بیمه سایبری، عاملی برای افزایش پرداخت باج به باج‌افزارها

قربانیان باج‌افزارها معمولاً پس از اینکه توسط مجرمان سایبری مورد اخاذی قرار می‌گیرند برای پرداخت باج به شرکت‌های بیمه سایبری مراجعه می‌کنند. بنابر گزارشی که در سال 2020 میلادی منتشر شد در نیمه اول این سال، حدود 40 درصد از کل مبالغ پرداختی‌ها که توسط قربانیان حملات باج‌افزاری پرداخت شده، از طریق بیمه سایبری صورت گرفته است.

محققان حوزه امنیت هشدار می‌دهند این رویکرد می‌تواند مشکل آفرین باشد. در حملاتی که در طول دو سال اخیر اجرا شده، اطلاع مهاجمان از اینکه آیا قربانی آنها تحت بیمه سایبری برای پرداخت باج یا کاهش هزینه‌های این حملات قرار دارد یا خیر، بر رویکردشان تأثیر چشم‌گیری داشته است.

برای مثال در سال 2019، سیستم‌های شهرداری شهر ریویرا بیچ مستقر در ایالت فلوریدای آمریکا مورد هدف حمله باج‌افزاری قرار گرفته و مجرمان امکان دسترسی به داده‌های مهم را قطع کردند. در جلسه‌ اضطراری که شورای شهر تشکیل داد، اعضای این شورا موافقت کردند از صندوق بیمه این شهر برای پرداخت باج 600 هزار دلاری به مجرمان استفاده شود. مهاجمان همچنین سیستم‌هایی را که امور مالی شهر و خدمات شهری (مثل آب، برق و گاز) را کنترل می‌کنند، از دسترس شهروندان خارج نمودند.

در همان ماه، شهر دیگری در آمریکا 500 هزار دلار به مهاجمان پرداخت کرد که به گفته مدیران شهر، بخش عمده‌ای از آن توسط بیمه پوشش داده شد. یکی از دانشگاه‌های آمریکایی هم به تازگی مورد هدف حمله ای باج‌افزاری قرار گرفته که منجر به از کار افتادن سرورهای آن شده و طی آن اطلاعات دانشجویان به سرقت رفته است. این دانشگاه با همکاری یک شرکت بیمه، حدود 500 هزار دلار باج به مجرمان سایبری پرداخت کرد.

بیمه سایبری: عاملی برای تضمین موفقیت مهاجمان

برای شرکت‌هایی که مورد هدف حمله باج‌افزاری قرار می‌گیرند، بیمه سایبری ابزاری جهت مقابله با پیامدهای اقتصادی این حملات محسوب می‌شود. مثلاً شرکت بزرگ آلومینیوم‌سازی Norsk Hydro پس از اینکه در سال 2019 میلادی مورد هدف حمله سایبری قرار گرفت، حدود 20 میلیون دلار به عنوان خسارت از شرکت بیمه دریافت کرد. آسیب مالی ناشی از این حمله، بین 60 تا 70 میلیون دلار تخمین زده شده است.

Jack Kudale بنیان‌گذار و مدیرعامل شرکت Cowbell Cyber در این خصوص می‌گوید: «حملات باج‌افزاری، پیامدهای اقتصادی متعددی دارند. ایجاد وقفه در عملیات های کسب و کاری، کاهش درآمد، احتمال افشای داده‌های حساس و پیامدهای آن برای سازمان‌ها، هزینه‌های بازیابی سیستم‌ها به حالت قبل، مسدود کردن مسیر نفوذ و مذاکره با مهاجمان، از جمله مواردی هستند که باید توسط طرح‌های بیمه سایبری تحت پوشش قرار گیرند».

بعضی از محققان امنیت سایبری معتقدند استفاده از بیمه سایبری به خصوص برای پوشش هزینه‌های مذاکره و پرداخت باج اقدام مطلوبی نیست. Brandon Hoffman مدیر ارشد امنیت اطلاعات شرکت Netenrich می‌گوید: «پرداخت باج، سازمان‌ها را از لحاظ قانونی در وضعیت نامشخصی قرار داده و این اطمینان را به مجرمان سایبری می‌دهد که شما هزینه‌های لازم برای حملات سایبری را از پیش تأمین نموده‌اید».

هزینه‌ها، حق بیمه و محدودیت‌های جانبی

بر اساس مطالعه‌ای که در ژانویه 2021 توسط AdvisorSmith Solutions صورت گرفت: «میانگین هزینه بیمه سایبری در هر سال در آمریکا حدود 1500 دلار است. حق بیمه سایبری برای شرکت‌هایی با درآمد 1 میلیون دلار، بین 650 تا 2357 دلار است. این هزینه‌ها بر اساس حد پرداخت خسارت تا سقف 1 میلیون دلار، با 10 هزار دلار هزینه قابل کسر هستند».

در بعضی از این سیاست‌ها محدودیت‌ها و شرایط خاصی موسوم به محدودیت فرعی برای پرداخت هزینه‌های مربوط به باج‌افزارها وجود دارد. بر اساس نتایج یک مطالعه صورت گرفته: «بسیاری از سیاست‌های بیمه سایبری حتی اگر سیاست مسئولیت‌پذیری سایبری آنها سقف بسیار بالایی داشته باشد همچنان پوشش بسیار کمی برای باج‌افزار یا سایر حملات اخاذی سایبری ارایه می‌کنند (مثلاً فقط در حد 25 هزار دلار)».

محققان امنیتی نگران تأثیر بیمه سایبری بر چشم‌انداز کلی امنیت بوده و اعتقاد دارند این بیمه‌ها باعث می‌شود شرکت‌ها راهکارهای امنیتی لازم را برای مقابله با چنین حملاتی پیاده‌سازی نکنند. Hoffman می‌گوید: «از دیدگاه کلی، پرداخت باج توسط شرکت‌های بیمه نه تنها استفاده از باج‌افزارها را ترویج می‌دهد بلکه انگیزه سازمان‌ها برای عدم پیاده‌سازی راهکارهای امنیتی لازم جهت مقابله با باج‌افزارها را هم افزایش خواهد داد».

اقدامات قانون‌گذاران برای کاهش نقش بیمه سایبری

شرکت‌های ارایه‌دهنده خدمات بیمه سایبری معمولاً نقش میانجی را بین مجرمان سایبری و قربانیان ایفا می‌کنند. از طرف دیگر دولت‌ها هم به دنبال پیاده‌سازی قوانین خاصی برای برخورد با عوامل باج‌افزارها هستند. مثلاً در سال 2020 میلادی ایالت نیویورک، شهرداران را از پرداخت باج به مجرمان سایبری منع کرد.

این اقدام که با هدف مقابله با موج رو به گسترش حملات سایبری بر ضد مؤسسه‌های دولتی آمریکا انجام شد، مانع پرداخت باج توسط شهرداران به هکرها می‌شود. بر اساس این قانون، مدیران شهری باید چنین هزینه‌هایی را صرف راه‌اندازی یک «صندوق توانمندسازی امنیت سایبری» کنند که به شهرداری‌ها برای تقویت وضعیت دفاعی‌شان کمک می‌کند.

وزارت خزانه داری آمریکا هم چندین گروه مهاجم سایبری را به فهرست تحریم‌های خود اضافه کرده تا مانع از پرداخت باج به آنها توسط شهروندان یا نهادهای آمریکایی شود. از جمله این گروه‌ها می‌توان به طراحان باج‌افزار CryptoLocker، گروه باج‌افزاری SamSam، گروه Lazarus (که به کره شمالی نسبت داده می‌شود)، گروه Evil Corp و رهبر آن Maksim Yakubets اشاره کرد.

این وزارتخانه به تازگی تحریم‌های خود را گسترش داده و اعلام نموده شرکت‌هایی که امکان پرداخت باج به مجرمان را برای مشتریان خود فراهم کنند (که به آنها مذاکره کننده باج هم گفته می‌شود) ممکن است برای ترویج این جرم و افزایش احتمال تکرار این حملات، مشمول تحریم‌های آمریکا قرار گیرند.

موارد استثنای ایالتی – دولتی

شرکت‌های بیمه سایبری برای بعضی از حملات ایالتی – دولتی راه‌های گریز ویژه ای دارند. در سال 2017 میلادی زمانی که بدافزار NotPetya هزاران سازمان را در سطح جهان مورد هدف قرار داد، بعضی از شرکت‌های بیمه برای خودداری از پرداخت هزینه بیمه، به موارد استنثایی برای شرایط جنگی متوسل شدند. بنابر این قانون، شرکت‌های بیمه نمی‌توانند برای اقدامات خصمانه چه در زمان صلح و چه در هنگام جنگ، پوشش بیمه ارایه کنند.

بنابراین چگونه می‌توان سیاست‌های بیمه سایبری را با وجود چنین دغدغه‌هایی ارتقا داد؟ Hoffman معتقد است شرکت‌های بیمه علاوه بر پرداخت باج باید از پرداخت حق بیمه هم خودداری کنند! مگر اینکه راهکارهای لازم برای پیشگیری از این حملات و بازیابی اطلاعات، پس از وقوع حمله توسط سازمان قربانی پیاده‌سازی شده باشد.

Hoffman همچنین گفته که: «شاید این اقدام سختگیرانه به نظر برسد ولی بی دلیل نیست که دولت‌ها و مقام‌های قانونی در شرایط خصمانه با تروریست‌ها مذاکره نمی‌کنند و شاید بهتر باشد با باج‌افزارها نیز همین برخورد را داشت. تهیه یک طرح دفاع سایبری و بازیابی اطلاعات پس از انجام حمله، مسیر مناسب‌تری است و ایجاد آگاهی نسبت به احتمال وقوع چنین حملاتی برای هر سازمانی، ارزش چشمگیری می‌تواند داشته باشد».