خسارت وارد شده به کسانی که اطلاعاتشان از طریق دسترسی غیرمجاز به سایتهای دولتی و غیردولتی انتشار پیدا کرده است، برعهده چه کسی است؟ آیا امکان بیمه سایبری و در نهایت ارزشگذاری دادههای ذخیره شده از سوی شرکتهای دولتی و غیردولتی وجود دارد و بیمهها میتوانند این دارایی نامشهود را ارزشگذاری و بیمه کنند. هر […]
خسارت وارد شده به کسانی که اطلاعاتشان از طریق دسترسی غیرمجاز به سایتهای دولتی و غیردولتی انتشار پیدا کرده است، برعهده چه کسی است؟ آیا امکان بیمه سایبری و در نهایت ارزشگذاری دادههای ذخیره شده از سوی شرکتهای دولتی و غیردولتی وجود دارد و بیمهها میتوانند این دارایی نامشهود را ارزشگذاری و بیمه کنند. هر چند وزارت ارتباطات و بیمهمرکزی به صورت مشترک به دنبال تدوین آییننامه بیمه سایبری هستند و دو سال است که از اعلام برنامه بیمهمرکزی برای بیمه سایبری میگذرد اما آیا تا زمانی که امکان ارزشگذاری دارایی نامشهور فراهم نشود میتوان شرکتهای بیمه را ملزم به اجرایی کردن بیمه سایبری کرد؟ از نظر کارشناسان مشخص نبودن فرآیند ارزشگذاری داراییهای نامشهود، تصویب نشدن قانون GDPR یا قانون حفاظت از دادههای شخصی از جمله موانع اصلی اجرایی نبودن بیمه سایبری است. مقررات سختگیرانهای در رابطه با حفاظت از حریم شخصی کاربران و امنیت سایبری در دنیا مصوب شده که به موجب آنها شرکتها در صورت رعایت نکردن امنیت سایبری و حفاظت از اطلاعات کاربران مکلف به پرداخت جریمههای سنگین میشوند. اما در ایران خلأهای قانونی حفاظت از دادهها موجب شده امنیت اطلاعات و حریم شخصی کاربران به خطر بیفتد.
فرآیند ارزشگذاری وجود ندارد
یک پژوهشگر حوزه ارتباطات و فناوری اطلاعات، معتقد است؛ هیچ فرآیندی برای ارزشگذاری اموال نامشهود به منظور پوشش بیمه و دریافت خسارت وجود ندارد و آییننامه هیأت وزیران تنها مربوط به ارزشگذاری برای فعالیت در بازار سرمایه است. به همین منظور شرکتهای بیمه در این زمینه خدماتی ارائه نکردهاند. رضا ایازی؛ به پیوست، گفت: وزارت ارتباطات با همکاری بیمهمرکزی در صدد تهیه آییننامهای برای بیمه سایبری است. البته بیمه امنیت سایبری نیز مانند دیگر خدمات بیمهای باید توسط شرکتهای بیمه عرضه شود اما هنوز مورد پذیرش آنها قرار نگرفته است. در بسیاری از کشورهای دنیا از جمله آمریکا و کانادا خدمات بیمه سایبری ارائه میشود اما در ایران هنوز سازوکاری برای آن شکل نگرفته و خدمات آن نیز ارائه نمیشود. او افزود: مشکل اصلی برای حفاظت از حریمخصوصی و اطلاعات کاربران در مقابل حملات سایبری، نبود سیستمهای بومی امنیتی است. مشکل اصلی اینجاست که سیستمی که برای مقابله با حملات سایبری استفاده میکنیم همان سیستم و ابزارهایی است که در تمام دنیا مورد استفاده قرار میگیرد و هیچ سیستم و ابزار بومی برای حفاظت اطلاعات و امنیت سایبری نداریم. شرکتهای ایرانی همان ابزارهای بینالمللی را ارائه میکنند، تنها پوسته این ابزارها را تغییر داده و بهعنوان نسخه بومی عرضه میکنند. ایازی؛ گفت: از سویی دیگر ابزارهای بینالمللی که استفاده میکنیم نیز بهروزرسانی نمیشود یا با تأخیر بهروزرسانی میشود. این مشکلات موجب میشود که شرکتهای بیمه برای ارائه خدمات و بیمه سایبری دچار تردید شوند. او با اشاره به حمله سایبری به تپسی که اخیراً صورت گرفته بود، بیان کرد: بهطور مثل زمانی که تپسی هک شد و اطلاعات کاربران لو رفت، مدیرعامل این شرکت به راحتی آنرا توئیت کرد. این در حالی است که اگر تپسی در آمریکا فعالیت میکرد تاکنون ورشکست شده بود، چراکه برطبق مقررات امنیت سایبری و حفاظت حریم شخصی باید خسارت بالایی را پرداخت میکرد. در آمریکا قوانین سختگیرانهای نسبت به امنیت سایبری و حفاظت حریم شخصی وجود دارد و شرکتی که آنرا رعایت نکند، باید خسارت پرداخت کند. اما در ایران حملات سایبری هزینهای برای مالکان شرکت ندارد.
خسارت براساس میزان ارزش اموال نامشهود
ایازی؛ گفت: بیمه سایبری بیشتر مربوط به شرکتها است. ممکن است حملات سایبری توسط شرکتهای رقیب یا به هدف از کارانداختن و کاهش عملکرد شرکت مربوطه رخ دهد که این موارد میتواند مشمول بیمه شود. اطلاعات حیاتی شرکت، محصولات و داراییهای ارزشمند یا اطلاعات مشتریان اگر سرقت شوند، شرکت بیمه براساس میزان ارزش این اطلاعات به شرکت مربوطه خسارت پرداخت میکند. او تأکید کرد: بهطور کلی روند پرداخت خسارت بیمه سایبری در دنیا به این گونه است که شرکتهای بیمهای داراییهای نامشهود شرکتها را ارزشگذاری میکنند و براساس میزان ارزش داراییهای نامشهود در صورت حمله سایبری به شرکت مربوطه خسارت پرداخت میکنند. مثلاً دیتابیس سفر افراد به تپسی یا دیتای کاربران جزو داراییهای نامشهود تپسی است. اگر دارایی بر اثر حمله سایبری مخدوش نشده باشد و باوجود سرقت سایبری هنوز دسترسی به آن وجود داشته باشد، مشمول بیمه نمیشود. اما زمانی که کل دارایی از بین برود، شرکت بیمه نسبت به میزان ارزش دارایی سرقت شده خسارت پرداخت میکند. این پژوهشگر حوزه ارتباطات، تأکید کرد: در ایران یکی از مشکلات اصلی در ارتباط با بیمه سایبری، نحوه ارزشگذاری داراییهای نامشهود است. البته آییننامه هیأت وزیران برای ارزشگذاری اموال نامشهود شرکتهای فناوری موجود است که پلتفرمها، کاربران و تجربه کاربری و دادهها مورد ارزشگذاری قرار میگیرند تا ارزش سهام شرکت در بازار سرمایه مشخص شود. اما این آییننامه برای شرکتهای بیمهای کاربردی ندارد. ارائه خدمات بیمه سایبری سازوکاری نیاز دارد که در حالحاضر وجود ندارد. او معتقد است شرکتهای بیمهای باید بررسی کنند که مشکلات و اختلالات بهوجود آمده برای شرکتها براثر حمله سایبری بوده یا نقص فنی. ایازی؛ گفت: مثلاً در اولین روز مدارس تپسی دوساعت از کار افتاد. مدیرعامل این شرکت میتواند ادعا کند که مورد حمله سایبری قرار گرفته است. شرکت بیمه باید کارشناسی ارسال کند تا مشخص شود ادعای این شرکت صحیح بوده یا خیر.
شرکتهای Seal
ایازی؛ در رابطه با شیوه خدماتدهی بیمه سایبری در دیگر کشورهای دنیا، بیان کرد: برخی شرکتها در دنیا وجود دارند که به آنها گفته میشود شرکتهای Seal. این شرکتها باید تأیید کنند که شرکتهای فعال در حوزه فناوری اطلاعات و استارتآپها براساس مقررات حریمخصوصی، حفاظت دادهها و امنیت سایبری فعالیت میکنند یا خیر. اگر شرکت مورد نظر براساس مقررات و قوانین عمل کند، Seal دریافت میکند؛ به این معنا که تأییدیه میگیرد. بر این اساس شرکتهای بیمه نیز خدمات بیمه سایبری را به شرکت مربوطه ارائه میکنند. او افزود: شرکت بیمه نیز به دلیل اینکه مقررات مربوطه و امنیت دادهها رعایت شده و احتمال آسیب به دادهها به حداقل رسیده است، خدمات بیمه سایبری را به شرکت مورد تأیید و دارای Seal ارائه میکند. در واقع Seal به نوعی مانند نماد اعتماد است که فرآیندهای استاندارد امنیت سایبری شرکتها را تأیید میکند.
قوانین حفاظت از کاربران در اولویت از بیمه سایبری
از سویی تدوین قانون حفاظت از دادههای شخصی نیز یکی از پیشنیازهای امنیت سایبری است، پیش از بیمه سایبری باید قانون GDPR وضع شود تا شرکتها موظف به حفاظت از حریمخصوصی و اطلاعات کاربران شوند. علی کیاییفر؛ کارشناس و مشاور امنیت سایبری، گفت: بیمه سایبری در دنیا مطرح شده اما در ایران هنوز اجرایی نشده است. البته چند شرکت بیمه در حال پیگیری این نوع از بیمه هستند و بیمهمرکزی با همکاری وزارت ارتباطات نیز در حال تدوین دستورالعمل مربوط به آن است. اما بیمه سایبری به این مفهوم که برای از بین رفتن دادهها به مشتریان خدماترسانی کند در مستندات مربوطه مطرح نشده است. او افزود: در دستورالعمل مربوطه صرفاً بحث جبران خسارت برای تجهیزات مطرح است و نه برای اطلاعات. برای اموال نامشهود تاکنون خسارتی در نظر گرفته نشده و هیچ مادهای در مورد آن مطرح نشده است. در دستورالعمل بیمهمرکزی نیز اگر تجهیزات دیتاسنتر دچار سانحه شده یا در اثر حملات سایبری آسیب ببیند، مشمول جبران خسارت میشود. کیاییفر؛ گفت: در رابطه با بحث نرمافزاری و اطلاعات، در صورت فاش شدن اطلاعات مشتریان و یا از بین رفتن اموال نامشهود حتی وارد فاز مطالعاتی نشدهاند و کاملاً مسکوت مانده است. او دلیل این امر را به بلوغ نرسیدن صنعت بیمه نامید و گفت: هنوز هیچگونه ارزشگذاری برای اطلاعات صورت نگرفته است. هیچ فرآیندی برای ارزشگذاری دادهها و نرمافزارها و اموال نامشهود به منظور جبران خسارت از طریق بیمه وجود ندارد. پیش از ارائه بیمه سایبری، باید قانونی مانند GDPR تصویب شود تا از حقوق مردم و کاربران دفاع شود. کیاییفر؛ گفت: در صورت تصویب قانون حفاظت از دادههای شخصی جرایم سنگینی برای عدم حفاظت از اطلاعات مشتریان وضع میشود و شرکتها موظف میشوند از اطلاعات و حریمخصوصی کاربران حفاظت کنند. اگر این قانون وجود داشته باشد، شرکتها برای بیمه سایبری درخواست میدهند تا در صورت حملات سایبری مجبور نشوند جریمههای سنگین پرداخت کنند.
به گفته کارشناسان مزایا و معایب اینترنت بر مخاطرات ناشی از آن پیشی میگیرد و همزمان هم تهدیدات سایبری افزایش مییابد بنابراین بیمه سایبری میتواند بهعنوان یکی از راهکارهای افزایش امنیت سایبری استفاده شود. به گزارش ایسنا، امنیت سایبری اجتماعی، یک حوزه علمی نوظهور است که متمرکز بر علوم سایبر و علوم اجتماعی و برای […]
دیدگاه بسته شده است.