در طول دهههای گذشته، با پیشرفت تکنولوژی، پدید آمدن اینترنت و هوش مصنوعی، ابزارهای بشر برای اداره کردن و سازماندهی کسبوکارها بیشتر شده است. همچنین، با گسترش این فناوریها، امر تقلب، اختلال و نفوذ در شبکهی کسبوکارهای اینترنتی با هر مقیاسی افزایش یافته است.
در این مقاله به یکی از راههای انتقال این ریسک به نام «بیمهی امنیت سایبری» میپردازیم. از تعریف و چیستی آن شروع میکنیم، به اهمیت آن پی میبریم، مزایا، پوششها و استثنائات آن را بررسی میکنیم و در نهایت بررسی میکنیم که این بیمه دقیقاً مناسب چه افرادی است.
بیمه سایبری چیست؟
«بیمهی امنیت سایبری (Cyber Security Insurance)» یا «بیمهی مسئولیت سایبری (Cyber Liability Insurance)» یا بهطور کلی «بیمهی سایبری (Cyber Insurance)» نوعی از بیمهنامهها هستند که حملات سایبری، اختلالات و هزینههای ناشی از تعمیر سیستمها را پوشش میدهند. این بیمهنامه همچنین دارای کلوزها و الحاقیههایی است که در صورت درخواست بیمهگذار، امکان پوشش تعمیر سیستمهای فیزیکی شرکت در نتیجهی آسیبهای وارده را نیز میدهد. این بیمه سبب میشود تا کسبوکارها با ارتقاء سطح امنیت سیستمهای خود با کمک بیمهگران، نفوذ و تقلبهای امنیت شبکهای خود را کاهش دهند.
اهمیت بیمه سایبری چیست؟
فرض کنید مدیرعامل یک کسبوکار اینترنتی مبتنی بر سایت هستید. یک روز صبح از خواب بلند میشوید، داشبورد مدیریتی خود را چک میکنید و متوجه میشوید دادههایتان از دست رفته و هک شدهاید. در آن لحظه چه حسی دارید؟ اگر فردی به لحاظ مالی و امنیتی در آن لحظهی خاص حمایتتان میکرد، چطور؟
اهمیت این بیمهنامه در این لحظههاست که تعیین میشود. در بسیاری از موارد حتی این بیمهنامه توانسته از حملات سایبری جلوگیری کند، مانند تیم CFC که با همکاری یک شرکت بیمه توانستند با اقدامی فوری حملهی یک باجافزار را به شرکت تولیدی آلومینیوم اخطار داده و با آموزشهای لازم آن را از سیستمهای خود حفظ کنند. یا حتی مانند موقعیتی که مثال زدیم، شرکت بیمهی AIG توانست در سال ۲۰۱۹ م. خسارات حمله به شرکت Norsk Hydro در حدود ۲۰ میلیون دلار را جبران کند. قطعاً چنین حملههایی حتی در مقیاسهای کوچک ممکن است بقای کسبوکارها را تهدید کند.
مزایای بیمه سایبری چه هستند؟
از جمله مزایای بیمهی سایبری میتوان ارتقای فضای امنیتی شبکهی سایبری کسبوکار را نام برد. بسیاری از شرکتهای بیمه در بیمهنامهها یا ارزیابیهای دورهای خود مواردی را به بیمهگذار متذکر میشوند و حتی با مشارکت تیمهای طرف قرارداد به کمک بیمهگذار میآیند.
مهمترین مزیت این بیمه، انتقال ریسک مالی و امنیتی به بیمهگر است. در مقیاسهای بزرگ، مانند شرکتهای عظیم تولیدی، حملات سایبری میتواند خسارات مالی زیادی را به همراه بیاورد؛ حضور و همراهی بیمهگر در چنین لحظات سختی باعث دلگرمی بیمهگذار بعد از حمله میشود.
مزیت بعدی، حفظ اعتماد مشتریان و بهبود شرایط کسبوکار است. زمانی که مشتریان اطمینان دارند که امنیت دادههایشان تضمین شده است، به کسبوکار مورد نظر بیشتر اعتماد کرده و بیشتر خرید میکنند. ضمن اینکه بازیابی دادهها بعد از هک، تأثیر بزرگی بر اطمینان مشتریان خواهد داشت.
پوشش ها و استثنائات بیمه سایبری
بیمه نامه امنیت سایبری از پوشش ها و استثنائاتی برخوردار است که به شرح زیر است:
پوششهای اصلی
- هزینههای نقض (Breach costs): شامل هزینههای قانونی برای مشاوره و تهیهی اطلاعیهها، هزینههای پزشکی قانونی برای بررسی نقض، هزینههای اطلاعرسانی به افراد آسیبدیده و نهادهای نظارتی، هزینههای مرکز تماس، هزینههای نظارت بر اعتبار و هزینههای نظارت بر دارکوب است.
- خسارات باجگیری سایبری (Cyber ransom losses): شامل هزینههای مشاور برای مدیریت و مذاکرهی باجگیری، هزینهی باج پرداختی یا ارزش بازار کالاها و خدمات تحویل دادهشده و مبلغ باجی که در حین انتقال یا در محل پرداخت به سرقت رفته است.
- خسارات حملهی سایبری (Cyber attack losses): هزینههای اضافی کسبوکار مانند افزایش هزینهی برق و استفاده از اینترنت، هزینههای بازگرداندن رتبهی موتور جستوجو (SEO) و هزینهی کلیکهای مخرب (پرداخت بر اساس هر کلیک).
- هزینههای بازیابی داده (Data recovery costs): هزینههای لازم برای بازیابی، جایگزینی یا تعمیر دادهها و دسترسی به آنها.
- خسارات وقفه در کسبوکار (Business interruption losses): شامل از دست دادن درآمد، افزایش هزینههای کاری و هزینههای اضافی که در نتیجهی یک وقفهی جزئی یا کامل در کسبوکار ایجاد میشود و بیش از مدت زمان تعیینشده در برنامه است.
- پوشش کلیدی (Key person cover): هزینههای معقول برای استخدام مشاور جهت انجام کارهای روزمرهی یک مدیر یا مدیر ارشد که به دلیل مدیریت یک نقض، خرابی امنیتی، تهدید غیرقانونی یا حملهی سایبری از انجام مسئولیتهای معمول خود بازمانده است.
- نقض توسط تأمینکنندگان (Breach by suppliers): این بیمهنامه شما را در برابر هرگونه خسارتی که مستقیماً به دلیل نقض توسط تأمینکنندهی شما رخ میدهد، جبران میکند.
- خسارت به اموال (Property damage): در صورتی که هرگونه تجهیزات بیمهشده در نتیجهی خرابی امنیتی، حملهی سایبری، هکر یا انتقال ویروس غیرقابل استفاده شود، هزینههای تعمیر یا جایگزینی آن پوشش داده میشود.
دعاوی و تحقیقات علیه بیمهگذار
- مسئولیت حریم خصوصی (Privacy liability): هزینههای ناشی از ادعاهایی که علیه شما به دلیل نقض حق حریم خصوصی، قوانین حفاظت از دادهها یا نقض وظیفهی حفظ محرمانگی دادهها یا اطلاعات تجاری مطرح میشود.
- هزینههای PCI (PCI Changes): هزینهها، جریمهها و مجازاتهایی که در نتیجهی عدم رعایت استاندارد PCI DSS به دلیل یک نقض ایجاد میشود.
جرائم مالی
- سرقت الکترونیکی (Electronic theft): سرقت یا اختلاس مجرمانهی پول، اوراق بهادار یا اموال بیمهگذار یا مشتریان از طریق روشهای الکترونیکی.
- کلاهبرداری تلفنی (Telephone toll fraud): استفادهی غیرمجاز و مجرمانه از خطوط تلفن بیمهگذار.
- مهندسی اجتماعی (Social engineering): انتقال پول، اوراق بهادار یا اموال بیمهگذار در پاسخ مستقیم به یک ارتباط مهندسی اجتماعی.
استثنائات
- نقض وظیفهی حرفهای: ادعاهایی که از ارائهی مشاوره یا خدمات حرفهای ناشی میشود، مگر اینکه از فعالیتهای یک هکر نشأت گرفته باشد.
- خرابی زیرساخت: هرگونه خرابی یا وقفه در خدمات ارائهشده توسط ارائهدهندهی خدمات اینترنت، ارائهدهندهی خدمات مخابرات، تأمینکنندهی آب و برق یا سایر ارائهدهندگان زیرساخت، مگر اینکه بیمهگذار این خدمات را بهعنوان بخشی از کسبوکار خود ارائه دهد.
- هکر داخلی: هر فرد هکر که در تعریف «بیمهگذار» قرار میگیرد، از جمله شرکا و مدیران شرکت.
- صدمات جسمی: هرگونه مرگ یا صدمهی جسمی.
- سیستمهای منسوخ: استفادهی بیمهگذار از هرگونه نرمافزار یا سیستمی که توسط توسعهدهنده پشتیبانی نمیشود.
- جنگ، شورش، بلوا و ریسکهای هستهای: خسارات ناشی از جنگ، شورش، بلوا یا خطرات هستهای.
- ورشکستگی: ورشکستگی بیمهگذار یا تأمینکنندگان، پیمانکاران فرعی و برونسپاران بیمهگذار.
- مشکلات از پیش موجود: هر چیزی که احتمالاً منجر به یک ادعا، ضرر یا مسئولیت دیگری شود و بیمهگذار قبل از توافق برای بیمه شدن از آن آگاه بوده است.
- اعمال کلاهبردارانه و مجرمانه: هرگونه رفتار کلاهبردارانه، نادرست، مخرب یا مجرمانه که قصد آسیب رساندن داشته باشد، یا هرگونه نقض عمدی یک قانون.
- بیاحتیاطی: هرگونه رفتاری که با بیاعتنایی بیپروا به حقوق دیگران یا منافع کسبوکار بیمهگذار انجام شده باشد.
- پستهای رسانههای اجتماعی شخصی: هر پستی از یک حساب رسانهی اجتماعی که متعلق به کسبوکار شما نباشد.
- بلایای طبیعی: آتشسوزی، سیل، طوفان، رعد و برق و سایر بلایای طبیعی، مگر اینکه یک نقض مستقیماً توسط چنین بلایای طبیعی ایجاد شده باشد.
- ادعاهای مطرحشده توسط طرفهای مرتبط: هرگونه ادعایی که توسط فرد یا نهادی که در تعریف «بیمهگذار» قرار میگیرد یا هر طرفی که دارای منافع مالی، اجرایی یا مدیریتی در برابر بیمهگذار است، مطرح شود.
- جریمهها، مجازاتها و تحریمها: جریمههای کیفری، مدنی یا نظارتی، مجازاتها، مصادرهی سود و خسارات تنبیهی، مگر اینکه مربوط به هزینههای PCI یا پاداشهای نظارتی باشد.
بیمه امنیت سایبری مناسب چه کسانی است؟
آثار و عواقب ناشی از حملات سایبری و اختلالات، فقط شرکتها و سازمانهای بزرگ را تهدید نمیکند، بلکه حتی کسبوکارهای خرد را نیز تهدید میکند، گرچه مقیاس خسارت نسبت به شرکتهای بزرگ کمتر است. در نتیجه، نیاز است همهی شرکتها و کسبوکارهایی که مبتنی بر اینترنت کار میکنند، این بیمهنامه را خریداری کنند. همانطور که گفته شد، این بیمهنامه نهتنها حامی بعد از حادثه است، بلکه قبل از حادثه و حین حادثه نیز همراه شرکت خواهد بود تا سیستم امنیت شبکهی آن را افزایش دهد.
نتیجهگیری
در نهایت میتوان گفت بیمهی امنیت سایبری برای شرکتها و مؤسسات از اهمیت بالایی برخوردار است. چنانکه بیان شد، شرکتها در زمان حملات سایبری امنیت دادهها و روند کاریشان دچار اختلال میشود. خرید این بیمهنامه میتواند از هزینهها و خسارات گزاف بعد از حمله بسیار بکاهد.
در ایران نیز نیاز است به این نوع بیمهنامه توجه بیشتری شود. به دلیل زیرساختهای فرسوده و قدیمی شرکتها، این بیمهنامه میتواند ارتقاء عظیمی در سطح امنیت شبکه و دادههای شرکتها به ارمغان بیاورد. ضمن اینکه برخی از شرکتها تیم شبکه و فنی مسلط در زمان حملات سایبری ندارند و این بیمهنامه میتواند سبب رشد مهارتهای این تیم قبل و هنگام حمله شود.
