הגנת סייבר לסוכני ביטוח

בעשור האחרון, כולנו הפכנו חשופים להתקפות סייבר. המגזר העסקי וגם המגזר הפרטי, חשופים מעצם היותם מחוברים לרשת האינטרנט. אי לכך, תחום הסייבר הוא אולי התחום הדינמי והרווחי ביותר שקיים כיום, אין ארגון שאינו זקוק למערכת אבטחת מידע איכותית, היודעת למנוע, בסבירות גבוהה, התקפות סייבר שמטרתן, גניבת מידע או הקרסת מערכות מחשוב ויצירת כאוס. ארגונים גדולים המחזיקים במידע רב, בין אם פנים ארגוני ובין אם מדובר בנתונים השייכים ללקוחות ואנשים חיצוניים, הסיכון עבורם ממשי. תחום הביטוח הוא תחום רגיש וחשוף גם הוא. סוכנויות ביטוח קטנות, חשופות במיוחד בפני התקפות סייבר ולכן, חשוב שכל סוכן ביטוח ידע, מה הוא יכול לעשות בנושא והאם קיימים חוקים המחייבים אותו לבצע פעולה כלשהי?

רגולציה בתחום הביטוח

תחום הביטוח נכנס תחת רגולציה, בכל הקשור להגנת מערכות ממוחשבות, מפני התקפות סייבר. מדובר בנדבך נוסף, המתווסף לחוק להגנת הפרטיות ומטרתו, הקטנה משמעותית של הסיכויים לביצוע מתקפת סייבר, שבעקבותיה ייגנב מידע חיוני ורגיש ממערכות המחשב של סוכני ביטוח כגון: תעודות זהות, מידע פיננסי אישי ועוד. הרגולטור פרסם הנחיות מדויקות המנחות כיצד לאבטח את הנתונים השמורים במחשבי הסוכנות. הגנת סייבר איננה המלצה, מדובר בהנחיה מחייבת, בעולם המודע לכך שגורמים עוינים, מנסים בכל רגע נתון, לבצע התקפה על מידע ומאגרי נתונים. הרגולציה דורשת מכל סוכנות לבצע התאמה, בין רמת הסיכון מולה היא עומדת לבין, גודל הפעילות אותה היא מנהלת ובקורלציה לכך, ביצוע הטמעה של מעטפת הגנתית הכוללת מגוון רבדים, בהתאם לאופי הארגון וצרכיו. רגולציה לסוכני ביטוח היא חיונית ויכולה לסייע לסוכנויות בכל גודל, לייצר שכבת הגנה חשובה, על המידע הרגיש השייך ללקוחות הסוכנות. 

דרישות הרגולציה מסוכני הביטוח והחברות העוסקות בביטוחי רכוש וחבויות

להלן תקנות אבטחת מידע לסוכני ביטוח, כפי שהן מופיעות בהנחיות הרגולציה:

תכנון אסטרטגי – גיבוש תוכנית עבודה לניהול הסיכונים בתחום הסייבר. תוכנית שצריכה לקבל אישור מהנהלת החברה והדירקטוריון, במקרים של ארגונים גדולים ואישור של השותפים, במקרה של סוכנות ביטוח קטנה. החברות הגדולות והקטנות, יכולות להסתייע כבר בשלב זה, באנשי המקצוע של חברת RSecurity, המספקת שירותי אבטחת מידע לארגונים. 

ניהול מבוקר של הסיכונים שבפתח – החברות והסוכנים המבטחים, חייבים לקחת בחשבון את הוצאות הגנת הסייבר, באופן שוטף, ללא שהתבצעה כל מתקפה כנגד הארגון. הסיכון הקיים מפני התקפות סייבר נמצא באוויר כל העת, ההתמגנות מפניו חיונית בכל שלב. 

הערכה פרטנית של סיכוני כל מבוטח ומבוטח – הרגולטור דורש לתכנן פעולה מקיפה שתהיה מבוססת על נתונים אישיים של כל אחד ואחת ממבוטחי החברה או הסוכנות. התוכנית צריכה לכלול ליקוט נתונים אודות רמת ההגנה מפני התקפות סייבר, של כל מבוטח, בהתאם לתוצאות של סקרים וראיונות שיבוצעו. יש לקחת בחשבון פרמטרים כגון: ניהול חולשות, הצפנה, ניטור, יכולת תגובה לאירוע סייבר ומדיניות אבטחה לצד שלישי. כל אלה יאפשרו לארגון המבטח, לבצע הערכה טובה של הפערים ונקודות התורפה של המבוטח. 

סיכונים מערכתיים הקשורים בצד ג’ – מכיוון שארגונים רבים נסמכים על שירותים ממקור חוץ, כגון ספקיות שירותי ענן, חשוב שכל מבטח ידע ויכיר את הצדדים השלישיים, החשובים למבוטח. מומלץ לבצע צפי של רמת הבעיה שאירוע סייבר גדול יכול לגרום לצד שלישי מסוג זה. יש לציין, אירוע סייבר בקנה מידה גדול, עשוי לסכן את היציבות הכלכלית של הארגון המבטח. 

לימוד והדרכה של סוכנויות הביטוח והמבוטחים עצמם – קיים צורך אמתי להדריך וללמד את סוכני הביטוח ומבוטחיהם, אודות היתרונות והמגבלות הקיימות בביטוח סייבר. חברות וסוכני הביטוח נדרשים לספק מידע ללקוחותיהם, בכל הקשור לתחום הגנת הסייבר. עליהם לתמחר את הפוליסות בהתאם לרמת מערכת אבטחת המידע הקיימת אצל הלקוחות. פעולה זו תתרום לכך שהלקוחות ינקטו צעדים להשבחת מערכות הסייבר שברשותם וכך, הם יביאו להקטנת הסיכון והסיכוי לקיומו של אירוע סייבר בקרבם. הרגולטור מרחיק לכת ומציין, החברות המבטחות וסוכני הביטוח, יכולים להציע ללקוחותיהם מתן שירותי הגנת סייבר, במחירים אטרקטיביים, לאחר ביצוע הערכה של מצב הארגון בתחום זה. חברות הביטוח הגדולות מתבקשות להדריך את סוכני הביטוח בכל הקשור לסיכויים של התקפות סייבר ודרכי ההגנה המומלצות. 

דגש חשוב

חוק ההגנה על הפרטיות מחייב כל גוף וארגון, המחזיקים בנתונים אודות לקוחותיהם, לאבטח, במערכות מתקדמות ויעילות, את המידע הרב והאישי שברשותם. הרגולציה הנה חד משמעית וקובעת, כל סוכן ביטוח חייב להשתמש במערכות הגנה, כאלה ואחרות ובמידה ולא יעשה כן, הוא עובר על החוק גם אם לא התרחשה כנגד מחשביו התקפת סייבר. הגנת המידע של לקוחות הסוכן נמצאת בעדיפות עליונה. החוק בישראל קובע, במידה וקרה אירוע סייבר משמעותי ובמחשביו של הסוכן לא הותקנו מערכות הגנה ראויות ולא התבצע פיקוח פנים ארגוני, מקצועי, יהיה הסוכן חשוף לתביעה שתגיע מרשויות המדינה מצד אחד ומלקוחותיו, מצד שני. בנוסף, לקוחות סוכנות הביטוח, יוכלו לתבוע, באופן אישי את מנכ”ל החברה, רואה החשבון שלה או, קצין הציות. חשוב לציין, קיימות מערכות הגנה מסוימות, המגנות על הסוכן מהתקפות סייבר ולפיכך, גם מפני תביעות. אי לכך, כדאי מאוד, לכל סוכן ביטוח ובעל עסק, קטן כגדול, להתקין מערכות הגנה איכותיות, במטרה לאבטח את המידע הרגיש שנמצא במערכות המשרד. 

קנסות כבדים

חברות שאינן עומדות בתנאי הרגולציה ונפגעות כתוצאה מהתקפת סייבר, נפגעות למעשה פעמיים. פעם אחת על ידי האקרים שתקפו אותן וגרמו לנזקים מערכתיים ופעם שנייה, בעקבות קנס שהן נאלצות לשלם על אי עמידתן בהנחיות הרגולציה וההגנה מפני התקפות סייבר. דוגמה מצוינת לכך קשורה לעשות לחברה גדולה שקיבלה קנס כבד במהלך שנת 2021. מדובר בחברת הביטוח שירביט שהותקפה ונמצא, לאחר בדיקה, שלא דאגה לקיומם של מנגנוני בקרה ופיקוח איכותיים בתחום ניהול סיכוני הסייבר, בהתאם להנחיות הרגולציה. הקנס שנקבע לחברת שירביט היה 11 מיליון שקלים. בכדי לא לעמוד בפני מצבים לא נעימים מסוג זה, מומלץ מאוד לפנות לחברת RSecurity שתסייע לכם לעמוד בתנאי הרגולציה ותמנע מכם את החשיפה בפני נזקים הנגרמים הן, עקב התקפת סייבר והן, עקב אי עמידה בתנאי הרגולטור. לכל סוכן תותאם מעטפת הגנתית המתאימה לו, בהתאם לקביעת הרגולטור ולצרכיו של הסוכן. חשוב מאוד להתייעץ ולהיעזר באנשי מקצוע. הצוות המקצועי של חברת RSecurity מבוסס על יוצאי יחידות טכנולוגיות מובחרות בצה”ל, המכירים מקרוב התקפות סייבר ויודעים כיצד לנהל אותן והחשוב מכל, כיצד להתגונן מפניהן. 

המלצות לעבודה בטוחה בתחום הביטוח

בהמשך להנחיות הרגולטוריות המחייבות, להלן מספר המלצות ראשוניות וחשובות לכל ארגון או גוף, להגנת סייבר מיטבית: 

-בצעו עדכון תוכנות הגנה מעת לעת.

-השתמשו בסיסמאות חזקות והחליפו אותן מעת לעת.

-הדריכו את עובדי הארגון בכל הקשור לשיטות עבודה מיטיבות, המסייעות באבטחת המידע. 

-בצעו גיבוי מסד הנתונים מעת לעת.

-התאימו והטמיעו חומות אש ומערכות הגנה.

למה נותן שירות פיננסי מחוייב בהגנת סייבר?