בשנה האחרונה מדווחים יותר ויותר יזמי הייטק, עורכי דין ורואי חשבון על הוצאה חדשה שלא היתה מוכרת בסל ההוצאות שלהם בשנים הקודמות: ביטוח סייבר. "חברת תעופה גדולה ביקשה שאבטח את העסקה שעליה חתמתי איתה לכל מקרה של מתקפה שעלולה לגרום לנזק אפשרי של מיליוני דולרים", התלונן יזם ישראלי בתחום התיירות בעילום שם. חברת סייבר ישראלית אחרת הודתה שהיא משלמת מאות אלפי דולרים על ביטוח סייבר בשנה, בשל דרישה של לקוחות לבטח נזקים שיכולים להאמיר ולהגיע לעשרות מיליוני דולרים.
● פורטפוליו | החברה שהקים שווה 3 מיליארד דולר, והוא לא מתכוון למכור אותה
● חברת הסייבר הישראלית שהוקמה לפני שנה וכבר קוטפת פרסים בעולם
● מפרוץ המלחמה: עלייה של עשרות אחוזים בתקיפות סייבר וכופר נגד חברות ישראליות
חברות הייטק שרוצות למכור את מרכולתן מעבר לים, משרדי עורכי דין שמעוניינים להימנע ממבוכות באשר לגניבת מידע רגיש על לקוחותיהם - אלה נדרשים כיום לבטח את עצמם בסכום שאינו קטן ממיליון דולר לפני חתימה על כל הסכם. זאת, כדי למנוע מצב שבו הם נסחטים על ידי כנופיות סייבר, מערכות המחשוב שלהם ננעלות ופרטי הלקוחות שלהם דולפים החוצה - התגשמות הסיוט של כל מנכ"ל.
על חברות שנוגעות במערכות הליבה של לקוחותיהן ועוסקות במידע רגיש, כמו חברות סייבר, פינטק וקריפטו, נגזר לשלם את הרף הגבוה ביותר כשפוליסה יכולה להגיע ל־400 אלף דולר בשנה - סכום שיכול לבטח נזק פוטנציאלי של עד 50 מיליון דולר.
כך, צץ לו בתוך שלוש שנים בלבד שוק ענק שמגלגל על פי ההערכה 15 מיליארד דולר בעולם בשנה, מתוכו כ־60-70 מיליון דולר בישראל לבדה. על פי סוכנות הביטוח האודן, השוק צפוי לחצות את רף ה־40 מיליארד דולר בשנה עד סוף העשור.
ומפאת היותו שוק מאוד צעיר, הוא גם מתנהג ככזה: המחירים בו תנודתיים מאוד, נוטים להיות יקרים, מספר חברות הביטוח שמבינות בו ומספקות אותו קטן למדי, וככל שגדל היקף מתקפות הסייבר, כך המחיר הולך ומאמיר. השוק הישראלי שמצוי במלחמה סובל מכך פעמיים: הוא חשוף למתקפות סייבר בהיקף גבוה יותר מאשר במדינות אחרות ולכן יקר יותר, והסיכון נחשב לעיתים גבוה מדי עבור המבטחות, עד כדי שיש מהן שמעדיפות שלא לקחת על עצמן עסקאות בישראל.
המתקפות יצרו תעשיית ענק של סחטנות
פוליסת הסייבר מורכבת במיוחד שכן בניגוד לסוגי ביטוח אחרים, ביטוחי סייבר מכסים הרבה יותר משיפוי על נזקים. רותם אירם, מנכ"ל אט־ביי, חברת ביטוח סייבר אמריקאית שמשווקת פוליסות לצד מוצרי אבטחת מידע, מסביר שהביטוחים הללו מכסים היום כמעט כל סוג של תקלת מחשוב - בין אם נגרמה על ידי כנופיות סייבר או רשלנות של עובד. עם זאת, לדבריו שלל הכיסויים כמעט לא תורמים לעלות הגבוהה של הביטוחים. "הרוב המוחלט של העלות נובע מתקיפות כופר (Ransomware) ומתקיפות Social Engineering שעיקרן העברת כספים במרמה", הוא אומר.
"כנופיות הסייבר הפכו את מתקפות הכופרה לתעשיית ענק של סחטנות בחסות הביטקוין, שהוא אנונימי ולא ניתן למעקב. בעבר התוקפים התמקדו בחברות שמחזיקות פרטי אשראי של לקוחות, כמו קמעונאים ובתי מלון. היום הדרך היעילה ביותר לעשות כסף היא להצפין את רשת המחשבים או השרתים של חברות, לאיים בשחרור של מידע - ולדרוש כופר של מיליוני דולרים", אומר אירם. בשנה האחרונה, כך מדווחות סוכנויות הביטוח, עלו כנופיות הפשע רמה אחת למעלה, והחלו לסחוט מנהלים בחברות על ידי פנייה אישית ואיסוף מידע עליהם, על קרובים להם ועל בני משפחותיהם.
גם החשיפה של חברות לתקלות, כמו אלה שראינו בקראודסטרייק, יכולה לעלות להן ביוקר. חברת הסייבר האמריקאית השביתה בחודש שעבר חלקים נרחבים במערכת התעופה באוסטרליה, אירופה ודרום מזרח אסיה, ובסוכנות הביטוח האודן מעריכים שהנזקים לחברות הביטוח עלו על מיליארד דולר, כ־7% מכלל ההכנסות העולמיות מפרמיות סייבר השנה. זהו הנזק הגדול ביותר מתקלת מחשוב מאז מתקפת הסייבר "נוט־פטיה" ב-2017.
במרבית המקרים, ביטוחי הסייבר מופעלים בעת מתקפה מסוג כופרה, שבה התוקף נועל את המחשבים או השרתים בפני הלקוח - שנעזר בסוכני הביטוח לא רק לפיצוי על נזקים שנגרמו, אלא גם לשכירת צוותי תגובה הפועלים להדוף את המתקפה, לשחזור המידע שדלף, לתיקון הנזקים למערכות המחשוב ולהפעלת צוותי ייעוץ משפטי ותקשורתי. אלה מסייעים ללקוח להתמודד עם הרגולטורים, לתקשר החוצה את הנזקים ולמזער את הסיכון המשפטי. לאחר מכן, מכסה הביטוח את התביעות המשפטיות של הלקוחות והשותפים שפרטיהם נחשפו או מערכותיהם הושחתו במסגרת המתקפה.
"הנזק הממוצע יכול להגיע ל־5 מיליון דולר לחברה", אומרת עו"ד מיה ליסיצקי, מנכ"לית אמנון גור חתמים בינלאומיים וסמנכ"לית תחום האלמנטרי בקבוצה. "בחברות הציבוריות שעומדות בפני רגולציה מחמירה יותר, הנזקים עלולים להיות חמורים יותר והאירוע עצמו יכול לקחת אפילו שנה עד שמנקים את החברה מכלל הנזקים שלה".
בעוד שרוב הלקוחות שהוצב בפניהם תשלום כופר מסכימים לשלם אותו, לראשונה חלה השנה ירידה במגמה הזו בגלל השקעה מוקדמת גדולה יותר באבטחת סייבר מצד החברות. "דרישת הכופר הממוצעת עומדת על 10 מיליון דולר", אומרת ליסיצקי, "אך יחד עם צוותי המשא ומתן אנחנו מצליחים להוריד אותן ל־3-4 מיליון דולר בממוצע". דרישות הכופר יכולות להיות מופרכות עד כדי בקשה של ההאקר לכך שיועסק על ידי החברה הנתקפת.
מיה ליסיצקי, מנכ''לית אמנון גור חתמים בינ''ל: / צילום: דרור עינב
עם זאת, מגלה ליסיצקי, ההמלצה היא לא לשלם לכל דורש כופר. בתעשיית הסייבר מחלקים ציונים להאקרים לפי מידת האמינות שלהם - מי באמת יעבור הלאה לאחר התשלום ומי ימשיך לגרום נזקים - ומזהירים מפניהם. מלבד זאת, בסוכנויות הביטוח ממליצים שלא לשלם כופר להאקרים הנמצאים ברשימות ארגוני הטרור או תחת סנקציות.
לחברות הביטוח קשה להעריך את הסיכון
סיבה נוספת לתנודתיות במחירי ביטוחי הסייבר היא העובדה שחברות הביטוח מתקשות לצפות את רמת הסיכון בתחום. "בתחומים מסורתיים כמו ביטוח שיטפונות או רכב, חברות הביטוח יודעות להעריך את הסיכון, ולכן הן יודעות להקצות סכום מסוים לכיסוי קטסטרופות", אומר אירם. "אבל בעולם הסייבר המתקפות באות בגלים ובקצבים לא ידועים - חברות הביטוח לוקחות מקדם ביטחון ושומרות סכומים גדולים יותר למקרי קטסטרופה. היכולת לייצר פרמיה על בסיס תחזית של שנה קדימה כפי שנוהג בעולם הביטוח היא למעשה בלתי אפשרית - זה כמו לנהוג תוך מבט במראה אחורית".
לכן, מי שתפס את השוק ושולט בו כיום הן סוכנויות הביטוח שהתמחו בסיכוני סייבר, והן אלה ששומרות לרוב על קשר ישיר עם הלקוח. הגדולה שבהן, האודן הבריטית, מעסיקה כ־19 אלף עובדים ומייצרת הכנסות שנתיות של 3.5 מיליארד דולר, חלק גדול מכך הודות לביטוחי סייבר. האודן מבצעת הערכת סיכונים באמצעות ניתוח רכש הסייבר של הלקוח ורמת האיומים תחתם הוא פועל, מגישה אותה לחברות הביטוח, כגון לוידס בלונדון, ומחזירה ללקוח מספר הצעות.
"מחירי הביטוח בתחום הסייבר זינקו ב־2020-2021, שנות הקורונה. בבת אחת נשלחו מיליוני עובדים הביתה ומי שלא ידע לאבטח את הפעילות הזו, נפל", אומר לגלובס שי סימקין, ישראלי שמנהל את תחום הסייבר בהאודן העולמית, "כתוצאה הגיע מבול של תביעות ביטוח סייבר. עד אז חברות הביטוח נקטו גישה נאיבית כלפי התחום: הן מכרו ביטוחי סייבר כמעט ללא הגנות בסיסיות, כמו שמוכרים ביטוח למי שמחזיק ציור של פיקאסו בבית מבלי לדרוש אזעקה, סורגים ושמירה. לכן, ב־2021 חברות ביטוח שלא ידעו לעשות חיתום נכון ברחו החוצה, השוק נותר עם מספר שחקנים מצומצם והמחירים עלו במאות אחוזים. לקוחות רבים שלא השכילו להתקין אמצעי אבטחה לא הצליחו לקנות ביטוח".
שי סימקין, מנהל תחום סייבר בהאודן / צילום: האודן
סימקין מספר שהמחירים המשיכו להתנדנד גם לאחר מכן: "המלחמה באוקראינה הביאה לכך שקבוצות תקיפה רבות גויסו לצבאותיהן וכמות המתקפות ירדה, אבל בשנה שעברה היא חזרה לעלות. רק מאז 2023 הצלחנו לייצב את המחירים, שנמצאים במגמת ירידה כי הלקוחות משקיעים יותר באמצעי אבטחה, ומצד שני יותר מבטחים מזהים את הפוטנציאל הכלכלי של השוק".
השוק המקומי מצומצם ובשליטה של שתיים
מעט חברות ביטוח ישראליות יודעות לבצע הערכות סיכונים לחברות ולתפור את הביטוח שמתאים לסיכונים שלהן, אל מול הסיכון שבפניו הן עצמן חשופות. לכן, השוק נותר בידי שחקניות מעטות - רובן ככולן סוכנויות שעובדות עם חברות ביטוח זרות. השוק הישראלי נשלט ברובו על ידי האודן הבריטית (Howden), ברוקר הביטוח הזר הגדול בישראל, שמחזיקה לפי ההערכה בנתח שוק של מעל למחצית מהשוק הישראלי ומעסיקה כאן 360 עובדים.
הסוכנות הפכה לגדולה בעולם בתחום הסייבר בין השאר הודות לנוכחותו של הישראלי שי סימקין, מי שניהל את האודן ישראל ובשנים האחרונות עבר לנהל את כל תחום ביטוחי הסייבר בחברה. סימקין התפרסם בתעשייה כסוכן הביטוח הראשון בעולם שמכר פוליסת סייבר בשנת 1997, שאז עוד נקראה "פוליסת אחריות לאינטרנט".
החברה השנייה בגודלה המחזיקה בשארית נתח השוק, שנאמד בכ־40%-50%, היא סוכנות הביטוח גור של אמנון גור, שמגיעה מעולמות הביטוח האלמנטרי וביטוחי הפנסיה, והפכה למשווקת פוליסות ביטוח מקצועי וסייבר לתאגידים. גור היא אמנם חברה ישראלית אך שותפה ישירה של חברות ביטוח זרות, ולה רישיון גישה ישירה ללוידס הלונדונית ובכך היא חותכת את קשר המתווך שיש לסוכנויות האחרות.
נוסף על האודן וגור, פעילה בארץ בשנים האחרונות גם ענקית הביטוח האמריקאית מארש (Marsh) שמתמחה בחבילות ביטוח עסקיות לארגונים גדולים - בהן חברות דואליות וחברות תשתיות, וכן גופים נוספים כמו AON וחברות ישראליות דוגמת לידרים, למדא ומספר חברות ביטוח שבודקות את דרכן בתחום, בהן מנורה, איילון והפניקס. גם AIG האמריקאית החלה להציע את המוצר בישראל - אולם הכיסויים עדיין נחשבים לצרים ומוגבלים יותר ממה שיודעות הסוכנויות הגדולות לתפור.
מכיוון שהשוק נשלט ברובו על ידי הסוכנים שמבצעים את הערכת הסיכון ושוכרים את צוותי התגובה במקרה של התקפה, קשה מאוד לאתר ביטוחים הנעשים ישירות מול חברות ביטוח. לפיכך, חבילות ביטוח הסייבר כוללו ת כמעט תמיד עמלת סוכן שיכולה לנוע בין 5% ל-10% מכלל הפרמיה בחברות הישראליות ולהגיע אף ל-15% ו-20% בחברות הזרות. עם זאת, הסוכנויות מכניסות לכיסן רק חלק מהעמלה, כיוון שעליהם לחלוק אותה עם ברוקרים בחו"ל. ביטוח סייבר כמוצר נפרד נחשב לבעל רווחיות נמוכה, בשל המאמץ הכספי ושעות העבודה הנדרשות לתיקון וטיפול במשבר בחודשים שלאחר המתקפה".
המלחמה הגבירה את המתקפות על ישראל
מחירי ביטוחי הסייבר מתחילים בכ־2,000 דולר בשנה עבור עסקים קטנים, ויכולים להגיע ל־300-400 אלף דולר בשנה עבור החברות הבינוניות ולמיליוני דולרים לחברות הציבוריות. שחר מועלמי, מנכ"ל סוכנות הביטוח למדא, שהקים גם סוכנות בת בארה״ב המתמחה בביטוחים טכנולוגיים בישראל ובארה״ב, טוען כי השוק האמריקאי זול בעד 60% מהשוק הישראלי במונחים של מחירי הביטוח. "השוק הישראלי חדש יחסית, ואין בו מספיק סטטיסטיקה שתצדיק מחירים נוחים ומדויקים יותר, ללא קשר למידת הסיכון שיש לישראל", הוא אומר.
שחר מועלמי, מנכ״ל ושותף מייסד LAMDA / צילום: רמי זרנגר
המלחמה בעזה הגבירה בעשרות אחוזים את מתקפות הסייבר על המשק הישראלי, אומרת ליסיצקי מסוכנות גור. "המתקפות נושאות אופי כלכלי של סחיטת כופר, אבל המניע מאחורי רבות מהן לאומני. לפיכך, אנחנו רואים שהטריגר לרכישת ביטוחי סייבר הוא בהרבה מקרים לא רק דרישה שמגיעה מלקוחות בארה"ב ואירופה, אלא מניסיון רע שעבר על חברות שעברו תקיפות, סחיטות והתחזויות. עם זאת, אני לא רואה שיש עלייה במחירים בהתאם לכך: חברות ישראליות מוגנות יותר מאשר מקבילותיהן בעולם, ומספר חברות הביטוח שמזהות את ההזדמנות כאן עולה".
סימקין מספר כי "נתקלנו בחברה או שתיים שאמרו שהן מפסיקות לעבוד עם ישראל בגלל חוסר הוודאות - ולא נשכח להן את זה - אבל מרבית הגופים ממשיכים לעבוד כאן כרגיל ולא העלו פרמיות. הם יודעים שאנחנו מעצמת סייבר ולכן מוגנים יותר ומשקיעים בניהול סיכונים".
האם מלחמה בישראל עשויה להפוך לתירוץ עבור חברות הביטוח שלא לשלם בגלל סעיפים שונים כגון כוח עליון או מלחמה? על כך עונה סימקין: "אנחנו משלמים פיצוי גם במקרים של מלחמה, כל עוד מדובר בארוע ספורדי. אך במקרה שמדובר בתקיפה מדינתית כוללת של תשתיות רבות במקביל - ברור שיש כאן חריג".
סער בר, יזם הייטק ישראלי בתחום הביטוח לעסקים, אומר כי חברות ביטוח רבות עדיין מתקשות לכסות ביטוחי סייבר. "בארה"ב אחוזי הדחייה עשויים להיות לעיתים 75% מכלל הבקשות, וכתוצאה מכך חברות רבות נותרות ללא כיסוי", הוא מסביר. הבעיה המרכזית לדבריו נובעת מהנגשת תהליך המכירה לעסקים קטנים ובינוניים: "חברות ביטוח רבות לא יודעות להעריך את הסיכונים של העסק בהתאם ודורשות מילוי שאלונים ארוכים ומורכבים. לכן נכנסים לתעשייה סטארטאפים רבים שמנסים להפוך את התהליך לאוטומטי, מבוסס על טכנולוגיה ודאטה שעוזר לדייק את הערכת הסיכון".
כפי שמתקפות הסייבר הפכו למקדם המכירות הטוב ביותר לביטוחי הסייבר, כך הפכו חברות הביטוח למקדמות של מוצרי אבטחת הסייבר. ירון קסנר, מייסד שותף וסמנכ"ל טכנולוגיות בסילברפורט (Silverfort) מספר כי הזינוק במתקפות הסייבר הביא את חברות הביטוח להעלות משמעותית את הפרמייה, ובמקביל להחמיר את דרישות האבטחה כדי לאפשר להם לרכוש את פרמיות הביטוח. "אנחנו רואים דרישה להוסיף דרגת אימות חזקה יותר בהרשאות הגבוהות בהיררכיה, וכן הגנה על משתמשים שאינם אנושיים- ככל שהחברה גדלה, הדרישות מחמירות", הוא אומר.
תעשייה נוספת שהתפתחה לצד חברות הביטוח עוסקת בהערכת סיכונים עבורן. בעוד שבסוכנויות הגדולות עושות שימוש בשאלונים ארוכים או במומחי סייבר אנושיים כדי להעריך את כלל החולשות ונקודות התורפה של ארגונים, דור חדש של חברות סטארט-אפ ישראליות כגון At-Bay, Kovvr, Cye וכן חברות זרות כגון Coalition, Cowbell ו- Corvus פיתחו מערכות אוטומיות לאנליזה של תמונת המצב בתחום הסייבר בארגונים. רובן עובדות ישירות עם חברות הביטוח או שהן עצמן מספקות גם את חבילת הביטוח, בעוד שאחרות, כמו Panorays הישראלית, למשל, עוסקת באספקת דאטה בלבד.
כתבות
ני"ע
