مطالعه و بررسی مقدماتی تجربیات سایر کشورها در حوزه ریسک ‏ها و بیمه‏ های سایبری

مطالعه و بررسی مقدماتی تجربیات سایر کشورها در حوزه ریسک ‏ها و بیمه‏ های سایبری

در دنیای کنونی، حفاظت از اطلاعات، از جمله مسائل چالش‌ برانگیز نهادهای مختلف در سراسر جهان محسوب می‌شود و هر روزه اخبار متعددی از حملات سایبری منتشر می‌شود. برای مواجهه با این امر، سازمان‌های مختلف همواره بر افزایش امنیت اطلاعات و داده‌های و پیشگیری از ریسک‌های سایبری تأکید نموده و هزینه‌های گزافی را در این حوزه متحمل می‌شوند (محمدزاده، 1399). با رشد تکنولوژی و افزایش روش‌های ارتباطی و شبکه‌های دیتا در سرتاسر جهان، تهدیدها و ریسک‌های مرتبط با آن از جمله نفوذهای غیرقانونی و دسترسی به منابع اطلاعاتی در سال‌های اخیر گسترش پیدا کرده است. هدف از حملات سایبری می‌تواند متفاوت باشد. برخی به دلیل تخریب و آسیب رساندن به زیرساخت‌ها و برخی برای سرقت اطلاعات اقدام به حملات سایبری می‌کنند. از سوی دیگر، حملات سایبری از نظر تعداد، عمق و گستره تأثیر، پیچیدگی‌ها و ... روند فزاینده‌ای داشته و قابلیت ایجاد انواع مخاطرات و به تبع آن خسارات مربوطه نیز افزایش خواهد یافت. مواردی مانند نقض داده برای شرکت‌های مختلف جهان، حملات به زیرساخت‌های مهم کشورها، هک شدن برخی رسانه‌ها، اختلال در سیستم‌های الکترونیکی پرداخت یا حوزه انرژی، هک شدن ایمیل کارکنان اشخاص و نهادهای مهم، هک کیف پول‌های مشتریان رمزارزها و ... از جمله مصادیق دال بر روند فزاینده تخریب‌های حملات سایبری نسبت به دوره‌های قبل تلقی می‌شود
بر اساس گزارش سنجش ریسک آلیانز ، جرایم سایبری سالانه بیش از هزار میلیارد دلار به اقتصاد جهانی خسارت وارد می‌کنند که تقریبا برابر با یک درصد GDP جهانی است. بنابراین در صورتی‌که راهکارهای مقابله با انواع مختلف ریسک‌ها و حملات سایبری توسط سازمان‌های مرتبط پیش‌بینی و در دستور کار قرار نگیرد، می‌تواند آثار خطرناک و در برخی موارد جبران ناپذیری برجای بگذارد. روش‌های مختلفی به منظور مدیریت ریسک امنیت سایبری توسط نهادهای مختلف به کار گرفته می‌شود که می‌توان به مواردی همچون ارتقاء سخت‌افزارهای مرتبط با سیستم‌های دفاع سایبری و امنیت شبکه و داده، به کارگرفتن نیروی انسانی متخصص، تخصیص بودجه‌های آموزشی به منظور ارتقاء دانش کارکنان و ... اشاره نمود.
علی‌رغم اتخاذ راهکارهای اشاره شده، به دلایل مختلف از جمله به هنگام نبودن اتخاذ تصمیمات و اجرای آن‌ها، توسعه روزافزون دانش مرتبط، هزینه‌های بالای تکنولوژی‌های روز و عدم دسترسی به آنها به دلایل تحریمی، تنش‌های سیاسی و ...، امنیت کامل در این حوزه توسط شرکت‌های ارائه دهنده خدمات یا سازمان‌های دارای سیستم‌های اطلاعاتی تضمین نشده لذا توزیع ریسک مذکور با شرکت‌های ارائه دهنده خدمات بیمه‌ای به عنوان نهاد مالی پشتیبانی کننده جبران خسارت، مطرح شده است. اگرچه موضوع پوشش بیمه سایبری از دهه 1970 میلادی در دنیا مطرح بوده لیکن در کشورمان تاکنون به صورت منسجم و مشخص، پوشش‌های خاص این حوزه برای بهره‌بردای مشتریان ارائه نشده است (میره، 1398). به عبارت دیگر، امروزه بازار بیمه‌های سایبری به عنوان یکی از راهکارهای عملیاتی به منظور استفاده از مزایای اقتصادی و اجتماعی دنیای دیجیتال در کنار کاهش ریسک استفاده از این فضا، مورد توجه قرار گرفته است که ابعاد مختلف این موضوع در گزارش حاضر مورد بررسی قرار گرفته است.
در گزارش پیش رو نخست به ترسیم فضای کمی و ارائه آمارهای رسمی و غیررسمی در حوزه حوادث سایبری در جهان و ایران خواهیم پرداخت. سپس تعاریف متعددی که در حوزه سایبری و ریسک های سایبری وجود دارد را بیان خواهیم کرد و به دسته بندی انواع ریسک های سایبری خواهیم پرداخت. در ادامه مبحث پوشش پذیری ریسک های سایبری را مطرح خواهیم کرد و با توجه به تجربه های جهانی پوشش های مربوط به این حوادث را بررسی خواهیم کرد. در پایان پیامدهای پوشش ریسک های سایبری برای صنعت بیمه را بررسی خواهیم کرد.
شکل زیر ارتباط میان رویداد، حمله و حادثه سایبری را به خوبی نشان می دهد.
طبقه مطالعات پیشین، ریسک سایبری زیرمجموعه¬¬ای از ریسک عملیاتی معرفی شده است. به طور مثال Cebula و Young (2010) ریسکذهای سایبری را به عنوان یک ریسک عملیاتی برای دارایی های اطلاعاتی و فناوری که پیامدهایی بر محرمانگی، در دسترس بودن و یا یکپارچگی اطلاعات یا سیستم های اطلاعاتی دارد، تعریف می¬کنند. در جدول تعاریف ریسک سایبری به طور مختصر آورده شده است:
همه این تعاریف به طور کلی ریسک سایبری را خطرات ناشی از استفاده از فناوری های اطلاعات و ارتباطات تعریف می کنند که می تواند هم مربوط به خطاهای انسانی و هم حملات عمدی یا سهوی (چه از طرف عوامل درونِ سازمان چه از طرف عوامل خارج از سازمان) باشد.
با توجه به خسارات وارده ناشی از حملات سایبری در صورتی‌که راهکارهای مقابله با انواع مختلف ریسک‌ها و حملات سایبری توسط سازمان‌های مرتبط پیش‌بینی و در دستور کار قرار نگیرد، می‌تواند آثار خطرناک و در برخی موارد جبران ناپذیری برجای بگذارد. قابلیت بیمه کردن یک ریسک مشخص معمولا زمانی از نظر اقتصادی عملی است که معیارهای بیمه پذیری برآورده شود. این معیارها شامل موارد زیر است: ریسک ها می بایست قابل سنجش باشند، جامعه به اندازه ی کافی بزرگ باشد و ریسک ها به صورت تصادفی اتفاق بیفتد(صابری، 1399). تعیین موارد تحت پوشش یکی از چالش های مهم است. طیف پوشش های بیمه سایبری می تواند بسیار گسترده باشد که شرکت بیمه بنا بر توان فنی، اطلاعات در دسترس و ریسک احتمالی ممکن است بخش هایی را متقبل و از پذیرش بخش هایی دیگر امتناع ورزد(حسن پور و اولوخانی، 1400). حوادث سایبری ابعاد مختلفی از پیامدها را شامل می شود که لزوما امکان جبران همه آن ها فراهم نیست. بنابراین در راستای کاهش خسارات مرتبط با حملات سایبری بخشی از هزینه های قابل جبرانمی تواند ذیل انواع مختلف پوشش های بیمه ای مورد بحث و بررسی قرار گیرد. خسارت به اموال و دارایی های مشهود و نامشهود، وقفه در کسب و کار، سرقت، و همچنین اشکال مختلف مسئولیت در قبال مشتریان، کارکنان، سهامداران و ... از جمله این موارد می باشد.

انواع مختلف پوشش های بیمه ای مذکور با نظرداشت طبقه بندی انجمنCRO را می توان در قالب جدول ذیل جمع بندی نمود:
به طور خلاصه، پوشش های بیمه سایبری را می توان به صورت زیر دسته بندی نمود:
مسئولیت امنیت و حریم خصوصی: آسیب به شهرت ناشی از افشای اطلاعات، مانند افشای اطلاعات شخص ثالث نگهداری شده در سیستم.
هزینه های حقوقی: تامین هزینه های حقوقی دفاع از دعاوی.
مسئولیت نقض مقررات و رویه های نظارتی: هزینه های قانونی و جریمه های ناشی از بررسی و نظارت قانون گذار دولتی.
مسئولیت رسانه های الکترونیکی: هزینه های نقض نسخه برداری، افترا و سوءاستفاده از انواع خاصی از مالکیت معنوی آنلاین.
هزینه های مدیریت بحران: هزینه های مدیریت بحران ناشی از حملات سایبری.
هزینه های اطلاع رسانی و نظارت: هزینه های اطلاع رسانی به مشتریان پس از افشای اطلاعات آنها و نظارت بر جزئیات کارت اعتباری آنها برای جلوگیری از حملات بیشتر.
پیامدهای ریسک سایبری در صنعت بیمه نیز از دو منظر قابل بررسی است:
1) ارائه پوشش بیمه ای ریسک های سایبری برای صنعت بیمه چه پیامدهایی دارد؟ حملات سایبری هر روز پیچیده تر و بیشتر می شوند. خسارات سایبری نیز به طور فزاینده ای رو به افزایش است. افزایش خسارات ممکن است بیمه گران را نسبت به ارائه پوشش محتاط تر کند. علاوه بر این فقدان داده های مربوط به خسارات این حوادث، بیمه گران را با چالش های قیمت گذاری مواجه خواهد کرد. از طرفی افزایش خسارات باعث افزایش تعرفه های بیمه ای می شود که ممکن است کسب وکارها قادر به پرداخت این تعرفه ها نباشند. همچنین در کشور ایران وجود چالش های همچون تحریم ها، عدم دسترسی به تجهیزات و نرم افزارهای به روز و نمایندگی قانونی آن ها، عدم دسترسی به آزمایشگاه های به روز و ... ریسک حوادث سایبری را در کشور افزایش می دهد که به نوبه خود یک چالش بزرگ برای بیمه گران ایجاد خواهد کرد.
2) ریسک های سایبری به عنوان یکی از ریسک های کسب وکار بر صنعت بیمه چه اثراتی دارد؟ صنعت بیمه هم مانند تمام صنایع دیگر در معرض حوادث سایبری قرار دارد. حوادثی چون نقض داده ها، وقفه در کسب وکار، اخاذی های سایبری و ... می تواند این صنعت را تحت تاثیر قرار دهد.