תוך פרק זמן קצר יחסית, אך כמובן שבנסיבות אחרות יכול היה להיגרם נזק מורכב הרבה יותר.
ואולם, כאן המקום לציין, כי סביב משבר הקורונה וריבוי העבודה מרחוק מול מערכות מחשוב מאובטחות פחות מהרגיל, עלתה המודעות לסיכוני הסייבר האפשריים ולחשיבות הקיימת בעריכת ביטוחי סייבר שעשויים לתת מענה לנזקים מסוג זה. לכן, המתקפה מיום חמישי למעשה "התפרצה לדלתם הפתוחה" של סוכני הביטוח, שרבים מהם התריעו בפני לקוחותיהם, שוב, על הצורך בעריכת ביטוח סייבר. אלא שבדיקה מעמיקה של תנאי פוליסות הביטוח המקובלות בשוק הישראלי מעלה, כי אירוע מסוג זה לא בהכרח מכוסה.
בהקשר זה, "האותיות הקטנות" בביטוחי הסייבר משמעותיות אף יותר מהרגיל. מצד אחד, מדובר בפוליסות חדשות יחסית (רובן אושרו על ידי הפיקוח על הביטוח משנת 2016 והלאה), ואין מספיק ניסיון ופסיקה פרשנית אשר יוכלו לסייע במקרים גבוליים בהם תתעורר שאלת כיסוי ביטוחי; מצד אחר, הניסוחים הקיימים (על אף היותם חדשים יחסית כאמור), אינם מותאמים לעולם הטכנולוגי הדינמי אשר מייצר סיכונים חדשים כל הזמן, שלא בהכרח נלקחו בחשבון בעת כתיבת הפוליסות ותהליך אישורן.
כמה מילות רקע על ניסוח פוליסות סייבר: בדרך כלל, באופן בסיסי, פוליסה לביטוח סיכוני סייבר כוללת שני סוגי כיסויים:
כיסוי צד א' – מתייחס לנזקים שנגרמו לעסק עצמו כתוצאה מאירוע סייבר (כגון אובדן הכנסה, עלויות שחזור נתונים וכד').
כיסוי צד ג' – מתייחס לתביעות שעלולות להיות מוגשות כנגד העסק בגין נזקים שנגרמו לצדדים שלישיים עקב אירוע סייבר במערכות המחשב של העסק (כגון חדירה לנתונים פרטיים של לקוחות וכד').
מעיון בפוליסות השונות, ניתן לראות כי קיימים הבדלים בניסוח, בין כיסוי לכיסוי (במסגרת אותה פוליסה), בין פוליסה לפוליסה (לעיתים גם אם נערכו באותה חברה), וכמובן בין חברת ביטוח אחת לאחרת.
כדי להדגים את נושא השונות בניסוח ואת הבעייתיות שיכולה להתעורר ככל שמשווים את תנאי הפוליסות השונות ביחס לאותו אירוע הסייבר כנגד Upress, נסביר את המורכבות לכאורה שהייתה באירוע זה ואת סוגיית הכיסוי הביטוחי. במקרה זה, כאמור, אירוע הסייבר אירע אצל Upress (להלן: ספק השירות), וכתוצאה מכך, ניזוקו עסקים שאחסנו את אתרי האינטרנט שלהם בשרתי Upress (להלן: העסקים המבוטחים). לכן, אירוע הסייבר התרחש אצל ספק השירות ולא באופן ישיר אצל העסקים המבוטחים.
בהקשר זה, סקירת הפוליסות השונות מעלה כי בחלק מהמקרים ישנם תנאים או הסתייגויות אשר עשויים ליצור קושי בכיסוי הביטוחי. ניתן שלוש דוגמאות לכך:
דוגמה ראשונה: הסתייגות במקרים בהם אירוע הסייבר אירע אצל ספק שירות – בנספח הרחבה לביטוח אירוע סייבר של אחת מחברות הביטוח, בכיסוי אובדן הכנסה עסקית, נוספה הסתייגות בהגדרת הכיסוי המתייחסת למקרים בהם אירוע הסייבר אירע במערכות המחשוב של ספק שירות (להבדיל ממערכות המחשוב של העסקים המבוטחים).בהתאם לנוסח של אותו נספח, הכיסוי במקרה כזה הינו בתנאי שהאירוע אצל ספק השירות "היה יכול להיות מכוסה בפוליסה זו אילו ספק השירותים הנ"ל היה המבוטח, באותם התנאים…". משמע, במקרים בהם חל חריג כלשהו ביחס לספק השירות (להבדיל מהעסקים המבוטחים), הדבר עשוי לשלול כיסוי ביטוחי מאותם העסקים המבוטחים בפוליסה שלהם, וזאת גם במקרים בהם לכאורה העסקים המבוטחים כלל לא היו מודעים לתחולתו של אותו חריג בנסיבות האמורות. לדוגמה: מצב בו ייווכח כי אותו אירוע אצל ספק השירות ניתן לשיוך לתקלת אבטחה כלשהי שאירעה אצל ספק השירות טרם האירוע, או מצב בו יתברר כי האירוע אצל ספק השירות בוצע תוך שיתוף פעולה של אחד מנושאי המשרה של ספק השירות. בשתי הדוגמאות, עשוי להישלל הכיסוי הביטוחי, בנסיבות אשר כלל לא היו בשליטה ו/או בידיעה של העסקים המבוטחים. יצוין כי הסתייגות דומה לא קיימת ברוב הפוליסות האחרות הקיימות בשוק.
דוגמה שנייה: חריג אספקת שירותי אינטרנט או שירותי אירוח – בפוליסה לביטוח אירועי סייבר של חברה אחרת קיים חריג המתייחס לנזקים הקשורים במישרין או בעקיפין בין היתר ל"אספקת שירותי אינטרנט או שירותי אירוח, או שירותי ענן, או אספקת שירותי טכנולוגית מידע…". אמנם על פניו, סביר להניח כי כוונת המשורר הייתה שלא לבטח עסקים שעוסקים בשירות זה, ואולם הנוסח הקיים בעייתי ולכאורה עשוי לשלול כיסוי במקרה הנדון. גם כאן, יצוין כי נוסח חריג כזה (או דומה), על פי רוב לא קיים בפוליסות האחרות.
דוגמה שלישית: חריג ספק שירות – בפוליסה לכיסוי סיכוני סייבר של חברה נוספת קיים חריג לספק שירות ציבורי אך לא רק. החריג כאמור מתייחס לנזקים הקשורים במישרין ל"אי אספקת שירות על ידי ספק שירות אינטרנט, ספק תקשורת או כל ספק שירות ציבורי אחר". הבעייתיות נובעת משניים: ראשית, הכותרת לכאורה מתייחסת לספק שירות ציבורי, אולם בגוף החריג זה לא לגמרי ברור ולכאורה עשויים להיכלל גם ספקי שירות פרטיים; שנית, הייתה מתעוררת בעיה ברורה ככל שאירוע כזה או דומה היה מתרחש אצל ספק שירות ציבורי. לכן, על פי נוסח זה, צפויה בעיית כיסוי כאשר מקור הנזק הוא ספק שירות ובפרט ככל שהיה נחשב כאחד הגורמים שהוחרגו כאמור, וזאת גם במידה שהנזק בפועל היה אצל העסקים המבוטחים (כפי שאירע במקרה הנדון). יצוין גם לגבי דוגמא זו, כי נוסח חריג כזה (או דומה), על פי רוב לא קיים בפוליסות האחרות.
מה ניתן ללמוד מסקירה זו? קיימת חשיבות לבחינת תנאי הכיסוי ולדרישת תנאים רחבים, אשר יאפשרו כיסוי ביטוחי במגוון רחב יותר של מקרים, שכן הניסיון מלמד כי בעולם תביעות הביטוח למילה הכתובה קיים כוח רב ומכריע. והואיל וקיימת שונות בתנאים, מומלץ לבחון נושא זה מבעוד מועד ולהסתייע במומחים שיבדקו את הפוליסה ותנאי הכיסוי, כדי להבטיח כיסוי רחב ככל הניתן שיוכל לתת מענה למגוון של נזקים. זאת ועוד, לאור התקדמות העולם הטכנולוגי באופן מהיר הרבה יותר מהעולם הביטוחי או המשפטי, ראוי כי בדיקה זו תבוצע מעת לעת כדי לבצע התאמות בזמן אמת על פי הצורך.
הכותבת היא משנה למנכ"ל ומנהלת תחום התביעות והציות בקבוצת אקורד, מומחית לאנליזה ואסטרטגיה בתחום של תביעות ביטוח.