تحلیلی بر بیمه سایبری و تدابیر امنیت سایبری قوی

تاریخ: 01 مهر 1403
شناسه: 927

با افزایش تعداد و شدت حملات سایبری، سازمان‌ها به دنبال روش‌هایی مطمئن و مقرون‌به‌صرفه برای مدیریت ریسک هستند. این روند برای اکثر سازمان‌ها ، علاوه بر کنترل‌های فنی، به معنای وابستگی به یک شرکت بیمه برای جبران خسارات ناشی از توقف کسب‌وکار و سایر زیان‌های مالی بود. برای این سازمان‌ها، پوشش مستقل بیمه‌ اغلب به‌ مثابه نجات‌دهنده‌ای تلقی می‌شد که با بدترین اثرات باج‌افزارها، بدافزارها، مهندسی اجتماعی[1] و دیگر انواع جرایم سایبری مقابله می‌کردند.

یکی از مدیران ارشد امنیت سایبری، بر این باور است که وضعیت بیمه‌ی سایبری در حال تغییر است. از نظر وی، افزایش تعداد و هزینه حملات باج‌افزاری موجب افزایش حق بیمه‌ها شده است، در حالی که کاهش سطح پوشش، دسترسی و دریافت انواع بیمه‌ را دشوارتر کرده است.

همچنین بیمه‌گران سایبری در انتخاب بیمه‌شدگان و نوع پوشش‌های خود دقت و حساسیت بیشتری به خرج می‌دهند، تا حدی که از کسب‌وکارها انتظار دارند سطح بالایی از بلوغ سایبری را نشان دهند تا امکان همکاری با آن‌ها مورد بررسی قرار گیرد. در چنین شرایطی، موانع دسترسی به بیمه افزایش می‌یابد و ارائه‌دهندگان بیمه نسبت به بررسی هر درخواست دقت بیشتری اعمال می‌کنند. در نتیجه متقاضیان ممکن است به دلیل حوادث قبلی یا کنترل‌های فنی ضعیف از دریافت پوشش بیمه‌ای محروم شوند.

از سویی، برای شرکت‌های مالی که عموماً تحت نظارت شدید مقررات قرار دارند، این تغییرات می‌تواند فرایندهای مدیریت ریسک را تحت‌ فشار قرار دهد.

دیگر نمی‌توان در صورت وقوع حمله به بیمه‌ی سایبری به‌عنوان یک شبکه ایمنی جامع اتکا کرد. در عوض، کسب‌وکارها باید دفاعی همه جانبه و پیشگیرانه را به‌کار گیرند و اطمینان حاصل کنند که پیش از مطرح شدن موضوع پرداخت بیمه، استراتژی امنیت سایبری قوی و برنامه‌ی مناسبی در مقابل حوادث در اختیار دارند.

 

درک تغییرات در بیمه‌ی سایبری

با توجه به تحول مداوم در چشم‌انداز امنیت سایبری، صنعت بیمه سایبری اکنون از همیشه ناپایدارتر شده است. استراتژی‌هایی که تنها چند سال پیش مؤثر بودند، دیگر کافی نیستند، چرا که تصمیمات بیمه به‌طور مداوم تحت تأثیر پیشرفت‌های سریع فناوری و تغییر رفتارهای مشتریان قرار دارد.

هیچ کدام از سازمان‌های مالی نباید به بیمه سایبری به‌عنوان یک تدبیر ثابت و قطعی در برابر تمام حوادث امنیت سایبری نگاه کند. از آنجا که حملات سایبری هر روزه بیشتر و پیچیده‌تر می‌شوند، شرکت‌های بیمه نیز بیش از پیش از ماهیت مبهم تهدیدات سایبری آگاه می‌شوند. در نتیجه، در چشم‌انداز دیجیتال جهانی و به‌هم‌پیوسته امروز، امنیت سایبری به‌سادگی قابل محدود کردن یا اندازه‌گیری نیست و برنامه‌های امنیتی قدیمی کاملا منسوخ شده‌اند.

 

در گزارشی از سال 2022، اداره حسابرسی دولت ایالات متحده (GAO) چنین تشخیص داد که در دسترس بودن و قابلیت تأمین مالی بیمه سایبری در آینده نامشخص است. این اداره نمونه‌هایی را مستند کرد که در آن‌ها سازمان‌های بیمه شروع به محدود کردن دامنه پوشش ارائه‌شده به صنایع زیرساخت‌های کلیدی کرده بودند، روشی که ممکن است روند دریافت بیمه سایبری برای این صنایع را پیچیده‌تر کند.

بازار بیمه چندصدساله Lloyd's of London، به‌طور واضح بیان کرد که اخیرا تصمیم گرفته است هرگونه حمله‌ای را که «حمایت دولتی» پشت آن است از میان بیمه‌نامه‌های سایبری خود کنار بگذارد.

این اقدام، که سوالاتی را درباره چگونگی تعیین منبع واقعی حملات سایبری به وجود می‌آورد، نشان‌دهنده این است که برخی تهدیدات امنیتی ممکن است غیر قابل بیمه شدن باشند. این پیشامد مشابه بلایی است که در بیمه‌نامه‌های بیمه‌ی مسکن افتاده است.

 همچنین بسیاری از بیمه‌گران در حال حذف پوشش بیمه برای برخی از رایج‌ترین تهدیدات امنیت سایبری که بخش مالی با آن‌ها مواجه است، از جمله مهندسی اجتماعی و باج‌افزار هستند. با پیش‌بینی اینکه هزینه‌های خسارات ناشی از باج‌افزارهای جهانی تا سال ۲۰۳۱ از ۲۶۵ میلیارد دلار آمریکا فراتر خواهد رفت و مدل باج‌افزار به‌عنوان سرویس (RaaS) به‌ویژه بر سازمان‌های مالی تأثیر منفی گذاشته است، شرکت‌های بیمه در حال تغییر مدل‌های ارزیابی خود برای همگام شدن با تغییرات پروفایل‌های ریسک سایبری هستند. بر این اساس، شرکت‌های مالی و حتی دولت‌ها باید پیش‌دستی کرده و به اولویت دادن به استراتژی‌ها و برنامه‌هایی برای تقویت امنیت سایبری بپردازند و قابلیت‌های خود را در مقابله با حوادث افزایش دهند.

 

محافظت در برابر حملات سایبری، از واکنشی به پیشگیرانه

صرف‌نظر از اینکه آیا باج‌افزار تحت پوشش یک بیمه‌نامه قرار دارد یا نه، سازمان‌ها نباید به پرداخت‌های بیمه سایبری «واکنشی» برای حل چالش‌های امنیتی خود تکیه کنند.

امروزه حملات سایبری به کسب‌و‌کارها بسیار تهاجمی و آسیب‌رسان‌تر از پیش شده است؛ تحت چنین شرایطی تدابیر پیشگیرانه‌ی امنیت سایبری دیگر یک نیاز جانبی و دل‌خواه نیستند، بلکه به یک نیاز بنیادین تبدیل شده است.

این موضوع در تغییرات مستمر مقررات در صنعت مالی منعکس می‌شود - مانند قوانین پیشنهادی امنیت سایبری SEC در ایالات متحده و مقررات DORA در اتحادیه اروپا که هر یک از شرکت‌های خدمات مالی نیازمند تقویت مستمر مقاومت عملیاتی خود هستند و دائما می‌بایست امنیت، مدیریت و نظارتی بنیادین را در تمام سطوح سازمان به ‌کار گیرند و حفظ کنند.

در این شرایط بیمه سایبری به‌تنهایی دیگر کافی نخواهد بود. در عوض، شرکت‌ها باید امنیت سایبری را به‌عنوان بخشی از فعالیت‌های روزمره خود بپذیرند. این امر شامل اجرای سیاست‌ها و رویه‌های امنیت سایبری مکتوب و قوی است که به‌طور دقیق با فرایندهای مدیریت ریسک در سطح پایه همسو باشند. داشتن اسناد مناسب، به شرکت‌ها یک نقشه راه برای عملیات روزمره ارائه می‌دهد و به آن‌ها امکان هماهنگی و تطبیق با تغییرات در زمینه‌های کسب‌وکار و همچنین دورنمایی از تغییرات پرسرعت امنیت سایبری را می‌دهد.

یک استراتژی جامع و آینده‌نگر مدیریت بحران، که با استراتژی‌های تداوم کسب‌وکار پشتیبانی می‌شود، به سازمان‌ها کمک می‌کند تا در صورت وقوع بدترین شرایط کماکان مقاوم باقی بمانند؛ این شرایط می‌تواند یک حادثه، نقض امنیتی، یا مهندسی اجتماعی که منجر به از دست رفتن داده‌ها یا خسارت مالی می‌شود، باشد.

 

آزمایش‌های منظم و واکاوی از منظر آسیب‌پذیری نیز از اجزای کلیدی یک استراتژی قوی امنیت سایبری هستند. با توجه به اینکه دورکار بودن افراد و مشاغل ترکیبی همچنان به گسترش محیط تحت حفاظت دامن می‌زند، شرکت‌ها به‌جای منتظر ماندن برای وقوع یک حمله، باید یک دید کامل و لحظه‌ای از وجوه متغیر حملات داشته باشند.

این دیدگاه تنها با واکاوی مداوم سیستم‌های داخلی و خارجی که همراه با تست دائمی و باکیفیت میزان نفوذ شبکه باشد، قابل دستیابی است.

اما امنیت سایبری قدرتمند تنها مبتنی بر فناوری نیست، بلکه توسط تصمیمات و رفتارهای انسانی نیز شکل می‌گیرد. بنابراین، آموزش و آگاهی‌بخشی مداوم به کاربران نهایی ضروری است تا اطمینان حاصل شود که همه کارکنان قادر به شناسایی و واکنش مناسب به طیف گسترده‌تری از تهدیدات امنیتی هستند. با حمایت از رویه‌ها و کنترل‌های مناسب -به همراه آزمایش‌های منظم مهندسی اجتماعی برای اندازه‌گیری اثربخشی برنامه- یک رویکرد آموزشی چندلایه به کارکنان، لایه‌های حفاظتی اولیه و پیشرفته‌ی سازمان‌ها را تقویت خواهد کرد.

ارتباطات، ارزش واقعی امنیت سایبری

برای پذیرش کامل یک موضع امنیت سایبری سازگارتر و جامع‌تر، نیاز به بهبود ارتباطات، مانند گفتمان‌های مربوط به میزان هزینه در مقابل ریسک، در سطح صنعت وجود دارد.

در حوزه امنیت سایبری بسیاری از شرکت‌ها همچنان بازگشت سرمایه (ROI) در سرمایه‌گذاری پیشگیرانه را نادیده می‌گیرند و به‌جای آن، به انتخاب بسته‌های بیمه‌ای حداقلی، و در حد کفایت می‌پردازند. اما با توجه به اینکه هزینه واقعی یک حادثه بزرگ سایبری همچنان رو به افزایش است، سرمایه‌گذاری در یک استراتژی امنیت سایبری چندلایه و جامع، در آینده سودآور خواهد بود. متخصصان سایبری در بخش خدمات مالی باید به‌طور مؤثر با سازمان خود ارتباط برقرار کنند و آن‌ها را در مورد تاثیرات عملی و گسترده امنیت سایبری بر کسب‌وکار آگاه سازند.

در چشم‌انداز تهدید سایبری که به‌طور مداوم در حال تغییر است، شرکت‌های مالی باید اطمینان حاصل کنند که اقدامات پیشگیرانه، در اولویت بالاتری قرار گیرند. داشتن یک برنامه که فناوری، آزمایش‌ها، سیاست‌ها و رویه‌های مکتوب و آموزش مداوم کارکنان را در برگیرد، و در آن بیمه سایبری به‌عنوان یکی از اجزای یک استراتژی مدیریت ریسک بزرگ‌تر و ریشه‌ای‌تر باشد، بسیار ارزشمند است.

 

[1] مهندسی اجتماعی دستکاری روانی افراد برای انجام اقدامات مخرب یا افشای اطلاعات محرمانه است.