ده نکته کلیدی درباره بیمه سایبری

ده نکته کلیدی درباره بیمه سایبری

به‌زودی بیمه سایبری (Cyber Insurance) یک نیاز مبرم برای کسب‌وکارها خواهد بود. امروزه نقض به سیستم‌ها و سرقت داده‌ها وقایعی هستند که به‌صورت روزمره اتفاق می‌افتند و سازمان‌ها باید به‌صورت جدی به فکر به‌روزرسانی سیاست‌های مدیریت ریسک خود باشند. با این دیدگاه ده موردی را که باید در مورد بیمه سایبری دانست مطرح می‌شود.
بیمه سایبری در 18 الی 24 ماه گذشته در بخش اطلاعات امنیت بر سر زبان‌ها افتاده و در مؤثر بودن آن دودستگی و اختلاف وجود دارد. برخی آنرا به‌عنوان یک ضرورت می‌بینند که یک‌لایه ضروری برای امنیت سازمان‌ها می‌باشد، درحالی‌که دیگران آنرا به‌عنوان یک محصول اضافه تبلیغ‌شده باقیمت‌های تورمی، دارای اصطلاحات گیج‌کننده و با سطوح متفاوت پوشش بیمه‌ای می‌بینند. این موضوع در ایران ممکن است در سال های آتی فراگیرشود.
موارد مهم بیمه سایبری به شرح ذیل است.
1. دو نوع بیمه سایبری وجود دارد: بیمه سایبری محصول افزودنی به قوانین امنیتی و مطابقتی می‌باشد و یک محصول جداگانه نیست. باوجود اخبار و تحلیل‌های متعدد در مورد این روند باور بر این است که این‌یک محصول کامل و مناسب برای همه موارد است. درواقع این محصول یک افزودنی به قوانین امنیتی و مطابقتی می‌باشد و به‌تنهایی کسب‌وکار شمارا ایمنی‌تر نمی‌سازد.
در مواردی قراردادهای امنیتی بیمه با مشکل مواجه هستند و باید مواردی در قرارداد این نوع بیمه تغییر یابد تا با هر کسب‌وکار و طبیعت خاص آن مطابقت داشته باشد. اولین نوع پوششش ریسک‌های شخص اول است که داده‌های سازمان شمارا در مقابل خرابی یا صدمه پوشش می‌دهد. نوع دوم ریسک‌های شخص ثالث است که مشتریان، سازمان‌های دولتی و قانون‌گذار را تحت پوشش قرار می‌دهد.
2. پوشش‌های بیمه سایبری چندین سال است که اجرا می‌شوند: بیمه‌های سایبری در دهه 1990 وجود داشته و پوشش‌ها به دلیل رشد اینترنت به وجود آمدند. در پایان سال 2014 بازار بیمه سایبری بسیار کند عمل نمود چون دنیای آنلاین در آن زمان هنوز توسعه کافی نیافته بود. امروزه فضای اینترنت شناخته‌شده است و بسیاری از سازمان‌ها فعالانه در آن کار می‌کنند و کسب‌وکارهای جدید در معرض تهدیدها هستند و فرصت‌های جدید را کشف می‌کنند. این منطقی است که کسب‌وکارها درخواست سطوح بالاتری از امنیت را پس از نقض‌ها و حملات جدی سال گذشته و امسال بخواهند.
3. امنیت مناسب پوشش بیمه‌ای را کاهش می‌دهد: پوشش‌های بیمه سایبری باید به‌عنوان محصول افزودنی به قوانین امنیتی و مطابقتی دیده شود و جایگزین آن نیست. بیمه‌گذاران نیز سیاست ارائه پوشش‌های با تخفیف‌های بالا را برای سازمان‌های با اصول مناسب و عملکرد درست محافظت سایبری در نظر گرفته‌اند چون بر این مسئله آگاه هستند. شرط اکثر پوشش‌ها امروزه این است که مشتریان این نوع بیمه باید شرایط “حداقل اجرا روال‌های امنیتی را داشته باشند.
4. حق بیمه‌ها هنوز افزایش و کاهش بی‌رویه دارد: بازار بیمه سایبری در حال حاضر تثبیت نشده است و مراحل رشد خود را طی می‌کند. با دریافت اخبار حملات سایبری و سرقت داده این بازار در فراز و نشیب قرار خواهد گرفت. برای نمونه پس از سرقت داده از شرکت آمریکایی بیمه سلامتی Anthem در سال گذشته، هزینه پوشش‌ها تا 40افزایش یافت و تغییری در شرایط پوشش دیده نشد.
5. شرایط موجود در بیمه‌های سایبری به‌راحتی حذف می‌شوند:پوشش‌های بیمه سایبری شرایط و قوانین بی‌شماری دارند و در پوشش دادن ریسک‌ها وسواس بسیاری به خرج می‌دهند. برای مثال چنین پوشش‌هایی ممکن است داده‌های خام یا رمزگذاری نشده، داده‌های ارسالی ازدست‌رفته توسط اشخاص ثالث، خدمات مانیتورینگ شناسه و بازگشت داده‌ای را پوشش ندهند. شاید خدمات هشدار نقض نیز تحت پوشش قرار نگیرد.
6. بیمه سایبری تبدیل به یک الویت اساسی برای اشخاص ثالث می‌گردد: پیمانکاران ردیف سه و چهار ازلحاظ امنیتی همیشه درخطر هستند و با داشتن اختیارات زیاد بیشتر نقض می‌شوند و در زنجیره سازمانی دارای نقاط ضعف بیشتری هستند. یک مثال واضح حمله و نقض سیستم‌های شرکت Target در سال 2013 بود. مجرمین در مرحله اول قرارداد تسویه مطبوع خرده‌فروش را نقض نمودند.
امروزه برخی از مسئولین خرید شرکت‌ها از شرکت‌های ارائه‌دهنده کالا درخواست پوشش امنیت سایبری می‌کنند تا اطمینان حاصل کنند که آنها از ایمنی کافی برخوردار هستند. بدون این پوشش قرارداد سطح خدمات یا SLA امضا نخواهد شد.
7. بیمه سایبری برای تمامی ضررها و سرقت‌ها پوشش نمی‌دهد: بیمه سایبری نمی‌تواند تمامی موارد ناشی از یک نقض را پوشش دهد بخصوص در مواردی که برخی ضررها (مشخصاً سابقه برند) پس از یک واقعه امنیتی فراموش می‌شوند. به دلیل نقض و افت در اعتبار برند شرکت‌ها حدود 45 از مشتریان خود را از دست می‌دهند و این نوع ضررها پوشش داده نمی‌شوند.
8. در مورد هزینه‌ها می‌توان مذاکره نمود: یکی از منافع یک بازار توسعه‌نیافته و خام‌تر این است که می‌توان در مورد هزینه پوشش‌ها مذاکره کرد. هزینه اعلام‌شده را بدون تحقیقات و مذاکرات با شرکت ارائه‌دهنده بیمه قبول نکنید.
9. این مورد برای کسب‌وکارهای کوچک و متوسط (SME) ایده آل است: بیمه سایبری می‌تواند ابزار کمکی مهمی برای کسب‌وکارهای کوچک به شمار آید چون اکثریت آنها موارد ریسک بالا از حملات سایبری هستند و نمی‌توانند که هزینه ناشی از یک نقض را پرداخت کنند. بر اساس تحقیقات 22 از کسب‌وکارهای کوچک اصلاً نمی‌دانند که برای محافظت از سازمان خود در مقابل حملات سایبری از کجا شروع کنند و نیاز به آموزش به و آگاهی دارند.
10. تضمینی در موفقیت وجود ندارد: کارشناسان امنیتی در مورد بیمه سایبری و جایگاه آن در کسب‌وکار عقاید متفاوتی دارند. بسیاری از آنها اعتقاددارند که این مورد یک فعال‌کننده اساسی کسب‌وکارها نیست.
شرکت PwC پیش‌بینی کرده است که بازار بیمه سایبری جهانی امکان رشد 7.5 میلیارد دلاری در سال تا سال 2020 را خواهد داشت. بر اساس آمارگرفته شده از کارشناسان امنیت اطلاعات سازمان‌های عضو موسسه راست‌کرداری اطلاعات بین‌الملل KPMG، 74 از کسب‌وکارها در امریکا بیمه سایبری نداشتند. عدم اعتماد به بیمه گران برای انجام تعهدات پوشش بیمه یکی از چالش‌ها می‌باشد. 30 از سازمان‌ها اعتقاد داشتند که بازار بیمه سایبری به مقدار کافی توسعه‌یافته نیست که آنها از پوشش بیمه سایبری استفاده کنند.