روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ به نقل از مدیر اسبق اف‌بی‌آی، آقای رابرت موئلر: «تنها دو نوع شرکت وجود دارد: آنی که هک می‌شود و آنی که هک خواهد شد». این حقیقت اجتناب‌ناپذیر و نیز افزایش آگاهی و تعداد حملات رو به رشد باعث شده در سال‌های اخیر شاهد افزایش مداوم بیمه سایبری باشیم. در حقیقت طبق گزارش اداره حسابداری دولتی آمریکا (GAO) تعداد کلاینت‌های بیمه که خواهان پوشش سایبری بوده‌اند از 26 درصد در سال 2016 به 14 درصد در سال 2020 افزایش یافته و این رقم همینطور تا سال 2022 نیز رو به افزایش بوده است.

با توجه به درگیری‌های فعلی در اوکراین، صنعت بیمه با فشار مضاعفی مواجه است و نگرانی‌‌ها در مورد بیشتر شدن حملات نیز به افزایش مطالبات منجر خواهد شد. گرچه نمی‌شود این را انکار کرد که عاملین تهدید دولتی ملی در سرمایه‌گذاری روی هرج و مرج پیش‌آمده بین روسیه و اوکراین پیشرفت کرده‌اند اما بیمه سایبری پاسخ خوبی برای این تهدید رو به رشد نمی‌تواند باشد. در این مقاله کریس هالنبک، مدیر ارشد امنیت اطلاعات شرکت تانیوم پیرامون تأثیرات درگیری‌های ژئوپولیتیکی روی بازار بیمه امنیت سایبری گفت‌وگو می‌کند. با ما همراه باشید.

بازنگری در مورد بیمه سایبری

وقتی بیمه سایبری اولین بار اواخر دهه 90 میلادی پا به عرصه گذاشت، محدودیت‌ها کم بود و پوشش بیمه سخاوتمندانه؛ اما این رویه در سال‌های اخیر تغییر کرده است. حالا این رویه سفت و سخت بین صنایع رایج شده که وقتی کلمه «سایبری» به مسئله‌ای اضافه می‌شود رویکرد آن‌ها کامل متفاوت می‌شود. اینکه با «امری سایبری» متفاوت برخورد می‌شود یک جورهایی اصول اصلی را مبهم کرده و بهم ریخته است. ابعاد صنعت بیمه نیز ابتدا به همین دام افتاد. با این حال اکنون شاهد بازگشت به اقدامات ریسک سنتی هستیم؛ پذیره‌نویسان اکنون با بیمه سایبری درست مانند همان بیمه فیزیکی برخورد می‌کنند. آن‌ها بررسی می‌کنند که بزرگ‌ترین ریسک‌ها کجاست و تعیین می‌کنند آیا باید برخی ریسک‌ها را از پوشش بیمه جدا کنند یا نه و نیز نواری ایجاد می‌کنند برای تعیین اینکه چه چیزی باید تحت پوشش موجه بیمه قرار گیرد. در عین حال، شاهد افزایش پوشش بیمه‌های پریمیوم نیز هستیم.

بر طبق گزارشات GAO، تا قبل از پایان سال 2020 شاهد این بودیم که قیمت بیمه بیش از نیمی از دارندگان بیمه‌نامه سایبری تا 30 درصد افزایش پیدا کرد. گرچه درگیری فعلی اوکراین احتمالاً خریدهای بیمه سایبری را افزایش خواهد داد اما واقعیت تلخ این است که بیشتر پوشش بیمه، سازمان‌ها را از حملات دولتی ملی یا حتی باج‌افزارها نیز محافظت نمی‌کند. در حقیقت، بیشتر خط‌مشی‌های بیمه سایبری از همین الان نیز شامل بندهایی برای حذف  اقدامات جنگی هستند و پسایند درگیری حاضر احتمالاً اصلاحات بیشتری را در زبان بیمه‌نامه‌ها خواهیم دید؛ همینطور تعداد محرومیت‌های پوششی نیز با توجه به اینکه بیمه‌گران به دنبال دوری از ریسک‌ها هستند بسط داده خواهد شد. با توجه به اینکه شرکت‌ها خست به خرج می‌دهند و مهاجمین هم تلاش‌های خود را چند برابر کرده‌اند جواب سازمان‌ها برای تخفیف میزان خطرات چه خواهد بود؟

تخفیف میزان خطرات؛ نه تهدیدها!

نکته مهم این است که اگر فقط به دلیل اینکه احتمال می‌دهید حمله سایبری را تجربه کنید و مطمئن نیستید کنترل و محافظت کافی انجام می‌دهید یا نه و یا برنامه‌ریزی‌تان در خصوص ریکاوری از فاجعه درست است یا نه قصد دریافت بیمه سایبری هستید آنطور که باید سرمایه‌گذاری خوبی نکرده‌اید. اولین گام پیش از اتخاذ بیمه سایبری باید ارزیابی ریسک باشد. شما نمی‌توانید بدون اینکه اثر رخداد سایبری مورد انتظار را تعیین کرده باشید سر اینکه آیا بیمه ارزش هزینه را دارد یا نه دو دو تا چهار تا کنید. این محاسبه کردن‌ها به عدد و رقم نیاز دارند و این یعنی ریسک باید واضحاً از حیث کمیتی مورد بررسی قرار گیرد. شاید روش استاندارد اتخاذ رویکرد تحلیلی همه‌جانبه و عمیق باشد. بیمه‌گران خود ارزیابی‌هایی در خصوص اینکه آیا خط‌مشی باید پذیره‌نویسی شود یا نه انجام می‌دهند.

وقتی بیمه کردن عقلانی‌ترین راه می‌شود

بیمه جزو اصلی مدیریت ریسک به حساب می‌آید. جایی که ریسک ممکن است بالاترین اثر را داشته باشد و کمترین احتمال را دارد که به وقوع بپیوندد آنجاست که بیمه کردن عقلانی‌ترین راه است. این امر را با هزینه کاهش ریسک در مقابل احتمال وقوع آن در هم آمیخته تا دریابید که هزینه‌های کاهش بالا با احتمال کم، بیمه را به یک تصمیم هوشمندانه تبدیل می‌کند. برای بسیاری از سازمان‌ها، گام‌های اساسی وجود دارد که باید برای تقویت امنیت خود – راه مراقبتی استاندارد - انجام دهند. اگر ارزیابی ریسک حفره‌های آشکاری در پشته امنیتی شما نشان می‌دهد پس زمانش رسیده که به اصول اولیه برگردید و بهداشت سایبری را ارتقا بخشید.

نظر به اینکه بسیاری از دپارتمان‌های آی‌تی کارکنانشان کمتر از حد مورد نیاز است و منابعشان نیز محدود، مهم است تا حد امکان برای شناسایی و اصلاح تهدیدها به طور مداوم و به صورت در لحظه، نظارت بر ریسک اتوماسیون شود. اما بکارگیری راهکارهای دقیق‌تر در کل سازمان افاقه نخواهد کرد مگر بتوانید هر زمان و هر کجا همه فناوری‌ها را ببینید و مورد نظارت قرار دهید.dدر صورت امکان، ابزارهای امنیتی خود را یکپارچه کنید تا قابلیت دید را در کل بخش آی‌تی خود افزایش دهید. وقتی ارزیابی ریسک را انجام دادید، فنداسیون امنیتی قوی‌ای چیدید و تحلیل واضح و مقرون به صرفه‌ای را انجام دادید (این کار به هماهنگی روشن و صریح از CISO به CFO و حتی هیئت مدیره نیاز دارد) می‌شود به سرمایه‌گذاری روی بیمه سایبری فکر کنید.

جزئیات بیمه سایبری

با بیشتر شدن درگیری بین روسیه و اوکراین و سایر دولت‌ها و ملت‌ها و نیز ماهی گرفتن مجرمان سایبری از آب گل‌آلود احتمال دارد شاهد افزایش علاقه برای دریافت بیمه‌های سایبری باشیم اما همینطور پیش‌بینی می‌کنیم که شرکت‌هایی که برای این خط‌مشی‌ها ثبت‌نام می‌کنند همان‌هایی باشند که جزئیات بیمه را نمی‌خوانند. همانطور که بعد از NotPetya شاهد شفاف سازی بیمه نامه‌های سایبری بودیم، در آینده نیز بازنگری و بازنویسی بیشتر بندهای محرومیت آغاز خواهد شد. وقتی حرف از حملات باج‌افزاری در زمان جنگ می‌شود بیمه‌گرها دست به جیب نمی‌شوند و از این رو احتمال دارد سازمان‌ها تمرکزشان را بیشتر روی بهداشت بیشتر سایبری کنند. همانطور که اگر حین رانندگی با سرعت مطمئنه حرکت کنید، به طور کلی می توانید از تصادف رانندگی جلوگیری کنید - با گرفتن تصویر واضحی از خطر خود و انجام اقداماتی برای مقابله با آن، می توانید احتمال یک حمله سایبری ویرانگر را نیز کاهش دهید. از اینها گذشته، بهترین بیمه در برابر حملات سایبری خط‌مشی نیست بلکه فنداسیون امنیتی قوی است.

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.