قبل از تعریف بیمه امنیت سایبری اجازه بدهید یک داستان را با هم بخوانیم.
در تاریکی شب، تلفن شما زنگ میزند. شخص پشت تلفن ساکت است؛ اما شخص کناری وی با صدای بلندی فریاد میزند و شما را از رؤیا به این دنیا بر میگرداند.
“ما در اداره به شما نیاز داریم، یک نفر به سرورهای ما حمله کرده و اطلاعات مشتریان ما را دزدیده و اطلاعات حسابداری ما نیز رمزگذاری شده است.”
شرکتهای کوچک و متوسط هم اغلب هک میشوند، ولی به اندازه کافی جدی نیستند که خبرساز شوند. برای این کسب و کارهای نوپا، یک هک بزرگ میتواند بهایی به ارزش یک سال کار آنها را داشته باشد و یا حتی آنها را به طور کامل ورشکسته کند.
برای محافظت در برابر این شرایط غیر قابل پیشبینی، شرکت شما باید بیمه مسئولیت سایبری را در نظر بگیرد. یک مذاکره خوب میتواند نه همه آسیب های ناشی از حمله ولی قسمت اعظمی از آن را پوشش دهد.
بیمه امنیت سایبری چیست؟
اصول اساسی آن همانند سایر بیمههای رایج مانند بیمه اتومبیل، منزل و یا خدمات درمانی است.
یک شرکت با پرداخت حق بیمه، مسئولیت خطر و تهدیدات سایبری را به شرکت بیمه منتقل میکند.
بیمه امنیت سایبری به طور قطع از تحمیل خسارات مالی بر شرکت شما جلوگیری کرده و همه یا بخشی از خسارات وارد شده به شرکتها را پرداخت میکند. بیمه سایبری، موارد زیر را پوشش میدهد:
- خسارات ناشی از دستکاری اطلاعات را با اقداماتی از قبیل اطلاع رسانی به مشتریان، بررسی علل افشای اطلاعات، اعمال جرائم قانونی و از پیش تنظیم شده بر عاملان تهدید را به شرکتها پرداخت میکند.
- خسارات ناشی از به تعلیق درآمدن کسب و کار برای رفع آسیبهای وارده به شرکت را پرداخت میکند.
- خسارات ناشی از اطلاعات به سرقت رفته در شرکتها را پرداخت میکند.
- خسارات وارد شده به شرکتها را در اثر سهام و سرمایه به سرقت رفته در هکهای الکترونیکی پرداخت میکند.
- خسارات ناشی از هک شدن شخص ثالث. به عنوان مثال، هکرها خود را در جریان یک پروسه پرداختی قرار میدهند و به دادههای مشتریان شرکت نفوذ میکنند.
بنابراین بیمه سایبری میتواند یک کسب وکار را از خطر ورشکستگی و نابودی نجات دهد.
با این وجود، بیمههای سایبری ممکن است هزینههایی مانند موارد زیر را نیز پوشش دهند:
- آسیب رسیدن به اعتبار برند
- هزینههایی برای بهبود سیستمهای امنیتی
- به تحلیل رفتن سرمایه گذاریهای بلندمدت شرکت و یا سازمان
قوانین مربوط به امنیت اطلاعات در کشور شما چیست؟
شرکت و یا سازمان خود را با بهترین استانداردهای صنعتی و قانونی برای حفاظت از دادههای خود بیمه کنید؛ اگر این کار را نکنید، صاحبان بیمه، ادعای شما را مبنی بر وقوع یک حمله سایبری نپذیرفته و شما را به عدم اجرای تعهد در قبال پیادهسازی اقدامات امنیتی، محکوم میکنند. از آنجا که شما نتوانستهاید تعهدات قانونی خود را اجرا کنید، مسئولیت حمله را به عهده میگیرید، به این ترتیب صاحبان بیمه (تقریبا یا بطورکامل) اعلام بی تقصیری میکنند.
در این قسمت مروری سریع بر قوانین اصلی ایالات متحده و اروپا که تعهداتی را در ارتباط با امنیت فناوری اطلاعات (IT) بر عهده دارند صورت پذیرفته است.
“پروفایل(نمایه) خطر” در بیمه امنیت سایبری شما چیست؟
هر بیمهگر یک نمایه و یا طرح کلی از خطرات و تهدیدات احتمالی یک شرکت یا سازمان را ایجاد میکند تا بدین وسیله احتمال وقوع یک حمله و میزان خسارات احتمالی را تخمین بزند. سازمانها از “نمایه خطر” به عنوان راهی برای کاهش خطرات و تهدیدات بالقوه استفاده میکنند.
اولین و مهمترین مزیت ” پروفایل خطر” این است که در صورت هک شدن یک شرکت و یا سازمان، چه اطلاعاتی از آنها در معرض خطر میافتند. این اطلاعات میتوانند دادههای اعتباری برای پردازندههای پرداختی، پروندههای الکترونیکی مراقبتهای پزشکی بیمارستانها و یا کلینیکها و حتی آدرس ایمیلهای خبرنامهای برای روزنامههای آنلاین، باشند.
پس از آن، نوبت به تحلیل فنی تمامی زیرساختهای امنیت آنلاین یک شرکت و یا سازمان میرسد.
این یکی از جنبههای مبهم و خالی از استانداردهای گسترده صنعتی در “پروفایل خطر” بیمه امنیت سایبری است. اساسا، هر شرکت بیمه، “پروفایل خطر” را بر اساس معیارها و استانداردهای خود ایجاد میکند. اکثر این موارد باید با یکدیگر همخوانی داشته باشند، اما هر بیمه گر در تعدادی از آنها متفاوت از سایر بیمهگرها عمل میکند.
cybersecurity framework یک چارچوب بسیار نزدیک به استانداردهای گسترده جهانی است که توسط NIST آمریکا (موسسه ملی استاندارد و فناوری) منتشر شده است.
یک بیمه گر برای ایجاد پروفایل خطر سایبری، نه تنها زیرساخت شما را مورد ارزیابی قرار میدهد، بلکه چگونگی در معرض خطر قرارگرفتن شرکت شما توسط حملات سایبری را نیز مورد ارزیابی قرار میدهد.
به عنوان مثال، یک شرکت با احتمال وقوع حمله 10٪ حق بیمه ارزانتری نسبت به یک شرکت با احتمال وقوع حمله 65٪ دارد.
در اینجا یک چشم انداز کلی از معیارهای مورد استفاده برای ایجاد یک پروفایل خطر سایبری آمده است:
- کدام قسمت از داراییهای شرکت آسیب پذیر است و ممکن است مورد حملات سایبری قرار گیرند.
- تخمین خسارتهای احتمالی.
- احتمال تبدیل یک شرکت به یکی از قربانیان جرایم اینترنتی چقدر است؟
- چگونه یک حمله سایبری به شرکتها، فعالیتهای تجاری را تحت تاثیر خود قرار میدهد.
- با ارزیابی قدرت امنیتی شرکت احتمال موفقیت آمیز بودن عملیات هک در آن چقدر است؟
- عکس العمل یک شرکت در مواجهه با یک هک موفقیت آمیز چگونه است؟
مسئولیتهایی که بیمهنامه امنیت سایبری پوشش میدهد چه هستند؟
نیازهای امنیت سایبری چیست؟
ارزش و بهای دادههای شرکت از موردی به موردی دیگر متفاوت است، همانطور که زیرساختهای امنیتی آنها متفاوت است.
به عبارت دیگر، بیمهگران تقریبا هیچ استانداردی برای محاسبه هزینه حق بیمه، ندارند. بنابراین بیمهگر و شرکت مشتری باید با هم به امور رسیدگی کنند، قیمت درستی را ارزیابی کنند، خدماتی که شرکت مشتری برای سایر فعالیتها و نیز شخص ثالث ارائه میدهد را مشخص کنند. (مانند شرکتهایی که سرورها و پایگاههای داده شرکت را میزبانی میکنند.)
شرکتهایی که بیمه سایبری دارند ممکن است وسوسه شوند که گزینه “همه موارد” را برای بیمه کردن شرکت خود در برابر همه حملات سایبری برگزینید، اما این پیشنهاد، پیشنهادی زیانبار خواهد بود که برای آنها هزینههای سنگین و غیرضروری را به دنبال خواهد داشت. برای شرکتهایی که در ابتدای راه هستند، این نکته شاید قابل توجه باشد که برخی حملات مانند DDOS، حداقل خرابی و به دنبال آن کمترین خسارت را بر آنها تحمیل میکنند و فقط چندین ساعت، رفع خسارات وارد شده بر آنها طول می کشد. تلاش برای به دست آوردن حق بیمهای که این حملات را پوشش دهد فقط هزینههای شما را افزایش می دهد، بدون اینکه خدمات زیادی به شما ارائه شود.
در عوض، یک شرکت باید در برابر تهدیداتی خاص مانند حملات هدفدار فیشینگ یا باج افزارها محافظت شود. این حملات، بیشترین تهدیداتی هستند که شرکتها با احتمالی بسیار بالا با آنها رو به رو هستند و در صورت مواجه با آنها بیشترین خسارت را متحمل خواهند شد.
با در نظر گرفتن خواستههای بسیار خاص، دقیق و هدفدار خود، میتوانید به یک نقطه مطلوب که به درستی هزینهها و اهداف کلی را پوشش دهند دست یابید.
همچنین گامی دیگر برای کاهش هزینههای تحمیلی بر شرکت خود این است که اقدامات امنیتی خاصی را بکار گیرید. این کار، اعتمادی را در بیمهگر ایجاد میکند از این جهت که شما امنیت خود را جدی میگیرید و حداقل آسیب را از تهدیدات امنیتی خواهید دید. همچنین این گام به طور کلی میزان آسیبپذیری شما را به عنوان یک مشتری کاهش خواهد داد.
در اینجا فقط چند دستور که شرکت میتواند برای بهبود زیرساختهای امنیتی پیاده سازی کند، آمده است:
- فرآیند احراز هویت دو مرحلهای را در سراسر شرکت اجرا کنید.
- دورههای آموزشی امنیت اطلاعات را برای کارکنان، به خصوص دورههایی با اعطای مدرک و گواهی، برگزار کنید.
- از محصولات امنیتی به روز استفاده کنید.
- اقدامات امنیتی را در محل کار خود اجرایی کنید. مواردی نظیر محدود کردن دسترسی غریبهها به ساختمانهای شرکت یا کامپیوترها، احتمال ویروسی شدن با کارتهای ویروسی USB یا Wi-Fi را کاهش می دهند.
- دائما پشتیبان گیری(Backup) کنید. پشتیبان گیری داده یک بار در روز، به جای یک بار در هفته، میزان اطلاعات از دست رفته در مواجه با حملات باج افزارها را کاهش خواهد داد. با انجام این کار علاوه بر اینکه جبران خسارت از دست دادن دادهها را پوشش میدهد، حق بیمه شما نیز کاهش مییابد.
- اجرای سیاست انتخاب رمز عبور قوی در سراسر شرکت. در حالت ایده آل، هر کارمند باید از یک رمز عبور که حداقل 10 کاراکتر با حروف کوچک و بزرگ و دارای حداقل یک عدد و یک کاراکتر خاص باشد، استفاده کند.
محدودیتهای بیمه نامههای سایبری
اکنون که ما نیاز به دانستن اصول اولیه حق بیمه را داریم، بیایید نگاهی به پوشش دهی بیمههایی داشته باشیم که بابت آن پول پرداخت می کنیم:
بیمه سایبری سقف معینی از خسارات را پوشش می دهد، که این خدمات بسته به نوع دادههایی که شما میخواهید محافظت شوند و یا بهایی که شما مایلید پرداخت کنید، متفاوت است. به عنوان مثال، بیمه شما تا 400 میلیون تومان را پوشش می دهد، اما مجموع خسارات تحمیل شده ناشی از هک بر شما 600 میلیون تومان است. اتفاقی که میافتد این است که شما باید 200 میلیون تومان اضافی خسارت بپردازید.
به همین علت، به منظور آگاهی از هزینههای مربوط به افشای اطلاعات امنیتی، اگر میخواهید بیمه شامل حفاظت در مقابل بدترین نوع هک باشد، مذاکره کنید.
به عنوان مثال فروشگاه خرده فروشی، پوشش بیمهای تا حدود 400 میلیارد تومان داشت، اما خسارت وارد شده بر آن در اثر هک اطلاعاتش در سال 1394 به طور موقت به بیش از 1200 میلیارد تومان رسید.
بنابراین، از هرگونه محدودیت احتمالی آگاهی داشته باشید.
به عنوان مثال، بگذارید بگوییم پوشش کل 450 میلیون تومان است. اما، از آن دستهای است که هزینههای حقوقی فقط 80 میلیون تومان دارد.
اگر مجموع تلفات تجمعی شما به عنوان بخشی از حمله سایبری به مبلغ 320 میلیون تومان برسد، اما هزینههای قانونی شما به مبلغ 120 میلیون تومان میرسد، پس شما باید مبلغ 40 میلیون تومان برای پرداخت هزینههای حقوقی که بالاتر از سقف بیمه است، پرداخت کنید.
تخفیف
درست همانطور که سقف پوشش حداکثری برای خسارات وجود دارد، یک مقدار آستانهای نیز باید باشد که پیش از استفاده از بیمه سایبری از این حد بگذرد. البته، ما به تخفیف ها نیز اشاره می کنیم.
به عنوان مثال، شما یک بیمهنامه را برای 400 میلیون تومان امضا کرده اید، با یک تخفیف 40 میلیون تومانی. در این سناریو، اگر هک باعث آسیب 120 میلیون تومانی شود، شما مجبور خواهید بود که خودتان 40 میلیون تومان را پرداخت کنید و بیمهگر تنها 80 میلیون تومان را پرداخت میکند.
به همین ترتیب، ممکن است که تخفیف برای بخشهای خاصی از بیمهنامه محاسبه شود، البته نه برای همه. به عنوان مثال، شما مبلغ 20 میلیون تومان را برای هزینههای حقوقی تخفیف دارید، اما برای هزینههای اطلاع رسانی 40 میلیون تخفیف میگیرید.
اگر شما می خواهید بهترین عملکرد را داشته باشید درک این تعامل بین تخفیفها، محدودیتها و عدم محدویتها بسیار مهم است. اگر شما با حملههای کوچک باج افزاری که مبلغ 8 تا 40 میلیون تومان برای هر ویروس هزینه میکنید، خریداری یک بیمهنامه سایبری ارزان با پوشش 4 میلیارد تومان و مبلغ 60 میلیون تخفیف، به طور کلی بی فایده است. در این مورد، شما عملا از دو راه پول از دست داده اید: 1) هزینه حق بیمه و 2) هزینه افشای اطلاعات
انتخاب بهترین بیمهکننده
هرگاه شما وظایف خود را برای تامین امنیتتان در مقابل انواع تهدیدات سایبری به بهترین نحو انجام دادید، مطالعاتی در زمینه بیمه امنیت سایبری داشتید، حساب و کتاب های خود برای انتخاب بیمه مربوطه را انجام دادید و به طور کلی همه اقدامات امنیتی را بکار گرفتید، در این زمان شما آماده یافتن یک بیمه گر هستید، اما دقیقا از کجا شروع می کنید؟
اول از همه، بستگی به این دارد که جایگاه اصلی شرکت شما کجاست. بازار بیمه سایبری در ایالات متحده آمریکا بیشتر از اروپا توسعه یافته است، بعلاوه یکی از بزرگترینهای این بازار است، به این معنی که بازار ایالات متحده دارای اصطلاحات قانونمند توسعه یافتهتر و مجموعه دادههای بیشتری است و همینطور مجموعهای بزرگتر از بیمهگران است که پوشش بهتری دارند.
در این زمینه، شما باید این واقعیت را بپذیرید که سیستم بیمه سایبری هنوز در دوره مقدماتی است و پیشرفته نیست. پیشنهادات ارائه شده توسط آنها استاندارد نیستند، بنابراین مقایسه سیاست و روند کار یک بیمهگر با دیگری مشکل است. و به این معنی است که شرکت شما باید با هر یک از بیمهگران مذاکره کند تا بهترین قیمت ممکن را بدست آورد و به استانداردی قانونی برسد.
اگر شما تخصصی در زمینه مالی/حقوقی ندارید، باید با یک کارگزار بیمه تماس بگیرید. یک شخص ماهر که بازار بیمه و نقاط قوت و ضعف هر کدام از قراردادهای بیمهگران را به خوبی میشناسد و از اینکه آیا آنها قابل اعتماد هستند یا خیر آگاهی دارد.
شما چگونه می توانید تجارتی را با نظارت خود برای سیاستگذاری بیمه مسئولیت سایبری راه اندازی کنید؟
شما تنها شخصی هستید که میداند امنیت اطلاعات جنبه مهمی از کسب و کار است و باید جدی گرفته شود.
چگونه میتوانید، شرکا و همکاران خود را برای داشتن بیمه سایبری قانع کنید؟
بهترین راه برای متقاعد کردن سرپرستان و شرکای مالی خود در جهت نیاز به بیمه سایبری، این است که به آنها گزارشهایی از آمار و ارقام بالای جرائم آنلاین را که یک خطر واقعی است نشان دهید.
متأسفانه کمبودی در زمینه جرایم آنلاین وجود ندارد. چشماندازی از آمار و ارقام مربوط به تهدیدات آنلاین در اینجا آمده است:
- 61 درصد از حجم ایمیلها، هرزنامه است.
- میزان کلیک بر روی ایمیلهای فیشینگ 12٪ است.
- 15٪ از مشتریان میگویند که آنها از ارتباط با شرکتی که نقض اطلاعات دارد، رنج میبرند.
- 76٪ از وبسایتها آسیبپذیری امنیتی دارند.
- بیش از 70٪ از کسب و کارها مورد هدف باج افزارها هستند و برای بازیابی اطلاعات خود، باج و خسارت پرداخت میکنند.
یک قرداد بیمه سایبری میتواند یک کسب و کار را از آسیبهای باج افزاری محافظت کند.
بیمه امنیت سایبری در ایران
بحث بیمه امنیت سایبری در ایران اگرچه بحث جدیدی نیست و رای زنیهای آن از مدتها قبل در جریان بوده ولیکن تا لحظه نگارش این مقاله هیچ شرکتی بیمهنامهایی با این موضوع صادر ننموده است. اخیرا اما زمزمههایی از تدوین مراحل نهایی تعریف ساز و کار بیمه سایبری در برخی شرکتهای بیمه شنیده شده است.
نتیجهگیری
بیمه امنیت سایبری میتواند تفاوتهای زیادی هنگام تلاش برای مقابله با یک هک عمده در برابر شرکت یا سازمان شما ایجاد کند. نه تنها شامل مواردی است که به شما کمک میکند، بلکه سعی میکند که به عنوان بیمهگر مشتریان شرکتها را نیز متقاعد کند. اغلب اوقات این تلاش و آمادگی شما را از بسیاری از تهدیدات بزرگ دور میکند.