امنیت فضای سایبری و نقش صنعت بیمه
رسول رحمتی نودهی مدرس دانشگاه و مدیرگروه بیمه در فضای پر تلاطم کنونی برای سازمانهای تجاری و خدماتی مختلف در دنیا، حفاظت از سرمایههای اطلاعاتی همانند اطلاعات مالی، سرمایهگذاری و پرسنلی و. . . با چالشهای جدی و پرهزینه مواجه شده است. از آنجا که این امر کاری سخت و پرهزینه جهت دولتها، سازمانها و شرکتهای بزرگ در دنیا است، همواره شاهد اعلام سرقت و تخریب اطلاعات از سوی شرکتهای ناظر و نیز تولیدکنندگان نرمافزار امنیت شبکه از سوی هکرهای بینالمللی رایانهای هستیم. آخرین نمونه اعلامی در خصوص سرقت و تخریب اطلاعات که ازسوی کمپانیهای معتبری همانند: کسپراسکی لب (Kaspersky Lab) روسیه و نیز موسسه امنیتی هولد سکوریتی ( Hold Security) ایالاتمتحده اعلام شده نشان میدهد که از سال ۲۰۱۳ تاکنون در حملات منظم هکرها به بیش از ۳۰کشور بیش از میلیاردها دلار از حساب مشتریان و نیز نام کاربری و رمز عبور کاربران به سرقت رفته است.
رسول رحمتی نودهی مدرس دانشگاه و مدیرگروه بیمه در فضای پر تلاطم کنونی برای سازمانهای تجاری و خدماتی مختلف در دنیا، حفاظت از سرمایههای اطلاعاتی همانند اطلاعات مالی، سرمایهگذاری و پرسنلی و... با چالشهای جدی و پرهزینه مواجه شده است. از آنجا که این امر کاری سخت و پرهزینه جهت دولتها، سازمانها و شرکتهای بزرگ در دنیا است، همواره شاهد اعلام سرقت و تخریب اطلاعات از سوی شرکتهای ناظر و نیز تولیدکنندگان نرمافزار امنیت شبکه از سوی هکرهای بینالمللی رایانهای هستیم. آخرین نمونه اعلامی در خصوص سرقت و تخریب اطلاعات که ازسوی کمپانیهای معتبری همانند: کسپراسکی لب (Kaspersky Lab) روسیه و نیز موسسه امنیتی هولد سکوریتی ( Hold Security) ایالاتمتحده اعلام شده نشان میدهد که از سال ۲۰۱۳ تاکنون در حملات منظم هکرها به بیش از ۳۰کشور بیش از میلیاردها دلار از حساب مشتریان و نیز نام کاربری و رمز عبور کاربران به سرقت رفته است. در مواجهه با این خطرات، کشورها و سازمانها همواره در جهت ارتقای برنامههای نرمافزاری در جلوگیری از این خطرات اقدام کرده و هزینه گزافی را در این حوزه متحمل میشوند. لکن از آنجا که امنیت کامل در این بخش از سوی هیچ شرکت ارائه نرمافزار یا امنیت شبکه در دنیا تضمین نشده است، بحث انتقال بخشی از این ریسک محتمل به شرکتهای بیمه بهعنوان یک نهاد مالی و پشتیبانی مطرح میشود. از دهه ۱۹۷۰ میلادی پوشش بیمه فضای تبادل اطلاعات یا اصطلاحا «سایبر» در دنیا مطرح بوده لکن تاکنون در کشورمان بهصورت مشخص و جامع پوششهای خاص و منسجم ارائه نشده است که عمده علل عدم ارائه آن ازسوی شرکتهای بیمه را میتوان به نبود اطلاعات و نیز دانش فنی در حوزه ارائه طرح و نیز نبود شناخت این سازمانها از این نوع پوششهای بیمهای و نیز نبود کافی شفافیت مالی از سوی شرکتهای متقاضی این گونه بیمهنامهها مربوط دانست. این امر سبب شده که رشدی که این بخش در کشورهای پیشرفته ایجاد کرده، متاسفانه در کشور ما محقق نشود.
تاریخچه بیمه سایبری
در حوزه پوشش بیمهای فضای سایبری همانگونه که اشاره شد از دهه ۱۹۷۰ در ایالاتمتحده آمریکا، پوششهای بیمهای در مقابل خسارات وارد بر سیستمهای رایانهای بانکها بهعلت دسترسی فیزیکی غیرمجاز کاربران ارائه شد.
با افزایش کاربرد رایانه و نیز ایجاد شبکه اینترنت در سال ۱۹۹۵، تنها در سال ۲۰۰۰ در ایالاتمتحده آمریکا خسارت وارده به سایتها و مراکز فروش اینترنتی رقمی معادل نیم میلیارد دلار اعلام شده است. اوج این حملات سایبری را میتوان در سال ۲۰۰۱ و پس از حملات تروریستی ۱۱ سپتامبر به برجهای دوقلوی نیویورک دانست که در کمتر از یک هفته قریب به ۱۲۰۰ سایت دولتی و خصوصی بزرگ تحت حملات سایبری قرار گرفته و هک شد. این عوامل سبب شد تا تقاضا برای پوشش بیمهای فضای سایبری بهطور روزافزون افزایش یافته که براساس آمار اعلامی موسسه اطلاعات بیمه تنها در سال ۲۰۰۵ بیش از ۵/ ۲ میلیارد دلار صرف پوشش بیمهای در حوزه شده است.
ریسکها و پوششهای مطرح در حوزه فضای سایبری
عمده ریسکها در حوزه فضای تبادل اطلاعات (سایبر) به چهار دسته مخاطرات: ۱) قابل پذیرش، ۲) تاثیر پایین، ۳) تاثیر متوسط، ۴) تاثیر زیاد، تقسیمبندی میشود. در هر کدام از ابعاد براساس مکانیزم تاثیرات امنیتی درجهبندی و استانداردسازی شده است. در این خصوص شرکتهای بیمه معمولا از هفت استراتژی برای مدیریت ریسک در اکثر پروژههای مختلف بهره میبرند که شامل: نگهداری (آن را به دیگری منتقل نمیکند و برای خود نگه میدارد)، گریز (حالت کوتاهی و قصور از ایفای تعهدات مقرر است)، اجتناب (برای اجتناب از درگیری با ریسک امور خاصی را ترک میکند و انجام نمیدهد)، کاهش ریسک که شامل: پیشگیری (اقدامهای ایمنی لازم برای کاهش احتمال بروز خطر) و حفاظت و تامین (اقدامهای ایمنی است که بیدرنگ برای کاهش خسارت و زیان وارده بعد از وقوع حادثه انجام میپذیرد) است، انتقال (کل زیان یا دست کم بخش عمده آن به دیگری منتقل میشود)، ترکیب (ریسکهای گروهی که روشهای معتدل کردن آنها را تکنیکهای ترکیبی میگویند)، خنثیسازی (برای کاهش ریسک، اقدام به انجام معاملات جبرانی در مقابل دیگران میکنند) میشود. شرکتهای بیمه برای رویارویی و پوشش بیمه فضای سایبری، عمدتا ترکیبی از روشهای بالا را برای مدیریت ریسک این پوششها انتخاب میکنند.
عمده پوششهای بیمهای در فضای سایبری را میتوان در بخش خسارات مالی، سرقت اطلاعات صنعتی و فردی، وقفه در تجارت و نیز ارتباطات دانست. پوششهای ارائه شده در این بخش عمدتا به سه دسته کلی تقسیم میشود:
۱) پوشش بیمه شخص ثالث: شامل پوشش از دست دادن یا خرابی سیستمهای اطلاعاتی، اخاذی در فضای سایبری و نیز کلاهبرداری در زمان انتقال پول الکترونیکی. ۲) بیمه مسوولیت شخص ثالث: شامل پوشش آلوده شدن سیستمها به ویروس و بدافزار و نیز دزدیده شدن کارتهای تجاری و اعتباری. ۳) بیمه استثنائات: شامل پوشش محرومیت از سیستمهای ارتباطی راه دور همانند بد کار کردن ماهواره یا پستهای ارتباطی شرکت و نیز عملیات غیرمنصفانه و کلاهبرداری از سوی شرکت ارائهدهنده خدمات الکترونیک. برای پوشش بیمهای سایبری مورد تقاضای شرکتها، شرکتهای بیمه عموما نسبت به دریافت اطلاعات و نیز سیر قانونی طی مراحل ذیل اقدام میکنند: ۱) تعیین نوع پوشش درخواستی، ۲) دریافت اطلاعات کامل سیستمهای نرمافزاری و سختافزاری نصب شده و نیز میزان آمادگی کاربران و پشتیبانان ۳) مراحل و زمانبندی پوشش بیمهای، ۴) تعیین حق بیمه بهصورت توافقی و ۵) نگارش متن حقوقی، امضا و تبادل اسناد.
موانع و معضلات در پوشش بیمه سایبری
عمده مشکلات در پوشش بیمهای فضای سایبری را میتوان در:
۱)عدم شناخت کافی دو طرف قرارداد از خواستهها در هنگام صدور، کارشناسیهای مشترک و نیز پرداخت خسارت و ۲) عدم رشد بیمههای اتکایی در این بخش همانند سایر بخشها برای توزیع منطقهای و جهانی ریسک دانست.
امید است با توجه به گسترش مطلوب فناوری اطلاعات در کشورمان و نیز رشد صنعت بیمه، با حمایتهای دولت تدبیر و امید شاهد افقهای تازه در جهت پوششهای جدید و مطلوبتر در این حوزه از سوی شرکتهای بیمه کشورمان براساس تجربه موفق کشورهای پیشرو در این حوزه باشیم.
ارسال نظر