بیمه سایبری، عاملی برای افزایش پرداخت باج به باجافزارها
قربانیان باجافزارها معمولاً پس از اینکه توسط مجرمان سایبری مورد اخاذی قرار میگیرند برای پرداخت باج به شرکتهای بیمه سایبری مراجعه میکنند. بنابر گزارشی که در سال 2020 میلادی منتشر شد در نیمه اول این سال، حدود 40 درصد از کل مبالغ پرداختیها که توسط قربانیان حملات باجافزاری پرداخت شده، از طریق بیمه سایبری صورت گرفته است.
محققان حوزه امنیت هشدار میدهند این رویکرد میتواند مشکل آفرین باشد. در حملاتی که در طول دو سال اخیر اجرا شده، اطلاع مهاجمان از اینکه آیا قربانی آنها تحت بیمه سایبری برای پرداخت باج یا کاهش هزینههای این حملات قرار دارد یا خیر، بر رویکردشان تأثیر چشمگیری داشته است.
برای مثال در سال 2019، سیستمهای شهرداری شهر ریویرا بیچ مستقر در ایالت فلوریدای آمریکا مورد هدف حمله باجافزاری قرار گرفته و مجرمان امکان دسترسی به دادههای مهم را قطع کردند. در جلسه اضطراری که شورای شهر تشکیل داد، اعضای این شورا موافقت کردند از صندوق بیمه این شهر برای پرداخت باج 600 هزار دلاری به مجرمان استفاده شود. مهاجمان همچنین سیستمهایی را که امور مالی شهر و خدمات شهری (مثل آب، برق و گاز) را کنترل میکنند، از دسترس شهروندان خارج نمودند.
در همان ماه، شهر دیگری در آمریکا 500 هزار دلار به مهاجمان پرداخت کرد که به گفته مدیران شهر، بخش عمدهای از آن توسط بیمه پوشش داده شد. یکی از دانشگاههای آمریکایی هم به تازگی مورد هدف حمله ای باجافزاری قرار گرفته که منجر به از کار افتادن سرورهای آن شده و طی آن اطلاعات دانشجویان به سرقت رفته است. این دانشگاه با همکاری یک شرکت بیمه، حدود 500 هزار دلار باج به مجرمان سایبری پرداخت کرد.
بیمه سایبری: عاملی برای تضمین موفقیت مهاجمان
برای شرکتهایی که مورد هدف حمله باجافزاری قرار میگیرند، بیمه سایبری ابزاری جهت مقابله با پیامدهای اقتصادی این حملات محسوب میشود. مثلاً شرکت بزرگ آلومینیومسازی Norsk Hydro پس از اینکه در سال 2019 میلادی مورد هدف حمله سایبری قرار گرفت، حدود 20 میلیون دلار به عنوان خسارت از شرکت بیمه دریافت کرد. آسیب مالی ناشی از این حمله، بین 60 تا 70 میلیون دلار تخمین زده شده است.
Jack Kudale بنیانگذار و مدیرعامل شرکت Cowbell Cyber در این خصوص میگوید: «حملات باجافزاری، پیامدهای اقتصادی متعددی دارند. ایجاد وقفه در عملیات های کسب و کاری، کاهش درآمد، احتمال افشای دادههای حساس و پیامدهای آن برای سازمانها، هزینههای بازیابی سیستمها به حالت قبل، مسدود کردن مسیر نفوذ و مذاکره با مهاجمان، از جمله مواردی هستند که باید توسط طرحهای بیمه سایبری تحت پوشش قرار گیرند».
بعضی از محققان امنیت سایبری معتقدند استفاده از بیمه سایبری به خصوص برای پوشش هزینههای مذاکره و پرداخت باج اقدام مطلوبی نیست. Brandon Hoffman مدیر ارشد امنیت اطلاعات شرکت Netenrich میگوید: «پرداخت باج، سازمانها را از لحاظ قانونی در وضعیت نامشخصی قرار داده و این اطمینان را به مجرمان سایبری میدهد که شما هزینههای لازم برای حملات سایبری را از پیش تأمین نمودهاید».
هزینهها، حق بیمه و محدودیتهای جانبی
بر اساس مطالعهای که در ژانویه 2021 توسط AdvisorSmith Solutions صورت گرفت: «میانگین هزینه بیمه سایبری در هر سال در آمریکا حدود 1500 دلار است. حق بیمه سایبری برای شرکتهایی با درآمد 1 میلیون دلار، بین 650 تا 2357 دلار است. این هزینهها بر اساس حد پرداخت خسارت تا سقف 1 میلیون دلار، با 10 هزار دلار هزینه قابل کسر هستند».
در بعضی از این سیاستها محدودیتها و شرایط خاصی موسوم به محدودیت فرعی برای پرداخت هزینههای مربوط به باجافزارها وجود دارد. بر اساس نتایج یک مطالعه صورت گرفته: «بسیاری از سیاستهای بیمه سایبری حتی اگر سیاست مسئولیتپذیری سایبری آنها سقف بسیار بالایی داشته باشد همچنان پوشش بسیار کمی برای باجافزار یا سایر حملات اخاذی سایبری ارایه میکنند (مثلاً فقط در حد 25 هزار دلار)».
محققان امنیتی نگران تأثیر بیمه سایبری بر چشمانداز کلی امنیت بوده و اعتقاد دارند این بیمهها باعث میشود شرکتها راهکارهای امنیتی لازم را برای مقابله با چنین حملاتی پیادهسازی نکنند. Hoffman میگوید: «از دیدگاه کلی، پرداخت باج توسط شرکتهای بیمه نه تنها استفاده از باجافزارها را ترویج میدهد بلکه انگیزه سازمانها برای عدم پیادهسازی راهکارهای امنیتی لازم جهت مقابله با باجافزارها را هم افزایش خواهد داد».
اقدامات قانونگذاران برای کاهش نقش بیمه سایبری
شرکتهای ارایهدهنده خدمات بیمه سایبری معمولاً نقش میانجی را بین مجرمان سایبری و قربانیان ایفا میکنند. از طرف دیگر دولتها هم به دنبال پیادهسازی قوانین خاصی برای برخورد با عوامل باجافزارها هستند. مثلاً در سال 2020 میلادی ایالت نیویورک، شهرداران را از پرداخت باج به مجرمان سایبری منع کرد.
این اقدام که با هدف مقابله با موج رو به گسترش حملات سایبری بر ضد مؤسسههای دولتی آمریکا انجام شد، مانع پرداخت باج توسط شهرداران به هکرها میشود. بر اساس این قانون، مدیران شهری باید چنین هزینههایی را صرف راهاندازی یک «صندوق توانمندسازی امنیت سایبری» کنند که به شهرداریها برای تقویت وضعیت دفاعیشان کمک میکند.
وزارت خزانه داری آمریکا هم چندین گروه مهاجم سایبری را به فهرست تحریمهای خود اضافه کرده تا مانع از پرداخت باج به آنها توسط شهروندان یا نهادهای آمریکایی شود. از جمله این گروهها میتوان به طراحان باجافزار CryptoLocker، گروه باجافزاری SamSam، گروه Lazarus (که به کره شمالی نسبت داده میشود)، گروه Evil Corp و رهبر آن Maksim Yakubets اشاره کرد.
این وزارتخانه به تازگی تحریمهای خود را گسترش داده و اعلام نموده شرکتهایی که امکان پرداخت باج به مجرمان را برای مشتریان خود فراهم کنند (که به آنها مذاکره کننده باج هم گفته میشود) ممکن است برای ترویج این جرم و افزایش احتمال تکرار این حملات، مشمول تحریمهای آمریکا قرار گیرند.
موارد استثنای ایالتی – دولتی
شرکتهای بیمه سایبری برای بعضی از حملات ایالتی – دولتی راههای گریز ویژه ای دارند. در سال 2017 میلادی زمانی که بدافزار NotPetya هزاران سازمان را در سطح جهان مورد هدف قرار داد، بعضی از شرکتهای بیمه برای خودداری از پرداخت هزینه بیمه، به موارد استنثایی برای شرایط جنگی متوسل شدند. بنابر این قانون، شرکتهای بیمه نمیتوانند برای اقدامات خصمانه چه در زمان صلح و چه در هنگام جنگ، پوشش بیمه ارایه کنند.
بنابراین چگونه میتوان سیاستهای بیمه سایبری را با وجود چنین دغدغههایی ارتقا داد؟ Hoffman معتقد است شرکتهای بیمه علاوه بر پرداخت باج باید از پرداخت حق بیمه هم خودداری کنند! مگر اینکه راهکارهای لازم برای پیشگیری از این حملات و بازیابی اطلاعات، پس از وقوع حمله توسط سازمان قربانی پیادهسازی شده باشد.
Hoffman همچنین گفته که: «شاید این اقدام سختگیرانه به نظر برسد ولی بی دلیل نیست که دولتها و مقامهای قانونی در شرایط خصمانه با تروریستها مذاکره نمیکنند و شاید بهتر باشد با باجافزارها نیز همین برخورد را داشت. تهیه یک طرح دفاع سایبری و بازیابی اطلاعات پس از انجام حمله، مسیر مناسبتری است و ایجاد آگاهی نسبت به احتمال وقوع چنین حملاتی برای هر سازمانی، ارزش چشمگیری میتواند داشته باشد».