פוטנציאל לנזק בהיקף משמעותי כתוצאה מסיכון סייבר "דומם" שגובר עם הזמן / מאת ויקטור וייס

פוטנציאל לנזק בהיקף משמעותי כתוצאה מסיכון סייבר "דומם" שגובר עם הזמן / מאת ויקטור וייס

קיים חשש משמעותי מנזקים נוכח סיכון סייבר "דומם" וזוהו חסרונות משמעותיים בניהול סיכון זה, כתבה שלישית בסדרה

בהתאם למזכר מייעץ של רשות התקינה של המוסדות הפיננסיים הבריטיים, ה-PRA  (Prudential Regulation Authority) שפורסם בנובמבר 2016 (1), אשר ממצאיו פורסמו לבכירי תעשיית הביטוח, נמצא כי קיים חשש משמעותי מנזקים נוכח סיכון סייבר "דומם" (חשיפה פוטנציאלית של סיכון סייבר בפוליסות ביטוח רכוש וחבויות רגילות, אשר עשויות שלא לכלול במפורש סיכונים מקוונים) וזוהו חסרונות משמעותיים בניהול סיכון זה:

פוטנציאל לנזק בהיקף משמעותי כתוצאה מסיכון סייבר "דומם" הולך וגובר לאורך זמן.

חשיפה ניכרת של ענפי ביטוחי פרט, ימי, אווירי ותובלה לנזקים עקב אירוע סייבר "דומם".

חשיפה ותגובה של ביטוחי משנה לנזקים עקב אירוע סייבר "דומם", אינה ודאית.

ה-PRA ממליץ כי לחברות ביטוח תהיה היכולת לפקח, לנהל ולצמצם חשיפה לסיכוני סייבר "דומם" באופן יעיל במטרה לספק למבוטחים ודאות גדולה יותר מבחינת חוזי הביטוח בהיבט של היקף ומהות הכיסויים.

נמצא כי למבטחים יש  נטייה להימנע מנטילת סיכון בתחום ניהול סיכוני סייבר, ישירים ו"דוממים" כאחד.
על אף שביטוח סיכוני סייבר הינו בין התחומים הבולטים בהיקפו והסיכון שבו, לצוותי הנהלה אין אסטרטגיה כוללת בנושא, ובמקרים אחדים אסטרטגיה ברורה המבוססת על ניתוח רמת סיכון רצויה, כלל לא קיימת.
הדבר בא לידי ביטוי, אך לא מוגבל, להעדר הגדרה והתמקדות בתעשיות יעד, מתודולוגיה לניהול סיכון סייבר "דומם", הגדרת נהלים בהתאם לענפי ביטוח והיקפם, תיחום המבוסס על הגדרת גבולות גיאוגרפיים וענפיים, תוך חלוקת סיכון בין ביטוח ישיר לביטוח משנה.

בנספח נלווה (Bank of England Cyber insurance underwriting risk Supervisory Statement 4/17) מפורטות הציפיות של ה-PRA מחברות הפועלות תחת תקנות Solvency II בהתייחסם לסיכון הקיים בחיתום ביטוח סייבר, על פיהן:

החברות מעריכות ומנהלות באופן פעיל את מוצרי הביטוח שלהן, תוך התחשבות בחשיפה לכל סוגי סיכוני סייבר, עם התייחסות מפורשת לסיכונים עקיפים ו"דוממים".

החברות צפויות להציג צעדים המצמצמים את החשיפה לסיכון סייבר עקיף, במטרה להתאים את הסיכון השיורי עם רמת חשיפה רצויה והאסטרטגיה, כפי שאושרה על ידי הדירקטוריון.

ליישום הנ"ל, בנוסף להקצבת תקציב מתאים אשר קשור בבירור לסיכון סייבר, בדומה למקובל עבור כל סוג סיכון אחר, חברות יכולות לשקול פעולות כגון התאמת פרמיות באופן שישקפו את רמת הסיכון או הגדרת כיסוי פרטני, הכללת התניות נרחבות בשילוב עם הגבלות היקף כיסוי מפורשות.

על פי השקפת ה-PRA, במסגרת דיונים של הנהלה בכירה לגבי אסטרטגיות ניהול סיכוני סייבר ורמת סיכון רצויה, יש לתת ביטוי לנושאים הבאים:

בחינת האסטרטגיות ורמות הסיכון של סיכוני סייבר עקיפים, לכל הפחות מדי שנה וסיכוני סייבר ישירים יש לבחון באופן שוטף.

הגדרת רמת סיכון רצויה ואופן מדידתה תוך מתן ביטוי מפורש בהצהרות ניהול הסיכון של החברה.

מדדים מצטברים של חשיפת חיתום סייבר עבור הסיכון הישיר והעקיף.

ממצאים של מבחני הקיצון לסיכון חיתום ביטוחי הסייבר המבטאים את פוטנציאל צבירה בתקופות תשואה קיצוניות (עד 1 ל-200 שנה) והתאמתם לממצאי מבחני הקיצון בביטוח כללי המתבצעים מעת לעת על ידי ה- PRA.

בסיכומו של דבר, מצופה ומוטל על חברות ביטוח, הפועלות תחת תקנות Solvency II, כי תהיינה בעלות ידע והבנה מתאימים לנוף הקיברנטי, המתפתח באופן תמידי, תוך פיתוח תואם ורציף של הבנתן ושליטתן בחיתום סיכוני ביטוח סייבר, ישירים ועקיפים כאחד.

______________________

הכותב הוא שמאי ומהנדס חומרים במקלארנס ישראל.

  • Bank of England Prudential Regulation Authority, Consultation) paper CP39/16 – Cyber insurance underwriting risk