اخبار داخلی آرمان داده پویان

مقالات

بیمه امنیت سایبری (قسمت دوم)

بیمه امنیت سایبری

قسمت دوم

در قسمت اول از این مطلب به معرفی بیمه امنیت سایبری، چالش‌ها، انتقادات وارده به آن و پوشش‌‌هایی که ارائه می‌دهد، پرداختیم. در این قسمت، می‌خواهیم بیشتر در خصوص ارزیابی و مواردی که در سمت مشتریان بایستی مد نظر قرار بگیرند صحبت کنیم. ارزیابی درست امنیتی در سمت مشتری باعث می‌شود تا بهترین پوشش، متناسب با نیاز مشتری خریداری شود تا در صورت رخداد یک حادثه امنیتی و افشای اطلاعات بیمه هزینه‌ها و خسارت‌های ناشی از آن را پوشش دهد.

رویکردهای مقابله با ریسک‌های امنیتی

در برخورد با ریسک‌های امنیتی چهار رویکرد را می‌توان متصور شد:

  • پذیرش: زمانی که یک تجارت ریسک‌های امنیتی موجود را شناخته و انتخاب کرده تا به جای صرف هزینه برای برطرف کردن آن‌ها، این ریسک‌ها را بپذیرد. به طور مثال زمانی که ریسک‌ها کوچک هستند و هزینه رویارویی با آن‌ها بیشتر از هزینه خساراتی است که ممکن است در آینده به بار آورند.
  • اجتناب: یعنی به کار بستن راهکارهایی که از ریسک‌های امنیتی اجتناب کنیم. به طور مثال زمانی که نمی‌خواهیم در اثر حوادث طبیعی داده‌های خود را از دست دهیم راهکار آن می‌تواند ساخت مراکز داده افزونه در چندین نقطه جغرافیایی مجزا باشد.
  • کاهش: یعنی به کار بردن راهکارهایی که میزان ریسک را پایین بیاوریم. این رویکرد رایج ترین روش در بحث مدیریت ریسک می‌باشد. عمده راهکارهای امنیتی نیز بر روی این روش تمرکز می‌کنند. به طور مثال برای کم کردن ریسک افشای اطلاعات، می‌توان داده‌ها را رمزگذاری نمود.
  • انتقال: یعنی سپردن رویارویی با خسارات و هزینه‌های ناشی از تهدیدات و ریسک‌های امنیتی زمانی که از حالت بالقوه به بالفعل در می‌آیند به شخص سوم. البته این برون سپاری بعد از رعایت یک سری موارد و تحت شرایط مشخصی انجام می‌گیرد. به طور مثال نمی‌توانید داده‌های حساس سازمان خود را رمزنگاری نکنید و رویارویی با افشای آن‌ها را به شرکت دیگری بسپارید.

ارزیابی در سمت مشتری

زمانی که بحث بیمه سایبری به میان می‌آید، مهم ترین دارایی بیمه شونده را می‌توان داده‌ها و اطلاعات او دانست. همانطور که گفتیم بیمه امنیت سایبری یعنی سپردن مدیریت و رسیدگی به اثرات ریسک‌های امنیتی به شرکت بیمه. اما قبل از این برون سپاری بایستی ارزیابی درستی داشته باشید که چه داده‌هایی را جمع آوری می‌کنید؟ آن‌ها چقدر برایتان ارزش دارند؟ اگر امنیت آن‌ها به خطر بیفتد چه میزان برای شما خسارت به بار خواهند آورد؟ همانطور که در بخش قبلی گفتیم در بسیاری از کشورها قوانین سختگیرانه‌ای در حوزه امنیت فضای سایبری و محافظت از داده‌های خصوصی افراد وجود دارد. این قوانین در کشورهای مختلف با یکدیگر یکسان نبوده و تفاوت‌هایی نیز با هم دارند. در نظر گرفتن این موضوع نیز می‌تواند تاثیر خود را بر روی انتخاب پوشش بیمه سایبری داشته باشد. به طور مثال در ایران قوانین سخت گیرانه‌ای وجود ندارد اما در اروپا مطابق با GDPR (قوانین محافظت از داده‌های عمومی که در کشورهای عضو اتحادیه اروپا لازم الاجرا می‌باشد)، در صورت افشا اطلاعات شخصی مشتریان که حتی نشانی رایانامه افراد را شامل می‌شود، جرایم سنگینی مشمول آن تجارت خواهد شد. علاوه بر این در برخی حوزه‌ها استانداردهای مشخصی در این کشورها تعریف شده است. به طور مثال استاندارد PCI DSS که برای صادر کنندگان کارت اعتباری است. این استاندارد به حفظ حقوق مشتریان در ارتباط با اطلاعات شناسایی و شخصی‌شان می‌پردازد. پس اگر تجارتی فروش شیرینی است و دیگری صادر کننده کارت اعتباری هر دو بایستی نگران حفظ اطلاعات شخصی مشتریانشان باشند اما قطعا هزینه‌ای که تجارت دوم برای رویارویی با ریسک کشف اطلاعات مشتریانش می‌نماید به مراتب بیشتر است. یک تجارت بایستی با ارزیابی درستی در سمت خود به ارزش داده‌ها و اطلاعاتش و هزینه‌ای که افشای آن‌ها برایش در پی خواهد داشت، اشراف داشته باشد.

تبصره‌ها و چالش‌ها

بیمه امنیت سایبری با سایر بیمه‌ها تفاوت چندانی ندارد. اگر به بیمه‌نامه خودرو خود نگاهی بیندازید، خواهید دید تبصره‌های متعددی وجود دارند که در شرایط مشخصی شرکت بیمه کننده را از پرداخت کل خسارت یا بخشی از آن معاف می‌نمایند. به عنوان مثال، زمانی که در اثر سهل انگاری شما و قفل نکردن درب ماشین یا عدم استفاده از دزدگیر خودرو شما به سرقت می‌رود و بیمه سرقت ماشین، خسارت شما را جبران نمی‌نماید. زیرا در بند قرارداد شما درج شده است که در صورت قفل نکردن و یا عدم استفاده از دزدگیر، شرکت بیمه کننده مسئولیتی نخواهد داشت. در خصوص بیمه امنیت سایبری همین تبصره‌ها چالش‌های زیادی را به همراه داشته و در مواردی حتی منجر به شکایت و پیگیری کار در دادگاه شده است. به طور مثال بانک Blacksburg در امریکا در طی ۸ ماه در اثر دو حمله Spear phishing خسارتی معادل ۲٫۴ میلیون دلار را متقبل شد. این بانک تحت پوشش بیمه شرکت Everest قرار داشت. شرکت Everest اعلام کرد که این بانک مطابق با قراردادش تحت دو پوشش قرار دارد که یکی از آن‌ها تا سقف ۸ میلیون دلار است و مربوط به حوادث کامپیوتری و الکترونیکی است. دومین پوشش مربوط به حوادثی است که در اثر استفاده مهاجمان از اطلاعات کارت‌های اعتباری به وجود می‌آیند و پوشش آن برای هر رخداد ۵۰٫۰۰۰ دلار است. شرکت بیمه کننده موفق شد تا اثبات کند هر دو حمله spear phishing یک رخداد بوده و مربوط به پوشش دوم است و در مجموع تنها بایستی ۵۰٫۰۰۰ دلار جریمه پرداخت کند. در حالی که بانک بالغ بر دو میلیون دلار خسارت دیده بود. همانطور که در ابتدای متن گفتیم این موارد در ارتباط با تمامی انواع بیمه صادق است و در خصوص بیمه‌های مربوط به ماشین و غیره ممکن است با موارد مشابهی تا به حال برخورد کرده باشید. پس در نظر داشته باشید در هنگام انعقاد قرارداد بیمه امنیت سایبری تبصره‌ها و بندهای آن را به دقت مطالعه نمایید و با آگاهی کامل و روشن بودن تمامی بندها قرارداد را امضا نمایید.

نکاتی که بایستی به آن‌ها دقت کنید

در بسیاری از تجارت‌ها و سازمان‌ها خصوصا آنهایی که سال‌هاست به فعالیت مشغول هستند ممکن است، تنها داده‌های الکترونیکی اهمیت نداشته باشند و داده‌هایی که بر روی کاغذ ثبت شده‌اند و حفظ محرمانگی آن‌ها نیز دارای اهمیت باشند. پس بایستی این اطلاعات هم تحت پوشش بیمه قرار گیرند. اما باز هم تاکید می‌کنیم، در شرایطی که اصول اولیه توسط بیمه شونده رعایت شده باشند، به طور مثال دسترسی فیزیکی به این اطلاعات محدود شده و دسترسی‌ها توسط افراد مجاز تحت نظارت قرار گیرند. همچنین بایستی دقت داشته باشید، اولین گام برای حفظ داده‌های الکترونیکی رمز نمودن آن‌ها است و اصولا شرکت‌های بیمه حفظ محرمانگی داده‌های غیر رمز شده را تضمین نمی‌نمایند و در صورت افشا هزینه‌ای را به شما پرداخت نمی‌کنند.

یکی دیگر از نکات مهم موضوع شرکت‌هایی می‌باشد که شما از محصولات و یا خدمات آن‌ها استفاده می‌کنید. اگر افشای اطلاعات در سازمان شما به دلیل ضعف امنیتی در خدمات و یا محصولات این شرکت‌ها باشد در اکثر موارد تحت پوشش بیمه قرار نخواهید گرفت. حتی مطابق قانون در بسیاری از کشورها شما موظف هستید در انتخاب این شرکت‌ها دقت بالایی به خرج دهید و در قراردادی که با آن‌ها منعقد می‌نمایید موارد امنیتی را به خوبی مشخص کنید، در غیر این صورت مسولیت کاملا بر عهده خود شما خواهد بود.

سخن آخر

در این دو قسمت، بیمه امنیت سایبری که در دنیا پیشینه‌ای بیست و چند ساله دارد اما در ایران مفهموم جدیدی به حساب می‌آید را معرفی کردیم و چالش‌های آن را تا حدودی مورد بررسی قرار دادیم. در واقع، تفاوت چندانی میان بیمه امنیت سایبری و سایر بیمه‌ها وجود نداشته و این بیمه به تجارت‌ها، سازمان‌ها و نهادها در رویارویی با حوادث سایبری که مانند حوادث طبیعی، تصادفات و غیره، غیر قابل پیش بینی می‌باشند، کمک شایانی می‌نماید. همانطور که گفتیم بایستی در سمت بیمه شونده، راهکارهای امنیتی به درستی اجرا شوند، مکانیزم‌های امنیتی پیاده سازی گردند و ارزیابی امنیتی درستی از داده‌ها و دارایی‌های سازمان به عمل آید و مطابق با آن پوشش مناسب بیمه انتخاب شود. در این صورت یک تجارت می‌تواند  در مقابل حوادث پیش بینی نشده‌ای مانند شیوع یک باج افزار جدید حتی اگر راهکارهای امنیتی نتوانند جلوی آن را بگیرند، خسارات حاصل از آن را در صورتی که مطابق قرارداد بیمه‌اش این حوادث تحت پوشش قرار گرفته باشند، خسارت حاصل را از شرکت بیمه کننده دریافت نماید. عدم رعایت ملزمات امنیتی، انتخاب پوشش کمتر و یا بیشتر از نیاز و عدم توجه کافی به تبصره‌های موجود در قرارداد مواردی هستند که می‌توانند در آینده برای بیمه شونده مشکل به وجود آورند اما در صورت توجه کافی به این موارد استفاده از بیمه امنیت سایبری مانند سایر بیمه‌ها برای شما آسایش و توان مضاعفی برای رویارویی با حوادث غیر قابل پیش بینی به همراه خواهد داشت. شرکت آرمان داده پویان فعال در حوزه امنیت اطلاعات، در خصوص بیمه امنیت سایبری می‌تواند خدمات ارزشمندی را به شما ارئه دهد برای مشاوره و کسب اطلاعات بیشتر می‌توانید با ما تماس بگیرید.

آرمان داده پویان ارائه دهنده محصولات، راهکارها و خدمات در حوزه امنیت شبکه و اطلاعات

برای مشاوره و کسب اطلاعات با ما تماس بگیرید

تعداد بازدید: 252


تازه ترین ها