אחריותם של נושאי משרה לגבי אי רכישת ביטוח סייבר

ביטוח סייבר, בדומה לביטוח האש, הוא מכשיר פיננסי להגנה על נכסי החברה ולכן העדר התייחסות הדירקטוריון לרכישת ביטוח בגין איום סייבר הינו בעייתי. במקרה נזק, כיצד יוכלו הדירקטוריון וההנהלה לחסות תחת "הגנת שיקול הדעת העסקי" אם כלל לא בחנו את הסיכון, לא קיבלו אף הצעה לביטוח ולא שקלו חלופות

ליעד לק הוא עו''ד, מנהל תיקים בכיר במשרד אורי אורלנד, משרד יועצים לניהול סיכונים

מאת עו"ד ליעד לק

תקופתנו מתאפיינת בחשיפה לסיכוני סייבר והתפתחות פסיקתית בקשר עם חבות נושאי משרה בכל הקשור להתגוננות מפני סיכונים אלה, בין היתר באמצעות ביטוח.

מאז השריפה הגדולה של שנת 1666 בלונדון, הסיכון העיקרי בר הביטוח לרכוש היה בפני סיכוני אש. כיום, כשנכסי החברה הופכים לפחות מוחשיים, הסיכון לגניבה, נזק ואובדן מפגיעות סייבר הוא מהותי. לפי תאגיד לוידס, סיכון הסייבר בפניו ניצבות חברות הוא השלישי בחשיבותו.

מהם, בתמצית, סיכוני סייבר לארגון?

המרכז הלאומי להתמודדות עם איומי סייבר הוקם בהחלטת ממשלת ישראל ומטרתו לסייע במתן מידע למנהלים, לציבור הרחב ולאנשי המקצוע בקשר עם זיהוי והתמודדות עם סיכוני הסייבר. זה מחלק את סיכוני הסייבר לשלוש קטגוריות עיקריות:

  1. סיכונים במיקור חוץ – הנובעים מרכש ציוד מבחוץ, מיקור חוץ של משימות ותהליך שרשרת האספקה לארגון, למשל:

* הגעה של תוכנה או חומרה אשר נגועה בנוזקה.

* ביצוע פעולה זדונית על ידי גורם תחזוקה.

* ביצוע פעולה זדונית באמצעות ערוץ תחזוקה מרחוק.

  1. סיכונים בשימוש במחשוב ענן (Cloud), למשל:

* איום זליגת מידע כתוצאה מתקיפה חיצונית של ספק שירותי ענן.

* זליגת מידע או חשיפה למתקפות כתוצאה מקונפיגורציה לקויה.

* איום ממתקפות למניעת שירות על הספק או על קווי התקשורת.

* איום מבפנים.

* מחויבות הספק לחוקי המדינה אליהם הוא כפוף לעניין מתן הרשאה לנגישות למידע לגורמים זרים.

  1. סיכונים בהתחברות לרשת הארגונית באמצעות מכשירים פרטיים (Bring Y​our Own Device – BYOD) למשל:

* גניבה או איבוד של מכשיר נייד ובו חומר רגיש.

* חוסר יכולת אכיפה של מדיניות אבטחה ארגונית על מכשירים פרטיים.

* גישה לארגון מרחוק דרך מכשיר של עובד – בין אם המכשיר נגנב ומתבצע בו שימוש זדוני לגישה לרשת הארגון ובין אם זה נפרץ ואז מותקנת עליו תוכנה זדונית, הרי שמכשיר של עובד נגיש למשאבים ארגוניים ועל כן הוא נקודת תורפה אבטחתית.

* מקרה בו עובד עוזב את הארגון עם המכשיר שלו.

* ריבוי טכנולוגיות מייצר עומס רב על צוותי התשתיות והאבטחה ומכאן פיגור ביכולת המענה לאיומים.

לענייננו, לסייבר שני פנים:

* הפן הטכני – היערכות החברה בפני מתקפות סייבר.

* הפן הביטוחי – רכישת הגנה בפני נזק פיננסי לחברה ממתקפות סייבר.

מהי אחריותם של נושאי המשרה בכל הקשור לעריכה או אי עריכה של ביטוח סייבר? מהן ההתפתחויות בנושא זה בעולם? האם אנו צפויים לתביעות אישיות נגד נושאי המשרה בגין רשלנותם בהגנה על החברה מפגיעות סייבר או בגין אי עריכת ביטוח בפניהם?

יש לציין שבארצות הברית כבר הוגשו תביעות אישיות נגד נושאי משרה בקשר עם "רשלנות בהגנת סייבר", קרי, בגין הפן הטכני של אי הערכות הולמת של החברה להתמודדות והתגוננות. למשל: חדירה למערכת ההזמנות של מלונות וינדהם וגניבת המידע, חברת טארגט שאיבדה מידע על 70 מיליון לקוחות והום דיפו שמערכותיה האלקטרוניות נפרצו. אותן תביעות נדחו, בעיקר בשל כך שהנתבעים לא הצליחו לעבור את רף ההוכחה הנדרש לאישור תביעות מסוג זה. עם זאת, יש לצפות לשינוי מגמה.

תביעת וונדי – בדצמבר 2016, בעל מניות הגיש תביעה נגד רשת המסעדות וונדי ונושאי המשרה שלה בעבר ובהווה בגין פריצת סייבר שאירעה בתקופה של מספר חודשים בשנה הקודמת והשפיעה על זכייני הרשת. תוכנה זדונית הוחדרה למערכת באחת מנקודות המכירה והשפיעה על כ-5% מנקודות המכירה. החברה מסרה הודעה על כך לרשות לניירות ערך האמריקאית וכן פרסמה ממצאיה בעניין לטובת צרכנים שעלולים היו להיפגע. התביעות הישירות נגד וונדי הוגשו על ידי צרכנים וגופים פיננסיים, בגין הנזק שנגרם להם. בעקבות זאת הגיש בעל מניות תביעה נגזרת בשל הפרת חובת האמונים של נושאי המשרה כלפי החברה ואחריותם האישית לניהול כושל ובזבזני של משאביה.

אולם, עד כה, עדיין לא הועלתה טענה נגד נושאי משרה לפיה לא נרכש ביטוח הולם לסיכון. זה השלב הבא, המתבקש. כיום הטענות כלפי נושאי משרה מתמקדות ברשלנותם באימוץ, יישום ואכיפה של בקרה פנימית בכל הקשור להגנה על מידע בחברה, כשל בפיקוח, כשל בגילוי מידע ועוד, אך כאמור השלב הבא הוא לעניין בחינת החלטתם בכל הקשור לרכישת ביטוח הולם לסיכון.

ביטוח סייבר, בדומה לביטוח ה"אש", הוא מכשיר פיננסי להגנה על נכסי החברה ולכן העדר התייחסות הדירקטוריון לרכישת ביטוח בגין איום סייבר הינו בעייתי. במקרה נזק, כיצד יוכלו הדירקטוריון וההנהלה לחסות תחת "הגנת שיקול הדעת העסקי" אם כלל לא בחנו את הסיכון, לא קיבלו אף הצעה לביטוח ולא שקלו חלופות?

כיצד על נושאי המשרה להתגונן?

על ידי: הקצאת משאבים לבחינה מעמיקה של סיכוני הסייבר בחברה, בדומה לבחינת אמצעי המיגון לסיכונים ההיסטוריים של "אש"; הבנה וזיהוי מתוך הסיכונים שזוהו ובחינה אלו מהם ברי ביטוח תחת ביטוח סייבר; הגדלת מעורבות הדירקטוריון וההנהלה בכל הקשור לניהול סיכוני הסייבר, טיפול, ניטור, השגחה, אימוץ נהלי שימוש, פיקוח והגברת מודעות, בדומה למנגנונים שהתפתחו בקשר לטיפול בעסקאות של החברה; "מסמוך" בפרוטוקולים של דיוני והחלטות הדירקטוריון בעניין זה; קיום כל הפרוצדורות שיוכלו לתמוך בטענת הגנת "שיקול הדעת העסקי" במקרה החלטה על אי רכישת ביטוח סייבר (שבדיעבד עלולה להסתבר כהחלטה "רשלנית"; וידוא שאין בפוליסת הביטוח לאחריות נושאי המשרה "חריג לחבות בגין סייבר" או חריג ל"חבות עקב אי עריכת ביטוח הולם".

 

הכותב הוא מנהל תיקים בכיר במשרד אורי אורלנד, משרד יועצים לניהול סיכונים.

Be the first to comment

Leave a Reply