התפתחות הטכנולוגיה, הנגישות למידע והגלובליזציה, מלבד תרומתם הרבה למאה העשרים ואחת, הולידו גם לא מעט סיכונים, הנוגים לאבטחת המידע בעסקים, ארגונים וחברות.
אחזקה במערכות ממוחשבות אשר מכילות מידע על עובדים ועל לקוחות, היא בפני עצמה סיכון סייבר. אלא שבשונה מסיכונים אחרים מהם ניתן להימנע, הדרך היחידה להימנע מסיכוני סייבר היא באמצעות חזרה בזמן לשנות השמונים, לתיוק המידע באוגדנים, בארון ברזל.
מהו הסיכון במתקפת סייבר?
מתקפת סייבר היא מתקפה על משאבי הארגון ולקוחותיו, אשר מתבצעת באמצעות חדירה אל המערכות הממוחשבות ומאגרי המידע שברשותו. המתקפה יכולה להתנהל באופן ממוחשב בלבד, באמצעות פריצת האקרים את חומות ההגנה של מערכות המידע בארגון, או באמצעות הונאה וחילוץ סיסמאות מידי עובד או מורשה אחר. בשני המקרים המתקפה והפשיעה תתבצע באמצעות המערכות הממוחשבות והכלים הדיגיטליים אשר בידי הארגון, מה שהופך את האירוע למתקפת סייבר.
בין מתקפות הסייבר המוכרות:
חדירה למידע פיננסי- קבלת מידע אודות מספרי אשראי ואמצעי תשלום המצויים במערכת, העברת כספים לחשבונות חיצוניים, שימוש בנתוני אשראי, הונאות בכרטיסי אשראי.
שימוש במידע אישי- אגירה וחשיפה של מידע אישי, רפואי או אחר, מכירתו לבעלי אינטרס, שימוש לצרכי מחקר, שיווק, הפצה בניגוד לחוק ולפרטיות.
חטיפה וירטואלית- חטיפת מידע בעל ערך, מודיעין עסקי, מכרזים, מידע על רגולציות והשפעות שוק- וסחר במידע אל מול גורמים חיצוניים או אל מול הארגון הנגזל עצמו, שמוצא עצמו במצב סחיט.
שימוש נוסף בכלי זה הוא מניעת גישה למידע הארגוני, מה שישבית את הפעילות העסקית, במטרה להביא את הארגון לשכור את שירותי ההאקרים, לקבלת המידע והגישה בעלויות מופרזות.
האם ניתן להימנע ממתקפת סייבר על המידע בארגון?
קיימים כלים רבים בתחום אבטחת המידע הדיגיטלית, שנועדו לייצר חומות הגנה אפקטיביות עבור ארגונים וחברות. מתקפת סייבר למעשה עושה שימוש בנקודות החולשה במערכות הארגון במטרה לפרוץ אליהן- מה שאומר שאיתור נקודות החולשה וסגירת הפרצות תביא לשיפור ביכולות אבטחת המידע של הארגון ובצמצום מהותי של רמת הסיכון לאירועי סייבר.
נוסף לזאת, בעולם אבטחת המידע התערב המחוקק, וקבע רגולציות אשר מחייבות כ- 20% מן החברות והארגונים במגזר הפרטי, ואת כלל המוסדות במגזר הציבורי, לביצוע רגולציות ורכישת כלים מתקדמים בתחום אבטחת המידע, להגנה על מאגרי המידע והלקוחות.
בין אם מדובר ברכישה וביצירת מערך אבטחת מידע והגנה מרצון, ובין אם מכורח קביעת המחוקק, לא ניתן לומר כי קיימת האפשרות להגנה בכל מאת האחוזים, ולמרות צמצום היקף הסיכון, האפשרות לפריצה ולאירועי סייבר קיימת.
נוסף לזאת, בעבור עסקים קטנים ובינוניים אשר אינם מחויבים על פי חוק, במקרים רבים נמצא כי עלויות הכלים התומכים לצורך אבטחת מידע מתקדמת, יקרים יתר על המידה ואינם משתלמים ביחס להיקף הסיכון.
ביטוח סייבר
ביטוח סייבר הוא הכלי החכם לניהול סיכוני סייבר, שמחד גיסא מגן על הארגון מפני מתקפות סייבר ופשיעה ממוחשבת, ומאידך גיסא חוסך בצורך להשקיע סכומי עתק בתחום אבטחת המידע.
ביטוח סייבר הוא למעשה כיסוי ביטוחי אשר מעביר את האחריות לחברת הביטוח, במקרה של אירועי סייבר בחברה. הביטוח נועד להגן הן על החברה והארגון מפני פשיעת סייבר ישירה שהובילה לאובדן הכנסות ולהפסדים, והן מפני תביעות של גורמי מצד שלישי בגין התממשות הסיכון עבור גורמים חיצוניים, לרבות לקוחות הארגון.
הביטוח יעניק שיפוי כנגד מחויבות הארגון לאבטחת מידע פרטי וחסוי, ויעמוד לזכות המבוטח כנגד אירועים בהם התקיימו שיבושים עסקיים בשל מתקפת מערכות ממוחשבות ואירועי הפרת חיסיון כתוצאה ממחדלים טכנולוגיים.
אין הדבר פותר את הארגון לחלוטין מפני הצורך במערכות מיגון ואבטחה, אולם הוא מקל מאוד בהיקף האבטחה הנדרשת.
ביטוח סייבר אינו נמכר כמוצר מדף ומצריך התאמה מדויקת לצרכי המבוטח, היכרות עם המערכות והמידע בהם הוא מחזיק, היקף הסיכונים אליו הוא חשוף, וחובותיו החוקיות והמוסריות כאחד. נדרשת הבנה בלשון החוק והרגולציה והתאמה מדויקת של הכיסוי הביטוחי, באופן שיעניק לחברה המבוטחת שקט נפשי וביטחון. ביטוח סייבר הוא בין פוליסות הביטוח המורכבות שקיימות, וחשוב לרכוש אותו מסוכנות ביטוח אשר מתמחה בעולם הארגונים, הסיכונים ואבטחת המידע.
