לכבוד
מנהלי חברות הביטוח
הנדון: מיפוי סיכוני סייבר בפעילות הביטוחית
1. כללי
א. ההתפתחות המשמעותית של תקשורת המחשבים, שהחלה לפני מעל ל-20 שנה עם כניסת האינטרנט לכל בית ועסק, ההתפתחות הטכנולוגית שהביאה ליישום התקשורת גם באמצעים סלולאריים ועבודה מרחוק במרבית הארגונים במשק, הביאה להגברת תהליכי שיתוף מידע, עלייה דרמטית בכמות בסיסי הנתונים ונגישותם ובפיתוחים טכנולוגיים שייעלו את תנועת המידע, והרחיבו את אפשרויות השימוש בו, הן למשתמש הפרטי והן לעסקים.
ב. היקף המידע, זרימתו וזמינותו, לרבות היכולות לעשות שימוש ברשת, לצורך הפעלה מרחוק של פעולות ושירותים שונים, הגבירו את החשיפה של ארגונים, עסקים ומשתמשים פרטיים, למגוון רחב של סיכונים חדשים (סיכוני סייבר), בהם פגיעה במאגרי מידע ו/או זליגת מידע עסקי או
פרטי לגורמים חיצוניים, בזדון או בשוגג, לרבות יכולת ביצוע פעולות מרחוק, פגיעה בנכסים השונים, בין אם נכסים פיזיים, ובין אם נכסים בלתי מוחשיים, לרבות ממוניים.
ג. התרחבות מגוון סיכוני הסייבר, הביאה מבטחים לשווק כיסויים ביטוחים לסיכונים אלו, בין אם באמצעות פוליסה המשווקת למבוטחים פרטיים או עסקים קטנים, ובין אם באמצעות פוליסות לעסקים גדולים על בסיס פרטני, המבוטח בביטוח משנה על בסיס פקולטטיבי.
ד. בצד ההתפתחות המתונה בשיווק כיסוי ביטוחי פרטני לסיכון סייבר, לחברות הביטוח עלולה להיווצר גם חשיפה ביטוחית בהיקף פוטנציאלי משמעותי גם לסיכוני סייבר שלא שווקו או הוחרגו באופן מפורש (Silent Cyber), המכוסים תחת נוסח פוליסות הביטוח הקיימות בענפי הביטוח המסורתיים, אשר אין בהן התייחסות מפורשת לסיכוני סייבר.
ה. על רקע המגמות המתוארות לעיל, בשנים האחרונות החלו לקדם בענף הביטוח העולמי יוזמות רגולטוריות ועצמאיות לזיהוי ומיפוי של סיכוני הסייבר. הזיהוי והמיפוי נערכו בכל שרשרת הפעילות הביטוחית של המבטחים ונועדו לשפר את ניהול הסיכונים של חברות הביטוח בתחום זה.
ו. תהליך הלמידה והפיתוח של תחום ביטוחי הסייבר בחברות הביטוח הוא תהליך מורכב ומתמשך המתפתח בקצב מואץ. ביצוע תהליך זיהוי והערכה של סיכוני הסייבר יוכל לאפשר לחברות הביטוח להעמיק את ההבנה בתחום מורכב זה, במסגרת ניהול החשיפה לסיכון זה ולשפר את כושר ההתמודדות שלהן, הן בתביעות סייבר בודדות, והן בתרחישי קטסטרופה.
ז. נוכח האמור, רשות שוק ההון, ביטוח וחסכון (להלן – הרשות) רואה חשיבות בניהול סיכוני הסייבר בפעילות הביטוחית, ובקידום תהליכי זיהוי, הערכה ואמידה של סיכונים אלה. כמו כן, הרשות רואה חשיבות במיפוי החשיפות בענף הביטוח בכללותו על מנת לתמוך בקידום רמת כיסוי הולמת לסיכונים אלה שתתרום לרמת העמידות של המשק תוך שמירה על יציבות חברות הביטוח וכיסוי שקוף ונאות למבוטחים.
2. סקר סיכוני סייבר בפעילות הביטוחית
א. חברת הביטוח תערוך סקר סיכוני סייבר בפעילות הביטוחית לזיהוי והערכה של חשיפתה לסיכונים אלה (להלן – הסקר).
ב. בעריכת הסקר ישתתפו כל הגורמים הרלוונטיים בחברה, ובכלל זה נציגי היחידות העסקיות הרלוונטיות, מנהל הסיכונים, היועץ המשפטי, האקטואר הממונה, האחראי על ביטוח משנה ומנהל הגנת הסייבר.
ג. תוצאות הסקר יתועדו בפירוט ויכללו תיאור של ההנחות, מקורות הנתונים וחוסר הוודאות הכרוך בביצוע הניתוחים וההערכות הכלולות בו.
ד. הסקר יכלול תיעוד של המצב הקיים בחברה, הפערים הקיימים והאתגרים בניהול סיכוני סייבר בפעילות הביטוחית.
ה. הסקר יכלול לכל הפחות את הרכיבים הבאים:
1. הגדרת החברה לסיכון סייבר .
2. מיפוי של סיכוני סייבר משמעותיים בפוליסות הביטוח של החברה. המיפוי יתייחס לכיסויים השונים בפוליסות, ובכלל זה:
א) זיהוי של הכיסויים העיקריים המייצרים חשיפה לנזקי סייבר;
ב) הערכה לגבי מידת ההשפעה הפוטנציאלית של סיכוני סייבר על הכיסוי (גבוהה/בינונית/נמוכה);
ג) תיאור תמציתי של אירועי הסייבר שעלולים להשפיע על הכיסוי;
ד) הערכה לגבי הסיכון להצטברות תביעות סייבר בכיסוי זה על בסיס התיק הביטוחי העדכני של החברה;
ה) אומדן של הנזק ברוטו שעלול להיגרם לחברה בגין כל כיסוי בהתאם לאירועי הסייבר המתוארים.
3. במסגרת המיפוי על החברה לבחון אירועי סייבר במתארים שונים, ולהתייחס להשפעה אפשרית שלהם על פוליסות ביטוח בעלות כיסוי סייבר גלוי ופוליסות ביטוח בעלות כיסוי סייבר סמוי.
4. פירוט אודות תביעות בגין סיכון סייבר בפעילות הביטוחית שהוגשו בפוליסות רכוש וחבויות מסורתיות בשלוש השנים האחרונות. פירוט זה יכלול את סוג הפוליסה (פרט/עסקי), תמצית האירוע הביטוחי, ועלות תגמולי הביטוח ששולמו או הערכת עלותם בדוחות הכספיים.
5. מיפוי פערי כיסוי אל מול הסכמי ביטוח משנה תוך הפרדה בין הסכמים חוזיים ופקולטטיביים ובין פוליסות עם כיסוי גלוי ופוליסות עם כיסוי סמוי.
6. הערכה של החשיפה לסיכון סייבר בפעילות הביטוחית כתוצאה מאירוע סייבר מלחמתי או אירוע טרור. ככל שלהערכת החברה חשיפה זו היא בעלת פוטנציאל השפעה משמעותי, על החברה לכלול גם אומדן לגבי ההשפעה הכמותית.
7. תיאור של מדיניות החיתום בענפי רכוש וחבויות הנוגעת לחשיפת החברה לסיכוני סייבר. בהקשר זה יש להתייחס למדיניות החיתום הן בפוליסות עם סיכון סייבר גלוי והן בפוליסות עם סיכון סייבר סמוי.
8. תיאור של תאבון הסיכון שנקבע בהתייחס לסיכון סייבר בפעילות הביטוחית, ככל שנקבע.
9. תיאור תהליך יישוב תביעות סייבר ורמת המומחיות של החברה בעניין זה.
10. תיאור של נותני שירות ומיקור חוץ בתחום ניהול סיכוני סייבר בפעילות הביטוחית, לרבות במסגרת פעילות החיתום, הערכת החשיפה, טיפול באירועים ויישוב התביעות. בהתייחס ליישוב התביעות על החברה לתאר את אופן ההתמודדות של נותני השירות ומיקור החוץ גם עם אירועי סייבר בעלי השפעה רוחבית.
11. פירוט הכשרות והדרכות בתחום סייבר בפעילות הביטוחית שבוצעו בשנה החולפת ופירוט פערים שזוהו ברמת ההכשרה הקיימת לעובדי החברה העוסקים ביישוב תביעות סייבר.
3. דיווח לממונה
א. החברה תעביר לרשות את תוצאות הסקר כפי שיוצג לדירקטוריון החברה, לרבות פרוטוקול הדיון שייערך בנושא, וכן את הנתונים הכמותיים המבוקשים בקובץ הדיווח המצורף והמסמכים הנלווים הנדרשים.
ב. הנתונים הכמותיים יוזנו במיליוני ש"ח, ויהיו נכונים ליום 31 בדצמבר 2020.
ג. הדיווחים כאמור יוגשו לרשות באמצעות הכספת לתיקיית Reinsurance לא יאוחר מיום 31 באוגוסט 2021.
בכבוד רב,
ד"ר משה ברקת
הממונה על שוק ההון, ביטוח וחסכון