פריצות למאגרי נתונים של לקוחות
אתרי מכירות אוספים פרטי לקוחות (כתובות, מספרי טלפון) ולעיתים גם מידע פיננסי רגיש (כגון פרטי אשראי). פריצה לבסיס הנתונים עלולה לגרום לגניבת אלפי רשומות, מה שמעמיד את העסק בפני תביעות והוצאות יידוע הלקוחות.
הונאות מקוונות
עברייני סייבר עשויים לנסות לבצע רכישות במרמה (Fraud) או לגנוב פרטי חשבונות של לקוחות באתר. למשל, מתקפות "השתלת קוד" בעמודי התשלום (Magecart) שבהן מוזרק סקריפט הגונב את פרטי כרטיסי האשראי בזמן הקלדתם.
השבתת האתר או שרת המכירות
מתקפת מניעת שירות (DDoS) או אפילו תקלה טכנית חמורה יכולה להפיל את אתר הסחר לזמן ממושך. כל שעה שהאתר אינו זמין גורמת לאובדן הכנסות ישיר ולפגיעה במוניטין – לקוחות פונים למתחרים והאמון יורד.
פגיעה בצד שלישי עקב מוצר דיגיטלי פגום
אם העסק מוכר מוצר דיגיטלי (לדוגמה תוכנה או שירות SaaS) וחולשת אבטחה במוצר הזה מנוצלת כדי לפגוע בלקוחות הקצה – העסק עלול להיתבע על ידי אותם משתמשים בשל נזקי אבטחה שנגרמו להם.
יצוין שכל התרחישים הנ"ל אינם תיאורטיים – מקרים של גניבת נתוני לקוחות, נפילות אתרים והונאות כרטיסי אשראי כבר פגעו הן בחברות ישראליות והן בבינלאומיות. לדוגמה, היו פרצות שבהן הודלפו פרטי אשראי של עשרות אלפי לקוחות ישראליים, ומנגד קמעונאיות גדולות בארה"ב ובאירופה איבדו הכנסות משמעותיות בשל מתקפות בזמן ימי מכירות (כדוגמת Black Friday). כל אירוע כזה מדגיש את הצורך בהגנה ביטוחית לענף המסחר האלקטרוני.
מכיוון שהסיכונים מגוונים, ביטוח סייבר המיועד לעסקי E-commerce צריך להיות מקיף ולכסות מספר רב של תרחישים. בין המרכיבים העיקריים שכדאי לוודא שקיימים בפוליסה לעסק מסחר אלקטרוני:
- כיסוי לדליפת מידע אישי ופרטי תשלום: הפוליסה צריכה לכסות אירועי פריצת מידע שבהם נגנבים פרטי לקוחות (שמות, אימיילים, סיסמאות) וכן מספרי כרטיס אשראי או אמצעי תשלום אחרים. הכיסוי יכלול את עלויות החקירה הפורנזית לאיתור היקף הדליפה, הודעה ללקוחות הנפגעים, ניהול משברים תקשורתי, ותשלום פיצויים או קנסות בעקבות תביעות ורגולציה – הן בישראל (חוקי הגנת הפרטיות) והן בחו"ל (כגון תקנות GDPR ותקני PCI).
- כיסוי אובדן הכנסות בשל השבתה: חיוני שלעסק E-commerce יהיה כיסוי Loss of Income – אובדן רווחים – במקרה שהאתר או מערכת ההזמנות מושבתים עקב אירוע סייבר. הביטוח אמור לפצות את העסק בסכום השווה לרווח הגולמי שהיה צפוי באותם ימים/שעות של השבתה, בניכוי הוצאות שנחסכו. כך, אם מתקפת DDoS הפילה את האתר ל-48 שעות בתקופת קניות חג, החברה לא תאבד לחלוטין את ההכנסה של אותם יומיים אלא תקבל פיצוי חלקי.
- כיסוי תביעות צד ג' ואחריות מקצועית: בעסקי מסחר אלקטרוני, הלקוח יכול להיפגע לא רק מפריצה ישירה לאתר אלא גם מתקלות אבטחה עקיפות. למשל, אם תוכנה שמופעלת באתר (נניח תוסף צד שלישי) חשפה את המשתמשים למתקפה, או שהאתר לא שמר כראוי על סיסמאות והיו פריצות לחשבונות – הלקוחות עשויים לדרוש פיצוי. פוליסת סייבר צריכה לכן לכלול כיסוי אחריות כלפי צד שלישי בגין פגיעות אבטחה, שיגן על העסק בתביעות נזיקין (כולל כיסוי שכר טרחת עורכי דין והסדרי פיצוי לתובעים).
- כיסוי מתקפות כופר והונאות: הפוליסה צריכה לטפל גם במקרים של Ransomware (כופר) אשר עלול לפגוע במאגרי הנתונים או בתוכנת האתר. במסגרת זו, הביטוח יכסה את עלות שחזור הנתונים או תשלום הכופר (אם אין ברירה), וכן שירות מומחים בניהול המו"מ עם התוקפים. כמו כן, כדאי לוודא שהפוליסה כוללת סעיף המכסה הונאות סייבר – למשל, אם העסק הוטעה על ידי אימייל מזויף ושילם כסף לספק מתחזה (מה שנקרא הונאת "הנדסה חברתית"), חלק מהפוליסות המתקדמות יחזירו לעסק את סכום ההונאה.
- שירותי אבטחה פרואקטיביים: חלק מפוליסות הסייבר לשוק ה-E-commerce מציעות שירותי עזרה מניעתיים כחלק מהחבילה. לדוגמה, סריקות פגיעויות תקופתיות לאתר, ייעוץ לשיפור מערך השרתים והענן, או גישה להנחות ברכישת מערכות הגנה. שירותים אלה נועדו לצמצם את הסיכון מלכתחילה ולמנוע אירוע לפני שיקרה, והם בעלי ערך לעסק מקוון שחי מהאתר שלו.
בנוסף לכל אלה, חשוב לשים לב לגובה גבולות האחריות ולסייגים מיוחדים בפוליסה המיועדת לעסקי אונליין. לדוגמה, לעיתים ישנו השתתפות עצמית משמעותית לתביעות שנובעות מהונאת לקוחות (כדי למנוע מצב של התרשלות מצד העסק). יש לבדוק גם האם הפוליסה מכסה אירועים אצל ספקי משנה – למשל נפילת שרת חברת האחסון או תקלה בשירות ספק תשלומים. ביטוח סייבר טוב לעסק מסחר אלקטרוני אמור להתייחס גם לתרחישים אלה במסגרת כיסוי הנקרא "כשל שירות ספק" או "פגיעה בצד שלישי עקב שירות ענן".
לסיכום, עסקי E-commerce חייבים לוודא שהביטוח הסייבר שלהם מותאם ספציפית לאופי פעילותם המקוונת. פוליסה גנרית מדי עלולה להשאיר פרצות בהגנה. עדיף לבחור במבטח שמכיר את תחום המסחר האלקטרוני, שואל את השאלות הנכונות על מערך ה-IT של העסק, ומציע כיסויים ייעודיים לתרחישים שייחודיים לעולם זה. עם ביטוח סייבר מתאים, בעל חנות מקוונת יכול להתמקד בצמיחת העסק ולשרת לקוחות בביטחון, מתוך ידיעה שגם בתרחיש הגרוע – הפוליסה תעמוד לצדו ותעזור לו להתאושש.
מניסיון העבר, פוליסת סייבר מקיפה הוכיחה את ערכה: חנויות מקוונות שנפגעו ממתקפות הצליחו לממן מכספי הביטוח צוותי טכנולוגיה לשחזור האתר, להודיע ללקוחות על האירוע בצורה מקצועית ולספק להם הגנות, ואף לקבל החזר על פגיעה בהכנסות בזמן ההשבתה. בלי הביטוח, עסקים דומים לעיתים קרובות קרסו תחת עלויות הטיפול והפיצויים.
עם ביטוח סייבר מתאים, בעל חנות מקוונת יכול להתמקד בצמיחת העסק ולשרת לקוחות בביטחון, מתוך ידיעה שגם בתרחיש הגרוע – הפוליסה תעמוד לצדו ותעזור לו להתאושש.
