مطالعه و بررسی مقدماتی تجربیات سایر کشورها در حوزه ریسک ها و بیمه های سایبری
در دنیای کنونی، حفاظت از اطلاعات، از جمله مسائل چالش برانگیز نهادهای مختلف در سراسر جهان محسوب میشود و هر روزه اخبار متعددی از حملات سایبری منتشر میشود. برای مواجهه با این امر، سازمانهای مختلف همواره بر افزایش امنیت اطلاعات و دادههای و پیشگیری از ریسکهای سایبری تأکید نموده و هزینههای گزافی را در این حوزه متحمل میشوند (محمدزاده، 1399). با رشد تکنولوژی و افزایش روشهای ارتباطی و شبکههای دیتا در سرتاسر جهان، تهدیدها و ریسکهای مرتبط با آن از جمله نفوذهای غیرقانونی و دسترسی به منابع اطلاعاتی در سالهای اخیر گسترش پیدا کرده است.
هدف از حملات سایبری میتواند متفاوت باشد. برخی به دلیل تخریب و آسیب رساندن به زیرساختها و برخی برای سرقت اطلاعات اقدام به حملات سایبری میکنند. از سوی دیگر، حملات سایبری از نظر تعداد، عمق و گستره تأثیر، پیچیدگیها و ... روند فزایندهای داشته و قابلیت ایجاد انواع مخاطرات و به تبع آن خسارات مربوطه نیز افزایش خواهد یافت. مواردی مانند نقض داده برای شرکتهای مختلف جهان، حملات به زیرساختهای مهم کشورها، هک شدن برخی رسانهها، اختلال در سیستمهای الکترونیکی پرداخت یا حوزه انرژی، هک شدن ایمیل کارکنان اشخاص و نهادهای مهم، هک کیف پولهای مشتریان رمزارزها و ... از جمله مصادیق دال بر روند فزاینده تخریبهای حملات سایبری نسبت به دورههای قبل تلقی میشود
بر اساس گزارش سنجش ریسک آلیانز ، جرایم سایبری سالانه بیش از هزار میلیارد دلار به اقتصاد جهانی خسارت وارد میکنند که تقریبا برابر با یک درصد GDP جهانی است. بنابراین در صورتیکه راهکارهای مقابله با انواع مختلف ریسکها و حملات سایبری توسط سازمانهای مرتبط پیشبینی و در دستور کار قرار نگیرد، میتواند آثار خطرناک و در برخی موارد جبران ناپذیری برجای بگذارد. روشهای مختلفی به منظور مدیریت ریسک امنیت سایبری توسط نهادهای مختلف به کار گرفته میشود که میتوان به مواردی همچون ارتقاء سختافزارهای مرتبط با سیستمهای دفاع سایبری و امنیت شبکه و داده، به کارگرفتن نیروی انسانی متخصص، تخصیص بودجههای آموزشی به منظور ارتقاء دانش کارکنان و ... اشاره نمود.
بر اساس گزارش سنجش ریسک آلیانز ، جرایم سایبری سالانه بیش از هزار میلیارد دلار به اقتصاد جهانی خسارت وارد میکنند که تقریبا برابر با یک درصد GDP جهانی است. بنابراین در صورتیکه راهکارهای مقابله با انواع مختلف ریسکها و حملات سایبری توسط سازمانهای مرتبط پیشبینی و در دستور کار قرار نگیرد، میتواند آثار خطرناک و در برخی موارد جبران ناپذیری برجای بگذارد. روشهای مختلفی به منظور مدیریت ریسک امنیت سایبری توسط نهادهای مختلف به کار گرفته میشود که میتوان به مواردی همچون ارتقاء سختافزارهای مرتبط با سیستمهای دفاع سایبری و امنیت شبکه و داده، به کارگرفتن نیروی انسانی متخصص، تخصیص بودجههای آموزشی به منظور ارتقاء دانش کارکنان و ... اشاره نمود.
علیرغم اتخاذ راهکارهای اشاره شده، به دلایل مختلف از جمله به هنگام نبودن اتخاذ تصمیمات و اجرای آنها، توسعه روزافزون دانش مرتبط، هزینههای بالای تکنولوژیهای روز و عدم دسترسی به آنها به دلایل تحریمی، تنشهای سیاسی و ...، امنیت کامل در این حوزه توسط شرکتهای ارائه دهنده خدمات یا سازمانهای دارای سیستمهای اطلاعاتی تضمین نشده لذا توزیع ریسک مذکور با شرکتهای ارائه دهنده خدمات بیمهای به عنوان نهاد مالی پشتیبانی کننده جبران خسارت، مطرح شده است. اگرچه موضوع پوشش بیمه سایبری از دهه 1970 میلادی در دنیا مطرح بوده لیکن در کشورمان تاکنون به صورت منسجم و مشخص، پوششهای خاص این حوزه برای بهرهبردای مشتریان ارائه نشده است (میره، 1398). به عبارت دیگر، امروزه بازار بیمههای سایبری به عنوان یکی از راهکارهای عملیاتی به منظور استفاده از مزایای اقتصادی و اجتماعی دنیای دیجیتال در کنار کاهش ریسک استفاده از این فضا، مورد توجه قرار گرفته است که ابعاد مختلف این موضوع در گزارش حاضر مورد بررسی قرار گرفته است.
در گزارش پیش رو نخست به ترسیم فضای کمی و ارائه آمارهای رسمی و غیررسمی در حوزه حوادث سایبری در جهان و ایران خواهیم پرداخت. سپس تعاریف متعددی که در حوزه سایبری و ریسک های سایبری وجود دارد را بیان خواهیم کرد و به دسته بندی انواع ریسک های سایبری خواهیم پرداخت. در ادامه مبحث پوشش پذیری ریسک های سایبری را مطرح خواهیم کرد و با توجه به تجربه های جهانی پوشش های مربوط به این حوادث را بررسی خواهیم کرد. در پایان پیامدهای پوشش ریسک های سایبری برای صنعت بیمه را بررسی خواهیم کرد.
شکل زیر ارتباط میان رویداد، حمله و حادثه سایبری را به خوبی نشان می دهد.
در گزارش پیش رو نخست به ترسیم فضای کمی و ارائه آمارهای رسمی و غیررسمی در حوزه حوادث سایبری در جهان و ایران خواهیم پرداخت. سپس تعاریف متعددی که در حوزه سایبری و ریسک های سایبری وجود دارد را بیان خواهیم کرد و به دسته بندی انواع ریسک های سایبری خواهیم پرداخت. در ادامه مبحث پوشش پذیری ریسک های سایبری را مطرح خواهیم کرد و با توجه به تجربه های جهانی پوشش های مربوط به این حوادث را بررسی خواهیم کرد. در پایان پیامدهای پوشش ریسک های سایبری برای صنعت بیمه را بررسی خواهیم کرد.
شکل زیر ارتباط میان رویداد، حمله و حادثه سایبری را به خوبی نشان می دهد.
طبقه مطالعات پیشین، ریسک سایبری زیرمجموعه¬¬ای از ریسک عملیاتی معرفی شده است. به طور مثال Cebula و Young (2010) ریسکذهای سایبری را به عنوان یک ریسک عملیاتی برای دارایی های اطلاعاتی و فناوری که پیامدهایی بر محرمانگی، در دسترس بودن و یا یکپارچگی اطلاعات یا سیستم های اطلاعاتی دارد، تعریف می¬کنند. در جدول تعاریف ریسک سایبری به طور مختصر آورده شده است:
همه این تعاریف به طور کلی ریسک سایبری را خطرات ناشی از استفاده از فناوری های اطلاعات و ارتباطات تعریف می کنند که می تواند هم مربوط به خطاهای انسانی و هم حملات عمدی یا سهوی (چه از طرف عوامل درونِ سازمان چه از طرف عوامل خارج از سازمان) باشد.
با توجه به خسارات وارده ناشی از حملات سایبری در صورتیکه راهکارهای مقابله با انواع مختلف ریسکها و حملات سایبری توسط سازمانهای مرتبط پیشبینی و در دستور کار قرار نگیرد، میتواند آثار خطرناک و در برخی موارد جبران ناپذیری برجای بگذارد. قابلیت بیمه کردن یک ریسک مشخص معمولا زمانی از نظر اقتصادی عملی است که معیارهای بیمه پذیری برآورده شود. این معیارها شامل موارد زیر است: ریسک ها می بایست قابل سنجش باشند، جامعه به اندازه ی کافی بزرگ باشد و ریسک ها به صورت تصادفی اتفاق بیفتد(صابری، 1399). تعیین موارد تحت پوشش یکی از چالش های مهم است. طیف پوشش های بیمه سایبری می تواند بسیار گسترده باشد که شرکت بیمه بنا بر توان فنی، اطلاعات در دسترس و ریسک احتمالی ممکن است بخش هایی را متقبل و از پذیرش بخش هایی دیگر امتناع ورزد(حسن پور و اولوخانی، 1400). حوادث سایبری ابعاد مختلفی از پیامدها را شامل می شود که لزوما امکان جبران همه آن ها فراهم نیست. بنابراین در راستای کاهش خسارات مرتبط با حملات سایبری بخشی از هزینه های قابل جبرانمی تواند ذیل انواع مختلف پوشش های بیمه ای مورد بحث و بررسی قرار گیرد. خسارت به اموال و دارایی های مشهود و نامشهود، وقفه در کسب و کار، سرقت، و همچنین اشکال مختلف مسئولیت در قبال مشتریان، کارکنان، سهامداران و ... از جمله این موارد می باشد.
انواع مختلف پوشش های بیمه ای مذکور با نظرداشت طبقه بندی انجمنCRO را می توان در قالب جدول ذیل جمع بندی نمود:
با توجه به خسارات وارده ناشی از حملات سایبری در صورتیکه راهکارهای مقابله با انواع مختلف ریسکها و حملات سایبری توسط سازمانهای مرتبط پیشبینی و در دستور کار قرار نگیرد، میتواند آثار خطرناک و در برخی موارد جبران ناپذیری برجای بگذارد. قابلیت بیمه کردن یک ریسک مشخص معمولا زمانی از نظر اقتصادی عملی است که معیارهای بیمه پذیری برآورده شود. این معیارها شامل موارد زیر است: ریسک ها می بایست قابل سنجش باشند، جامعه به اندازه ی کافی بزرگ باشد و ریسک ها به صورت تصادفی اتفاق بیفتد(صابری، 1399). تعیین موارد تحت پوشش یکی از چالش های مهم است. طیف پوشش های بیمه سایبری می تواند بسیار گسترده باشد که شرکت بیمه بنا بر توان فنی، اطلاعات در دسترس و ریسک احتمالی ممکن است بخش هایی را متقبل و از پذیرش بخش هایی دیگر امتناع ورزد(حسن پور و اولوخانی، 1400). حوادث سایبری ابعاد مختلفی از پیامدها را شامل می شود که لزوما امکان جبران همه آن ها فراهم نیست. بنابراین در راستای کاهش خسارات مرتبط با حملات سایبری بخشی از هزینه های قابل جبرانمی تواند ذیل انواع مختلف پوشش های بیمه ای مورد بحث و بررسی قرار گیرد. خسارت به اموال و دارایی های مشهود و نامشهود، وقفه در کسب و کار، سرقت، و همچنین اشکال مختلف مسئولیت در قبال مشتریان، کارکنان، سهامداران و ... از جمله این موارد می باشد.
انواع مختلف پوشش های بیمه ای مذکور با نظرداشت طبقه بندی انجمنCRO را می توان در قالب جدول ذیل جمع بندی نمود:
به طور خلاصه، پوشش های بیمه سایبری را می توان به صورت زیر دسته بندی نمود:
مسئولیت امنیت و حریم خصوصی: آسیب به شهرت ناشی از افشای اطلاعات، مانند افشای اطلاعات شخص ثالث نگهداری شده در سیستم.
هزینه های حقوقی: تامین هزینه های حقوقی دفاع از دعاوی.
مسئولیت نقض مقررات و رویه های نظارتی: هزینه های قانونی و جریمه های ناشی از بررسی و نظارت قانون گذار دولتی.
مسئولیت رسانه های الکترونیکی: هزینه های نقض نسخه برداری، افترا و سوءاستفاده از انواع خاصی از مالکیت معنوی آنلاین.
هزینه های مدیریت بحران: هزینه های مدیریت بحران ناشی از حملات سایبری.
هزینه های اطلاع رسانی و نظارت: هزینه های اطلاع رسانی به مشتریان پس از افشای اطلاعات آنها و نظارت بر جزئیات کارت اعتباری آنها برای جلوگیری از حملات بیشتر.
مسئولیت امنیت و حریم خصوصی: آسیب به شهرت ناشی از افشای اطلاعات، مانند افشای اطلاعات شخص ثالث نگهداری شده در سیستم.
هزینه های حقوقی: تامین هزینه های حقوقی دفاع از دعاوی.
مسئولیت نقض مقررات و رویه های نظارتی: هزینه های قانونی و جریمه های ناشی از بررسی و نظارت قانون گذار دولتی.
مسئولیت رسانه های الکترونیکی: هزینه های نقض نسخه برداری، افترا و سوءاستفاده از انواع خاصی از مالکیت معنوی آنلاین.
هزینه های مدیریت بحران: هزینه های مدیریت بحران ناشی از حملات سایبری.
هزینه های اطلاع رسانی و نظارت: هزینه های اطلاع رسانی به مشتریان پس از افشای اطلاعات آنها و نظارت بر جزئیات کارت اعتباری آنها برای جلوگیری از حملات بیشتر.
پیامدهای ریسک سایبری در صنعت بیمه نیز از دو منظر قابل بررسی است:
1) ارائه پوشش بیمه ای ریسک های سایبری برای صنعت بیمه چه پیامدهایی دارد؟ حملات سایبری هر روز پیچیده تر و بیشتر می شوند. خسارات سایبری نیز به طور فزاینده ای رو به افزایش است. افزایش خسارات ممکن است بیمه گران را نسبت به ارائه پوشش محتاط تر کند. علاوه بر این فقدان داده های مربوط به خسارات این حوادث، بیمه گران را با چالش های قیمت گذاری مواجه خواهد کرد. از طرفی افزایش خسارات باعث افزایش تعرفه های بیمه ای می شود که ممکن است کسب وکارها قادر به پرداخت این تعرفه ها نباشند. همچنین در کشور ایران وجود چالش های همچون تحریم ها، عدم دسترسی به تجهیزات و نرم افزارهای به روز و نمایندگی قانونی آن ها، عدم دسترسی به آزمایشگاه های به روز و ... ریسک حوادث سایبری را در کشور افزایش می دهد که به نوبه خود یک چالش بزرگ برای بیمه گران ایجاد خواهد کرد.
2) ریسک های سایبری به عنوان یکی از ریسک های کسب وکار بر صنعت بیمه چه اثراتی دارد؟ صنعت بیمه هم مانند تمام صنایع دیگر در معرض حوادث سایبری قرار دارد. حوادثی چون نقض داده ها، وقفه در کسب وکار، اخاذی های سایبری و ... می تواند این صنعت را تحت تاثیر قرار دهد.
1) ارائه پوشش بیمه ای ریسک های سایبری برای صنعت بیمه چه پیامدهایی دارد؟ حملات سایبری هر روز پیچیده تر و بیشتر می شوند. خسارات سایبری نیز به طور فزاینده ای رو به افزایش است. افزایش خسارات ممکن است بیمه گران را نسبت به ارائه پوشش محتاط تر کند. علاوه بر این فقدان داده های مربوط به خسارات این حوادث، بیمه گران را با چالش های قیمت گذاری مواجه خواهد کرد. از طرفی افزایش خسارات باعث افزایش تعرفه های بیمه ای می شود که ممکن است کسب وکارها قادر به پرداخت این تعرفه ها نباشند. همچنین در کشور ایران وجود چالش های همچون تحریم ها، عدم دسترسی به تجهیزات و نرم افزارهای به روز و نمایندگی قانونی آن ها، عدم دسترسی به آزمایشگاه های به روز و ... ریسک حوادث سایبری را در کشور افزایش می دهد که به نوبه خود یک چالش بزرگ برای بیمه گران ایجاد خواهد کرد.
2) ریسک های سایبری به عنوان یکی از ریسک های کسب وکار بر صنعت بیمه چه اثراتی دارد؟ صنعت بیمه هم مانند تمام صنایع دیگر در معرض حوادث سایبری قرار دارد. حوادثی چون نقض داده ها، وقفه در کسب وکار، اخاذی های سایبری و ... می تواند این صنعت را تحت تاثیر قرار دهد.