ביטוח נגד נזקי סייבר למקבלי החלטות

מבוא 

החל משנת 2010 לערך, חברות ביטוח רבות בישראל החלו לעודד חברות וארגונים לרכוש ביטוח נגד נזקי סייבר. לפיכך אחת השאלות העולות כיום לדיוני הנהלה היא האם רכישת ביטוח זה כדאית, ואם כן מהי תכולת הסכם ביטוח מסוג זה.

לאור זאת, מקבלי החלטות נדרשים לא פעם לספק את התייחסותם בנושא, תוך הצגה של היתרונות והחסרונות של מסגרת התקשרות זו.

לפיכך מאמר זה בא לשמש כלי עזר למקבלי החלטות (בעלי אוריינטציה לאבטחת מידע) אשר נדרשים לנבור בעולם אשר שכיח לראות כי הינו חדש עבורם. אקדים את המאוחר ואציין כי אין מאמר זה בא להחליף יעוץ משפטי ואו יעוץ ביטוחי מגורם מוסמך, ולאור מורכבות סוגיית הביטוח נגד נזקי סייבר, המלצת הכותב היא להיעזר ביועץ משפטי ויועץ ביטוחי בעלי הכשרה מקצועית נאותה, לרבות הכרות מעמיקה בנושא הדין הבינלאומי וזכויות יוצרים (Intellectual Property).

על מנת ליצור עולם מונחים משותף עם הקורא, מצ”ב סקירה בסיסית של מושגים שכיחים אשר יעשה בהם שימוש במאמר זה:

תאגיד בהתאם לחוק הפרשנות, תשמ”א-1981 מוגדר כ“גוף משפטי, כשר לחיובים, לזכויות ולפעולות משפטיות“. מקובל לסווג את התאגידים בהתאם למסגרת הנורמטיבית בה הם פועלים; תאגיד פרטי, תאגיד ציבורי ותאגיד מעורב (בין הציבורי לפרטי). יצוין כי החוק מגדיר סוגי גופים נוספים, דוגמת עמותות רשומות (ע”ר), אך עקב קוצר היריעה מאמר זה מתמקד בתאגידים בלבד.

חוק חוזה הביטוח, תשמ”א-1981 קובע כי “חוזה ביטוח” הינו “הסכם בין לקוח (מבוטח) לבין חברת הביטוח (מבטח) שמחייב את חברת הביטוח תמורת תשלום עלות הביטוח (פרמיה = דמי ביטוח) לשלם בקרות מקרה הביטוח (הנזק) תגמולי ביטוח (פיצוי) למוטב (מי שזכאי לקבל את הפיצוי לפי הפוליסה)”.

את הפיצוי במקרה של אירוע ביטוחי ניתן להמציא לידי הלקוח עצמו (המבוטח) או צד שלישי (או צד ג’). ההגדרה השכיחה לצד ג’ הינו “כל מי שאינו המבטח או המבוטח ואינו צד להסכם הביטוח. ביטוח אחריות חוקית כלפי צד שלישי מכסה את אחריותו של המבוטח כלפי צד שלישי בשל נזק שהוא גרם לו ואשר מבוטח לפי תנאי הפוליסה”.

מקובל כי בעת המצאת פיצוי ללקוח (המבוטח) ישנו פחת בגין “השתתפות עצמית”, זהו “מונח בתביעות בכל ענפי הביטוח – החלק הראשון מכל נזק אותו נושא המבוטח בעצמו. ההשתתפות העצמית נקבעת במפרט הפוליסה לכל מקרה ומקרה. ההשתתפות יכולה להיקבע, בהתאם למקרה, לפי סכום נקוב מראש, באחוזים מהנזק, מסכום הביטוח או אפילו מהפרמיה וכן בתקופת זמן (בביטוח אי כושר לעבודה). מטרת ההשתתפות העצמית לעודד את המבוטח למנוע נזקים ולחסוך ממנו ומחברת הביטוח את העלות והטרחה בטיפול בתביעות קטנות ומטרידות שלא לשמן נועד הביטוח.” יוער כי ישנם מקרים שבהם במעמד כריתת חוזה הביטוח ניתן לדרוש את ביטול התניה זו, וזאת בכפוף לייקור הפרמיה.

“ביטוח אחריות מנהלים ונושאי משרה בחברה, מונח בביטוח חבויות – ביטוח אחריותם המקצועית של מנהלי החברה הנקובים בפוליסה לגבי תביעות שיוגשו כלפיהם בתקופת הביטוח (לפי בסיס הגשת תביעה) בשל הפרת חובה מקצועית (כהגדרתה בפוליסה) עד לגובה גבול האחריות הנקוב בפוליסה. הביטוח כפוף למגבלות חוק החברות לגביו.” במאמר מוסגר יצוין כי מקובל לראות שביטוח אחריות מנהלים ונושאי משרה בחברה אינו כולל התייחסות למתן פיצוי בגין נזקי סייבר, ולפיכך אחד השיקולים לטובת רכישת ביטוח כנגד נזקי סייבר הינו הרחבת מעגל ההגנה על מנהלים ונושאי משרה בחברה.

“עקרון הקטנת הנזק מהווה עקרון כללי בכל דיני החיובים‏, כי על הניזוק להקטין את נזקו. הניזוק נושא בנטל לנקוט בכל האמצעים הסבירים כדי להפחית את הנזק שנגרם לו כתוצאה ממעשהו של מזיק אשר פגע בזכויותיו.‏ בפקודת הנזיקין אין הוראה מפורשת בדבר החובה להקטין את הנזק, אולם הפסיקה קיבלה כהנחה מובנת מאליה את תקפו של העיקרון בדיני הנזיקין הישראליים.”

“אשם תורם” מוגדר בהתאם לפקודת הנזיקין כ“(א) סבל אדם נזק, מקצתו עקב אשמו שלו ומקצתו עקב אשמו של אחר, לא תיכשל תביעת פיצויים בעד הנזק מחמת אשמו של הניזוק, אלא שהפיצויים שייפרעו יופחתו בשיעור שבית המשפט ימצא לנכון ולצודק תוך התחשבות במידת אחריותו של התובע לנזק;….”. רוצה לומר, אשם תורם הינו מקרה בו התנהלותו הרשלנית של הלקוח (המבוטח) תאפשר לצד השני (חברת הביטוח במקרה הנדון) להתנער מחובתו לתשלום פיצוי מלא או חלקי.

עקרון חובת תום הלב מטיל את הצדדים במשא ומתן, ולאחר מכן לצדדים לחוזה שורה של חובות, כדוגמת החובה לנהוג באופן הוגן ושקוף, לפעול באופן יעיל ומהיר לשם מימוש החוזה, לשתף פעולה עם הצד האחר ולהשתמש בזכויות הנובעות מהחוזה באופן מחושב וזהיר.

תכולת חוזה ביטוח נגד נזקי סייבר

שכיח לראות כי חוזה ביטוח כנגד נזקי סייבר מכיל מסגרת בסיסית אשר ניתנת להרחבה בהתאם לצורך. ברמת על ניתן ללמוד כי מקובל לראות כי מסגרת הבסיס כוללת את הכיסויים (מתן פיצוי) הבאים:

אובדן מידע פרטי, אובדן מידע ארגוני, התנהלות לא תקינה של גורם מיקור חוץ (Outsource) – כדוגמת פריצה לרשת הארגון, פגיעה בצד ג’ באמצעות מערכת מחשב. יצוין כי התכולה מכסה אף פעולות תיקון, כדוגמת עלות שחזור מידע מקלטות גיבוי.

כמו כן, חבילת הבסיס מספקת לתאגיד, למנהלים ולנושאי משרה בחברה הגנה מפני תביעות וקנסות מנהליים, ואף כיסוי של ההוצאות הנלוות בעת חקירה של רשות מנהלית את אירוע אבטחת המידע.

עוד יצוין כי ישנם מקרים בהם חבילת הבסיס כוללת מימון תהליכי חקר פורנזי של אירוע אבטחת המידע, וכן שיקום מוניטין של התאגיד והמנהלים.

מעבר למסגרת הבסיס קיימות מספר חבילות הרחבה “ערך מוסף”, כדוגמת:

חבילת כיסוי לספקי שירותי און ליין, כדוגמת Media Streaming. חבילת כיסוי למקרי סחיטה (Extortion), כדוגמת פעילות “תוכנת כופר” (Ransomware) בארגון. חבילת כיסוי למקרים של פגיעה בזמינות, כדוגמת תקיפת DDoS (Distributed Denial of Service).

דרישות המבטח בעת רכישת ביטוח נגד נזקי סייבר

מקובל כי המבטח מציב מספר דרישות סף, כדוגמת:

1. מינוי ממונה אבטחת מידע (שכיח לראות בחוזה הביטוח את התואר ממונה ביטחון מידע), אשר יהווה איש קשר וגורם אחראי במקרה של אירוע אבטחת מידע.
   
2. נקיטת צעדים המקובלים בתחום לשם הגנה על נכסי הארגון.
   
3. הצגת תוכנית ניהול סיכונים מאושרת, הכוללת צפי להפסד במקרה של קרות אירוע. לפיכך ניתן ללמוד כי מסגרת הכיסוי הביטוחי ידועה וקבועה, וכי לא ניתן לחרוג ממנה ללא עדכון חוזה הביטוח.
   
4. התרה בלתי חוזרת לנציגי המבטח או מי מטעמו לקבל גישה מלאה לכל מידע, עובד, מתקן וציוד בכל תקופת קיום חוזה הביטוח.
   
5. החובה לשתף פעולה עם נציגי המבטח או מי מטעמו. כפועל יוצא מכך מוקנית למבטח מעין סמכות ניהולית בארגון, לרבות סמכות לנקוט בפעולות מנע חד-צדדיות.
   
6. עדכון המבטח תוך פרק זמן מקסימלי קבוע במקרה של קרות אירוע.
   

כמו כן, ניתן ללמוד כי מתוקף חוק מוטלות על הלקוח (המבוטח) מספר חובות נוספות, דוגמת חובת תום הלב והחובה לצמצום הנזק.

סוגיות שאינן מכוסות בביטוח נגד נזקי סייבר

הביטוח נגד נזקי סייבר מכיל בחובו מספר החרגות אשר ראוי להכירם. כך לדוגמא, נזק הנגרם כתוצאה מפעילות מדינה או מי מטעמה אינו מכוסה. לפיכך נזק אשר נגרם עקב פעילות ארגון רדיקלי הנתמך על ידי מדינה לא יאפשר קבלת פיצוי. כמו כן, נזק אשר נוצר עקב פעילות גורם חוקי (כדוגמת רשות אכיפה) אינו בר פיצוי. דוגמא נוספת הינו כשל בספק שירות, אשר אינו מכוסה. אף נושא נזקים עקיפים זוכה להחרגה, וכך עשוי להיווצר מצב שבו אירוע נזקי בזמן התנהלות חריגה (כדוגמת רכישת מוצרים על ידי עומס חריג עקב מבצע קניות או עונת שיא) של הלקוח (המבוטח) לא תכוסה.

סוגיה נוספת אשר נשארת פתוחה לדיון במרבית המקרים היא האם הלקוח (המבוטח) יקבל פיצוי במקרה קיומן של פגיעויות (vulnerabilities) או באגים הקיימים במערכת המידע שלו. עוד יצוין כי מרבית הפוליסות אינן מספקות התייחסות פרטנית לנושא מתן פיצוי כתוצאה מניצול Zero-Day ולפיכך ניתן להסיק כי במקרה זה הלקוח ואו צד ג’ לא יוכלו לקבל פיצוי מהמבטח (חברת הביטוח) בקרות נזקים הנובעים מניצול פגיעות זו.

עוד יצוין כי סוגיה מהותית שאינה מוצגת באופן ברור בחלק ניכר מחוזי הביטוח, הינה העובדה כי החוק הפלילי אוסר לא פעם על תאגיד או מי מטעמו לשלם קנס מנהלי בשם המנהלים ונושאי המשרה. קל וחומר במקרה של ענישה פלילית, דוגמת מאסר בפועל, אין הביטוח מספק מענה.

חסרונות בולטים לדוגמא בביטוח נגד נזקי סייבר

כפי שצוין לעיל, הביטוח נגד נזקי סייבר מכיל בחובו מספר רב של החרגות, אשר ראוי לבחון האם אינן פוגעות במהות ותכלית עשיית הביטוח.

עצם קיומו של ביטוח עשוי לגרום לשאננות בלקוח (המבוטח), דבר העשוי למנוע נקיטת צעדים ראויים לשם התמודדות נאותה עם אירועי אבטחת מידע. כמו כן, מימוש הביטוח נגד נזקי סייבר עשוי לגרור הגשת תביעה נגד גורם הנזק על ידי המבטח, דבר שלא תמיד ישרת את מטרתו של הלקוח (המבוטח). כך לדוגמא, התפשטות פוגען מ”שותף עסקי” אסטרטגי ללקוח עשויה לגרום לשורה של נזקים. עם זאת, הפעלת הביטוח עשויה לגורם לתביעת “השותף העסקי” על ידי המבטח (חברת הביטוח) דבר העשוי לפגוע בטיב היחסים בין הצדדים, עד לכדי אובדן שותפות אסטרטגית.

בנוסף, רף הכיסוי מוגדר ותחום, ואף משך מתן הפיצוי קבוע (בדרך כלל עד חצי שנה). לפיכך ישנם מקרים שבהם חלוף הזמן ואו גובה הנזק עשוי לחייב את הלקוח (המבוטח) לשאת במרבית ההשלכות הנזיקיות של האירוע, ובכך הביטוח עשוי להיות חסר תוחלת.

עוד יצוין כי אי נקיטת צעדי מנע ראויים ואו התרשלות בעת קיום אירוע אבטחת מידע, עשויה לגרום להקטנת הפיצוי (אם לא ביטולו), וזאת בהתאם לעקרונות צמצום הנזק, “אשם תורם” וחובת תום הלב.

זאת ועוד, מתן סמכות מעין ניהולית למבטח (חברת הביטוח) או מי מטעמו, עשוי לגרום לדלף מידע, ואף לנקיטת צעדי מנע שאין הנהלת הארגון תהיה מעוניינת בהם. כך לדוגמא, בקרות אירוע אבטחת מידע עשוי המבטח (חברת הביטוח) להורות על ניתוק חוות השרתים מהאינטרנט וזאת עד לתיקון הליקויים, דבר העשוי לנתק התקשורת בין הארגון לסניפיו בעולם.

באופן די מפתיע ניתן לזהות כי הביטוח נגד נזקי סייבר מכיל בחובו נורמות אשר עשויות להיתפס כבעייתיות אי מוסריות ברמה הציבורית, דוגמת תשלום דמי סחיטה לשם שחרור מידע שהוצפן. ברי כי יתכן והדבר אכן משרת את טובת הארגון ברגע נתון, אך ברמה חברתית מעודד את הסוחט להמשיך בדרכו הקלקלה.

סיכום

הרעיון העומד בבסיס הביטוח נגד נזקי סייבר יפה וראוי, אך יש לשים לב כי הוא מכיל בחובו חסרונות לא מעטים. כמו כן, נושא ביטוחי זה חדש יחסית במדינת ישראל, ולפיכך לא ניתן לזהות פסיקה רלוונטית אשר תוכל לשפוך אור האם ביטוח זה אפקטיבי דיו במקרה אמת. כמו כן, בעת ניהול ההתקשרות מול הגורם המבטח (חברת הביטוח) ראוי להיעזר ביועץ משפטי ויועץ ביטוחי בעלי הכשרה מקצועית נאותה, לרבות היכרות מעמיקה בנושא הדין הבינלאומי וזכויות יוצרים (Intellectual Property). אי אימוץ המלצה זו עשוי לגורם לכך כי ביום פקודה הלקוח (המבוטח) עשוי לגלות כי הביטוח אינו עונה לצרכיו, וכי הוא נאלץ להתמודד עם הוצאות לא צפויות.

ביבליוגרפיה

הגנת אשם תורם למפר חוזה – אימתי?, אריאל פורת, עיוני משפט יח(1), (דצמבר 1993), 158-103