بیمه امنیت سایبری

قبل از تعریف بیمه امنیت سایبری اجازه بدهید یک داستان را با هم بخوانیم.

در تاریکی شب، تلفن شما زنگ می‌زند. شخص پشت تلفن ساکت است؛ اما شخص کناری وی با صدای بلندی فریاد می‌زند و شما را از رؤیا به این دنیا بر می‌گرداند.

“ما در اداره به شما نیاز داریم، یک نفر به سرورهای ما حمله کرده و اطلاعات مشتریان ما را دزدیده و اطلاعات حسابداری ما نیز رمزگذاری شده است.”

شرکت‌های کوچک و متوسط هم اغلب هک می‌شوند، ولی به اندازه کافی جدی نیستند که خبرساز شوند. برای این کسب‌ و کارهای نوپا، یک هک بزرگ می‌تواند بهایی به ارزش یک سال کار آن‌ها را داشته باشد و یا حتی آن‌ها را به طور کامل ورشکسته کند.

برای محافظت در برابر این شرایط غیر قابل پیش‌بینی، شرکت شما باید بیمه مسئولیت سایبری را در نظر بگیرد. یک مذاکره خوب می‌تواند نه همه آسیب های ناشی از حمله ولی قسمت اعظمی از آن را پوشش دهد.

بیمه امنیت سایبری چیست؟

اصول اساسی آن همانند سایر بیمه‌های رایج مانند بیمه اتومبیل، منزل و یا خدمات درمانی است.

یک شرکت با پرداخت حق بیمه، مسئولیت خطر و تهدیدات سایبری را به شرکت بیمه منتقل می‌کند.

بیمه امنیت سایبری به طور قطع از تحمیل خسارات مالی بر شرکت شما جلوگیری کرده و همه یا بخشی از خسارات وارد شده به شرکت‌ها را پرداخت می‌کند. بیمه سایبری، موارد زیر را پوشش می‌دهد:

• خسارات ناشی از دست‌کاری اطلاعات را با اقداماتی از قبیل اطلاع رسانی به مشتریان، بررسی علل افشای اطلاعات، اعمال جرائم قانونی و از پیش تنظیم شده بر عاملان تهدید را به شرکت‌ها پرداخت می‌کند.
• خسارات ناشی از به تعلیق درآمدن کسب و کار برای رفع آسیب‌های وارده به شرکت‌ را پرداخت می‌کند.
• خسارات ناشی از اطلاعات به سرقت رفته در شرکت‌ها را پرداخت می‌کند.
• خسارات وارد شده به شرکت‌ها را در اثر سهام و سرمایه به سرقت رفته در هک‌های الکترونیکی پرداخت می‌کند.
• خسارات ناشی از هک شدن شخص ثالث. به عنوان مثال، هکرها خود را در جریان یک پروسه پرداختی قرار می‌دهند و به داده‌های مشتریان شرکت نفوذ می‌کنند.

بنابراین بیمه سایبری می‌تواند یک کسب وکار را از خطر ورشکستگی و نابودی نجات دهد.

با این وجود، بیمه‌های سایبری ممکن است هزینه‌هایی مانند موارد زیر را نیز پوشش دهند:

• آسیب رسیدن به اعتبار برند
• هزینه‌هایی برای بهبود سیستم‌های امنیتی
• به تحلیل رفتن سرمایه گذاری‌های بلند‌مدت شرکت و یا سازمان

قوانین مربوط به امنیت اطلاعات در کشور شما چیست؟

شرکت و یا سازمان خود را با بهترین استانداردهای صنعتی و قانونی برای حفاظت از داده‌های خود بیمه کنید؛ اگر این کار را نکنید، صاحبان بیمه، ادعای شما را مبنی بر وقوع یک حمله سایبری نپذیرفته و شما را به عدم اجرای تعهد در قبال پیاده‌سازی اقدامات امنیتی، محکوم می‌کنند. از آنجا که شما نتوانسته‌اید تعهدات قانونی خود را اجرا کنید، مسئولیت حمله را به عهده می‌گیرید، به این ترتیب صاحبان بیمه (تقریبا یا بطورکامل) اعلام بی تقصیری می‌کنند.

در این قسمت مروری سریع بر قوانین اصلی ایالات متحده و اروپا که تعهداتی را در ارتباط با امنیت فناوری اطلاعات (IT) بر عهده دارند صورت پذیرفته است.

“پروفایل(نمایه) خطر” در بیمه امنیت سایبری شما چیست؟

هر بیمه‌گر یک نمایه و یا طرح کلی از خطرات و تهدیدات احتمالی یک شرکت یا سازمان را ایجاد می‌کند تا بدین وسیله احتمال وقوع یک حمله و میزان خسارات احتمالی را تخمین بزند. سازمان‌ها از “نمایه خطر” به عنوان راهی برای کاهش خطرات و تهدیدات بالقوه استفاده می‌کنند.

اولین و مهم‌ترین مزیت ” پروفایل خطر” این است که در صورت هک شدن یک شرکت و یا سازمان، چه اطلاعاتی از آن‌ها در معرض خطر می‌افتند. این اطلاعات می‌توانند داده‌های اعتباری برای پردازنده‌های پرداختی، پرونده‌های الکترونیکی مراقبت‌های پزشکی بیمارستان‌ها و یا کلینیک‌ها و حتی آدرس ایمیل‌های خبرنامه‌ای برای روزنامه‌های آنلاین، باشند.

پس از آن، نوبت به تحلیل فنی تمامی زیرساخت‌های امنیت آنلاین یک شرکت و یا سازمان می‌رسد.

این یکی از جنبه‌های مبهم و خالی از استانداردهای گسترده صنعتی در “پروفایل خطر” بیمه امنیت سایبری است. اساسا، هر شرکت بیمه، “پروفایل خطر” را بر اساس معیارها و استانداردهای خود ایجاد می‌کند. اکثر این موارد باید با یکدیگر همخوانی داشته باشند، اما هر بیمه گر در تعدادی از آن‌ها متفاوت از سایر بیمه‌گرها عمل می‌کند.

cybersecurity framework یک چارچوب بسیار نزدیک به استانداردهای گسترده جهانی است که توسط NIST آمریکا (موسسه ملی استاندارد و فناوری) منتشر شده است.

یک بیمه گر برای ایجاد پروفایل خطر سایبری، نه تنها زیرساخت شما را مورد ارزیابی قرار می‌دهد، بلکه چگونگی در معرض خطر قرارگرفتن شرکت شما توسط حملات سایبری را نیز مورد ارزیابی قرار می‌دهد.

به عنوان مثال، یک شرکت با احتمال وقوع حمله 10٪ حق بیمه ارزان‌تری نسبت به یک شرکت با احتمال وقوع حمله 65٪ دارد.

در اینجا یک چشم انداز کلی از معیارهای مورد استفاده برای ایجاد یک پروفایل خطر سایبری آمده است:

• کدام قسمت از داراییهای شرکت آسیب پذیر است و ممکن است مورد حملات سایبری قرار گیرند.
• تخمین خسارت‌های احتمالی.
• احتمال تبدیل یک شرکت به یکی از قربانیان جرایم اینترنتی چقدر است؟
• چگونه یک حمله سایبری به شرکت‌ها، فعالیت‌های تجاری را تحت تاثیر خود قرار می‌دهد.
• با ارزیابی قدرت امنیتی شرکت احتمال موفقیت آمیز بودن عملیات هک در آن چقدر است؟
• عکس العمل یک شرکت در مواجهه با یک هک موفقیت آمیز چگونه است؟

مسئولیت‌هایی که بیمه‌نامه امنیت سایبری پوشش می‌دهد چه هستند‌؟

نیازهای امنیت سایبری چیست؟

ارزش و بهای داده‌های شرکت از موردی به موردی دیگر متفاوت است، همانطور که زیرساخت‌های امنیتی آن‌ها متفاوت است.

به عبارت دیگر، بیمه‌گران تقریبا هیچ استانداردی برای محاسبه هزینه حق بیمه، ندارند. بنابراین بیمه‌گر و شرکت مشتری باید با هم به امور رسیدگی کنند، قیمت درستی را ارزیابی کنند، خدماتی که شرکت مشتری برای سایر فعالیت‌ها و نیز شخص ثالث ارائه می‌دهد را مشخص کنند. (مانند شرکت‌هایی که سرور‌ها و پایگاه‌های داده شرکت را میزبانی می‌کنند.)

شرکت‌هایی که بیمه سایبری دارند ممکن است وسوسه شوند که گزینه “همه موارد” را برای بیمه کردن شرکت خود در برابر همه حملات سایبری برگزینید، اما این پیشنهاد، پیشنهادی زیانبار خواهد بود که برای آن‌ها هزینه‌های سنگین و غیرضروری را به دنبال خواهد داشت. برای شرکت‌هایی که در ابتدای راه هستند، این نکته شاید قابل توجه باشد که برخی حملات مانند DDOS، حداقل خرابی و به دنبال آن کمترین خسارت را بر آن‌ها تحمیل می‌کنند و فقط چندین ساعت، رفع خسارات وارد شده بر آن‌ها طول می کشد. تلاش برای به دست آوردن حق بیمه‌ای که این حملات را پوشش دهد فقط هزینه‌های شما را افزایش می دهد، بدون اینکه خدمات زیادی به شما ارائه شود.

در عوض، یک شرکت باید در برابر تهدیداتی خاص مانند حملات هدفدار فیشینگ یا باج افزارها محافظت شود. این حملات، بیشترین تهدیداتی هستند که شرکت‌ها با احتمالی بسیار بالا با آن‌ها رو به رو هستند و در صورت مواجه با آن‌ها بیشترین خسارت را متحمل خواهند شد.

با در نظر گرفتن خواسته‌های بسیار خاص، دقیق و هدفدار خود، می‌توانید به یک نقطه مطلوب که به درستی هزینه‌ها و اهداف کلی را پوشش دهند دست یابید.

همچنین گامی دیگر برای کاهش هزینه‌های تحمیلی بر شرکت خود این است که اقدامات امنیتی خاصی را بکار گیرید. این کار، اعتمادی را در بیمه‌گر ایجاد می‌کند از این جهت که شما امنیت خود را جدی می‌گیرید و حداقل آسیب را از تهدیدات امنیتی خواهید دید. همچنین این گام به طور کلی میزان آسیب‌پذیری شما را به عنوان یک مشتری کاهش خواهد داد.

در اینجا فقط چند دستور که شرکت می‌تواند برای بهبود زیرساخت‌های امنیتی پیاده سازی کند، آمده است:

• فرآیند احراز هویت دو مرحله‌ای را در سراسر شرکت اجرا کنید.
• دوره‌های آموزشی امنیت اطلاعات را برای کارکنان، به خصوص دوره‌هایی با اعطای مدرک و گواهی، برگزار کنید.
• از محصولات امنیتی به روز استفاده کنید.
• اقدامات امنیتی را در محل کار خود اجرایی کنید. مواردی نظیر محدود کردن دسترسی غریبه‌ها به ساختمان‌های شرکت یا کامپیوترها، احتمال ویروسی شدن با کارت‌های ویروسی USB یا Wi-Fi را کاهش می دهند.
• دائما پشتیبان گیری(Backup) کنید. پشتیبان گیری داده یک بار در روز، به جای یک بار در هفته، میزان اطلاعات از دست رفته در مواجه با حملات باج افزارها را کاهش خواهد داد. با انجام این کار علاوه بر اینکه جبران خسارت از دست دادن داده‌ها را پوشش می‌دهد، حق بیمه شما نیز کاهش می‌یابد.
• اجرای سیاست انتخاب رمز عبور قوی در سراسر شرکت. در حالت ایده آل، هر کارمند باید از یک رمز عبور که حداقل 10 کاراکتر با حروف کوچک و بزرگ و دارای حداقل یک عدد و یک کاراکتر خاص باشد، استفاده کند.

محدودیت‌های بیمه نامه‌های سایبری

اکنون که ما نیاز به دانستن اصول اولیه حق بیمه را داریم، بیایید نگاهی به پوشش دهی بیمه‌هایی داشته باشیم که بابت آن پول پرداخت می کنیم:

بیمه سایبری سقف معینی از خسارات را پوشش می دهد، که این خدمات بسته به نوع داده‌هایی که شما می‌خواهید محافظت شوند و یا بهایی که شما مایلید پرداخت کنید، متفاوت است. به عنوان مثال، بیمه شما تا 400 میلیون تومان را پوشش  می دهد، اما مجموع خسارات تحمیل شده ناشی از هک بر شما 600 میلیون تومان است. اتفاقی که می‌افتد این است که شما باید 200 میلیون تومان اضافی خسارت بپردازید.

به همین علت، به منظور آگاهی از هزینه‌های مربوط به افشای اطلاعات امنیتی، اگر می‌خواهید بیمه شامل حفاظت در مقابل بدترین نوع هک باشد، مذاکره کنید.

به عنوان مثال فروشگاه خرده فروشی، پوشش بیمه‌ای تا حدود 400 میلیارد تومان داشت، اما خسارت وارد شده بر آن در اثر هک اطلاعاتش در سال 1394 به طور موقت به بیش از 1200 میلیارد تومان رسید.

بنابراین، از هرگونه محدودیت احتمالی آگاهی داشته باشید.

به عنوان مثال، بگذارید بگوییم پوشش کل 450 میلیون تومان است. اما، از آن دسته‌ای است که هزینه‌های حقوقی فقط 80 میلیون تومان دارد.

اگر مجموع تلفات تجمعی شما به عنوان بخشی از حمله سایبری به مبلغ 320 میلیون تومان برسد، اما هزینه‌های قانونی شما به مبلغ 120 میلیون تومان می‌رسد، پس شما باید مبلغ 40 میلیون تومان برای پرداخت هزینه‌های حقوقی که بالاتر از سقف بیمه است، پرداخت کنید.

تخفیف

درست همانطور که سقف پوشش حداکثری برای خسارات وجود دارد، یک مقدار آستانه‌ای نیز باید باشد که پیش از استفاده از بیمه سایبری از این حد بگذرد. البته، ما به تخفیف ها نیز اشاره می کنیم.

به عنوان مثال، شما یک بیمه‌نامه را برای 400 میلیون تومان امضا کرده اید، با یک تخفیف 40 میلیون تومانی.  در این سناریو، اگر هک باعث آسیب 120 میلیون تومانی شود، شما مجبور خواهید بود که خودتان 40 میلیون تومان را پرداخت کنید و بیمه‌گر تنها 80 میلیون تومان را پرداخت می‌کند.

به همین ترتیب، ممکن است که تخفیف برای بخش‌های خاصی از بیمه‌نامه محاسبه شود، البته نه برای همه. به عنوان مثال، شما مبلغ 20 میلیون تومان را برای هزینه‌های حقوقی تخفیف دارید، اما برای هزینه‌های اطلاع رسانی 40 میلیون تخفیف می‌گیرید.

اگر شما می خواهید بهترین عملکرد را داشته باشید درک این تعامل بین تخفیف‌ها، محدودیت‌ها و عدم محدویت‌ها بسیار مهم است. اگر شما با حمله‌های کوچک باج افزاری که مبلغ 8 تا 40 میلیون تومان برای هر ویروس هزینه می‌کنید، خریداری یک بیمه‌نامه سایبری ارزان با پوشش 4 میلیارد تومان و مبلغ 60 میلیون تخفیف، به طور کلی  بی فایده است. در این مورد، شما عملا از دو راه پول از دست داده اید: 1) هزینه حق بیمه و 2) هزینه افشای اطلاعات

انتخاب بهترین بیمه‌کننده

هرگاه شما وظایف خود را برای تامین امنیتتان در مقابل انواع تهدیدات سایبری به بهترین نحو انجام دادید، مطالعاتی در زمینه بیمه امنیت سایبری داشتید، حساب و کتاب های خود برای انتخاب بیمه مربوطه را انجام دادید و به طور کلی همه اقدامات امنیتی را بکار گرفتید، در این زمان شما آماده یافتن یک بیمه گر هستید، اما دقیقا از کجا شروع می کنید؟

اول از همه، بستگی به این دارد که جایگاه اصلی شرکت شما کجاست. بازار بیمه سایبری در ایالات متحده آمریکا بیشتر از اروپا توسعه یافته است، بعلاوه یکی از بزرگترین‌های این بازار است، به این معنی که بازار ایالات متحده دارای اصطلاحات قانونمند توسعه یافته‌تر و مجموعه داده‌های بیشتری است و همینطور مجموعه‌ای بزرگتر از بیمه‌گران است که پوشش بهتری دارند.

در این زمینه، شما باید این واقعیت را بپذیرید که سیستم بیمه سایبری هنوز در دوره مقدماتی است و پیشرفته نیست. پیشنهادات ارائه شده توسط آن‌ها استاندارد نیستند، بنابراین مقایسه سیاست و روند کار یک بیمه‌گر با دیگری مشکل است. و به این معنی است که شرکت شما باید با هر یک از بیمه‌گران مذاکره کند تا بهترین قیمت ممکن را بدست آورد و به استانداردی قانونی برسد.

اگر شما تخصصی در زمینه مالی/حقوقی ندارید، باید با یک کارگزار بیمه تماس بگیرید. یک شخص ماهر که بازار بیمه و نقاط قوت و ضعف هر کدام از قراردادهای بیمه‌گران را به خوبی می‌شناسد و از اینکه آیا آن‌ها قابل اعتماد هستند یا خیر آگاهی دارد.

شما چگونه می توانید تجارتی را با نظارت خود برای سیاست‌گذاری بیمه مسئولیت سایبری راه اندازی کنید؟

شما تنها شخصی هستید که می‌داند امنیت اطلاعات جنبه مهمی از کسب و کار است و باید جدی گرفته شود.

چگونه می‌توانید، شرکا و همکاران خود را برای داشتن بیمه سایبری قانع کنید؟

بهترین راه برای متقاعد کردن سرپرستان و شرکای مالی خود در جهت نیاز به بیمه سایبری، این است که به آن‌ها گزارش‌هایی از آمار و ارقام بالای جرائم آنلاین را که یک خطر واقعی است نشان دهید.

متأسفانه کمبودی در زمینه جرایم آنلاین وجود ندارد. چشم‌اندازی از آمار و ارقام مربوط به تهدیدات آنلاین در اینجا آمده است:

• 61 درصد از حجم ایمیل‌ها، هرزنامه است.
• میزان کلیک بر روی ایمیل‌های فیشینگ 12٪ است.
• 15٪ از مشتریان می‌گویند که آن‌ها از ارتباط با شرکتی که نقض اطلاعات دارد، رنج می‌برند.
• 76٪ از وب‌سایت‌ها آسیب‌پذیری امنیتی دارند.
• بیش از 70٪ از کسب و کارها مورد هدف باج افزارها هستند و برای بازیابی اطلاعات خود، باج و خسارت پرداخت می‌کنند.

یک قرداد بیمه سایبری می‌تواند یک کسب و کار را از آسیب‌های باج افزاری محافظت کند.

بیمه امنیت سایبری در ایران

بحث بیمه امنیت سایبری در ایران اگرچه بحث جدیدی نیست و رای زنی‌های آن از مدت‌ها قبل در جریان بوده ولیکن تا لحظه نگارش این مقاله هیچ شرکتی‌ بیمه‌نامه‌ایی با این موضوع صادر ننموده است. اخیرا اما زمزمه‌هایی از تدوین مراحل نهایی تعریف ساز و کار بیمه سایبری در برخی شرکت‌های بیمه شنیده شده است.

نتیجه‌گیری

بیمه امنیت سایبری می‌تواند تفاوت‌های زیادی هنگام تلاش برای مقابله با یک هک عمده در برابر شرکت یا سازمان شما ایجاد کند. نه تنها شامل مواردی است که به شما کمک می‌کند، بلکه سعی می‌کند که به عنوان بیمه‌گر مشتریان شرکت‌ها را نیز متقاعد کند. اغلب اوقات این تلاش و آمادگی شما را از بسیاری از تهدیدات بزرگ دور می‌کند.