בוכריס: אין אף מדינה בעולם שמוגנת מסייבר

את הפנאל "האיומים, הפרצות, ההשפעות וההגנות - מערכות פיננסיות תחת איום סייבר" בוועידת שוק ההון של "גלובס", פתח היום (ג') המנחה רועי פרידמן, מנכ"ל ובעלים של רועי פרידמן FRC ניהול סיכונים, בשאלה האם כל הארגונים כיום חשופים ונמצאים תחת איום הסייבר?

"אני חושב שלומר 'לי זה לא יקרה' בנושא פריצות הסייבר, זה כבר עבר מהעולם", אמר רפ"ק מאיר חיון, ראש יחידת סייבר ארצית להב 433. "בכל ארגון כיום, גם בארגונים הממשלתיים - שלהם יש מערכות מהמשובחות שקיימות בכל מדינה - גם הן פגיעות אז להבדיל משמדובר בחברות עסקיות קטנות יותר שהן פגיעות במיוחד, אז הסיכון הוא הרבה יותר גבוה".

עוד הוסיף חיון כי "מלמדים אותנו ביחידת המשטרה שמכל תקיפות סייבר, אפשר לגרוף רווחים גדולים מעולם הסייבר. למשל, תקיפה כנגד אדם פרטי אצלו בבית. רבים ממערכות ההגנה של מחשבים פרטיים הן פרוצות ואפשר לסחוט אותו על חומרים מביכים מצאו אצלו במחשב. איימו עליו, והוא נענה לסחיטה הזו. אז אם הוא מסרב לשלם, הוא מבין שהוא בבעיה גדולה".

עו"ד ד"ר נמרוד קוזלובסקי, שותף ב-JVP Cyber Labs ויועץ בכיר למשרד הרצוג, פוקס נאמן, ציין כי "הזירה פרוצה גם ברמה התאגידית. בעבר אלה היו ההאקרים, היום זה ממש פשע מאורגן. זה במטרה של כסף גדול, גניבת מידע מארגונים וגם ניסיון לפגוע במהימנות התאגיד. זה מצב ששואבים מידע. אבל דווקא יש פתרונות. בקרן הסיכון שלי אנו מבינים שהבעיה של התאגידים מתבססת על פרדיגמה שונה של חדשנות. בעבר ההנחה של כל תאגיד הייתה שהוא צריך גם לנהל את הגישה. כיום, חלק גדול מהמידע לא בארגון אלא בענן, וכתוצאה מכך צריך תפיסת הגנה אחרת. כיום זה יותר הגנה מבוססת מודיעין, כלומר שההנחה שהחודר נמצא כבר במערכת וצריך לעשות בדיקות שונות ומהם להסיק שיש תוקף".

פנחס בוכריס, שותף ב-State of mind ventures, אמר כי "אני רוצה לשנות את המונח מ-'לי זה לא יקרה' אלא 'מתי זה יקרה'. אין אף מדינה בעולם שמוגנת מזה. בגלל שמהרגע שיש מערכות ממוכנות בעולם, כל מערכת שאתה קונה מוצרים יש חורים שההאקרים יודעים למצוא אותם. לכל חברה אפשר לפרוץ. אני אומר - מה ההבדל בין התקפה פיזית לבין התקפת סייבר. ברמת הנזק - יכול להיות שהתקפת סייבר תהיה הרבה יותר קשה לחברה מאשר איום 'פיזי'. בעיניי סייבר ייכנס לעולם הזה והרגולטור יצטרך לדעת איך להתנהל, איך להגן על ארגונים וחברות".

האם אפשר להציע ביטוח לנזקי סייבר?

קרן אלעזרי, אנליסטית, מרצה וחוקרת אבטחת מידע אמרה "אני רוצה להציע זווית אופטימית. המחקר האישי שלי עוסק במודלים של שיתוף פעולה גם בין חברות ענק שמשתפות פעולה בתחום הסייבר. גישתי שכל ארגון צריך להגן על עצמו ולשתף פעולה מבחינה טכנולוגית, חילופי מידע וגם לעשות זאת בשיתוף פעולה עם האקרים".

אלעזרי הציעה אלמנט נוסף, ובמסגרתו ניתן לבחון האם ניתן להוסיף פוליסה לנזקים פיזיים של פגיעות סייבר. כלומר, האם אפשר להציע ביטוח על נזקים פיזיים שנגרמו בגין פריצות לסייבר.

דודי לוי, סמנכ"ל ברמות סוכנויות ביטוח העלה נקודות נוספות בנושא. "צריך להבין, כי יש גם נזקים שנגרמים לצד ג'. אנו משקיעים הרבה כסף באבטחת המידע בנושא הסייבר. האלמנט החשוב ביותר זה למעשה המעבר מאובדן של רכוש ממשי, לאובדן 'רכוש וירטואלי'. בהקשר הזה אני חושב שיש פה התפתחות ביטוחית. כי תעשיית הביטוח היא זו שתומכת בעולם העסקי ולא הפוך. כמו במקרה של איקאה שנשרפה. מבחינת רכוש ממשי, המבוטחים יודעים את מה הם ביטחו".

עוד הוא הוסיף כי "המטרה שלנו, זה לבוא ולבחון את החברות עצמן בחשיפות שלהן לפתרונות הביטוחיים. למשל, יכולה להיות חברה קטנה, שהחשיפה שלה לצד ג' היא הרבה יותר גדולה. אנחנו מדברים גם על חברות. כל הפעילות המסחרית עוברת לעולם הווירטואלי. החשיפה ל'הפרה' היא גדולה מאוד. תפקידנו לייצר מוצר או לתפור אותו בהתאם ללקוח. כי זה לא מוצר מדף אלא חייב להיות מותאם ללקוח בהתאם לחשיפותיו. חשוב לומר שהמוצר בעולם הווירטואלי עובד אחרת. כי אין סכום ביטוח, קשה לבטח. אנו מבטחים תחום אחריות כמו פוליסת חבות. נבטח לפי רמת החשיפה עפ"י גבול אחריות, ויש בתחום הזה לדעתי פחות ידע והמוצר הזה בחברות העסקיות פחות נדרש".

מוטי רוזן, מנכ"ל מנורה מבטחים ביטוח, הסביר כי "אנחנו במנורה מבטחים הכול, גם את 'סל המיליון' - מקרים שנחשבים בטוחים מאוד. אנחנו יודעים לבטח המון דברים הכול, למעשה הכול אפשר לבטח. ותפקידנו זה לא לבוא ולהגיד עשינו את המערכת הזו. אלא אנחנו נפנה לאיש מקצוע ונבחן מהי הדרך הטובה ביותר לבטח. אני לא מבין בפרוות ולא ביהלומים אבל אני יודע לבטח פרוות ויהלומים. גם אנחנו ובאופן כללי, על חברות הביטוח להסתייע במומחה, שיבחנו את הסיכונים ולפי זה יתמחרו".