به گزارش ایران دکونومی، در پی این حملات سایبری، وزارت ارتباطات و بیمه مرکزی، مشترکاً در حال تدوین آیین نامه‌ای برای بیمه سایبری هستند. این طرح دو سال است که از طرف بیمه مرکزی مطرح شده، اما چالش اصلی اینجاست که چگونه دارایی‌های نامشهود یا همین اطلاعات، ارزشگذاری شوند؟

از نظر کارشناسان مشخص نبودن فرایند ارزش‌گذاری دارایی‌های نامشهود، تصویب نشدن قانون GDPR یا قانون حفاظت از داده‌های شخصی از جمله موانع اصلی اجرایی نبودن بیمه سایبری است.

وضع قوانین محکم، جهت حفظ حریم شخصی کاربران و افزایش امنیت سایبری در دنیا اتفاق افتاده است. براساس این قوانین شرکت‌ها موظف می‌شوند، در صورت عدم حفاظت از اطلاعات کاربران و رعایت نکردن امنیت سایبری، جریمه‌های سنگینی بپردازند. در ایران اما خلا قانونی، خطر دسترسی به اطلاعات را افزایش می‌دهد.

نهادهای کشور در معرض حملات سایبری و هک شدن قرار دارند

پژوهشگران حوزه فناوری اطلاعات و ارتباطات معتقدند هیچ فرآیندی برای ارزش‌گذاری اموال نامشهود به منظور پوشش بیمه و دریافت خسارت وجود ندارد و آیین‌نامه هیئت وزیران تنها مربوط به ارزش‌گذاری برای فعالیت در بازار سرمایه است. همین سبب شده تا شرکت‌های بیمه ایرانی چنین سرویس‌هایی ارائه ندهند.

رضا ایازی، در گفتگو با پیوست در این خصوص گفت: «وزارت ارتباطات با همکاری بیمه مرکزی در صدد تهیه آیین‌نامه‌ای برای بیمه سایبری است. البته بیمه امنیت سایبری نیز مانند دیگر خدمات بیمه‌ای باید توسط شرکت‌های بیمه عرضه شود، اما هنوز مورد پذیرش آنها قرار نگرفته است. در بسیاری از کشورهای دنیا از جمله آمریکا و کانادا خدمات بیمه سایبری ارائه می‌شود، اما در ایران هنوز سازوکاری برای آن شکل نگرفته و خدمات آن نیز ارائه نمی‌شود.»

ایازی توضیح داد: مشکل اصلی برای حفاظت از حریم خصوصی و اطلاعات کاربران در مقابل حملات سایبری، نبود سیستم‌های بومی امنیتی است. مشکل اصلی اینجاست که سیستمی که برای مقابله با حملات سایبری استفاده می‌کنیم همان سیستم و ابزارهایی است که در تمام دنیا مورد استفاده قرار می‌گیرد و هیچ سیستم و ابزار بومی برای حفاظت اطلاعات و امنیت سایبری نداریم. شرکت‌های ایرانی همان ابزارهای بین‌المللی را ارائه می‌کنند، تنها پوسته این ابزارها را تغییر داده و به عنوان نسخه بومی عرضه می‌کنند.»

بیمه سایبری

خسارت وارده در برابر دارایی‌های نامشهود

به گفته ایازی، این نوع بیمه مختص شرکت‌هاست. در همین راستا ممکن است حملات سایبری توسط رقبا و یا به هدف از کارانداختن و کاهش عملکرد شرکت‌ها اتفاق بیفتد که می‌تواند تحت پوشش بیمه قرار گیرد. چنانچه اطلاعات مشتریان، اطلاعات مهم و حیاتی شرکت و دارایی‌های ارزشمند تحت حملات سایبری سرقت شوند، بیمه باید بر اساس ارزشی که این اطلاعات دارند، به آن شرکت خسارت پرداخت کند.

وی تشریح کرد: «به طور کلی روند پرداخت خسارت بیمه سایبری در دنیا به این گونه است که شرکت‌های بیمه‌ای دارایی‌های نامشهود شرکت‌ها را ارزش‌گذاری می‌کنند و براساس میزان ارزش دارایی‌های نامشهود در صورت حمله سایبری به شرکت مربوطه خسارت پرداخت می‌کنند. مثلاً دیتابیس سفر افراد به تپسی یا دیتای کاربران جزو دارایی‌های نامشهود تپسی است. اگر دارایی بر اثر حمله سایبری مخدوش نشده باشد و باوجود سرقت سایبری هنوز دسترسی به آن وجود داشته باشد، مشمول بیمه نمی‌شود. اما زمانی که کل دارایی از بین برود، شرکت بیمه نسبت به میزان ارزش دارایی سرقت شده خسارت پرداخت می‌کند.»

ایازی تاکید کرد: «در ایران یکی از مشکلات اصلی در ارتباط با بیمه سایبری، نحوه ارزش‌گذاری دارایی‌های نامشهود است. البته آیین‌نامه هیئت وزیران برای ارزش‌گذاری اموال نامشهود شرکت‌های فناوری موجود است که پلتفرم‌ها، کاربران و تجربه کاربری و داده‌ها مورد ارزش‌گذاری قرار می‌گیرند تا ارزش سهام شرکت در بازار سرمایه مشخص شود. اما این آیین‌نامه برای شرکت‌های بیمه‌ای کاربردی ندارد. ارائه خدمات بیمه سایبری سازوکاری نیاز دارد که در حال حاضر وجود ندارد.»

البته به گفته وی، شرکت‌های بیمه‌ای باید طی بررسی به این نتیجه برسند که این مشکلات نقص فنی بوده یا حملات سایبری.

بیمه سایبری

اولویت قوانین در بیمه سایبری

از سویی تدوین قانون حفاظت از داده‌های شخصی نیز یکی از پیش‌نیازهای امنیت سایبری است، پیش از بیمه سایبری باید قانون GDPR وضع شود تا شرکت‌ها موظف به حفاظت از حریم خصوصی و اطلاعات کاربران شوند.

علی کیایی فر، کارشناس و مشاور امنیت سایبری در گفتگو با پیوست گفته است: «بیمه سایبری در دنیا مطرح شده، اما در ایران هنوز اجرایی نشده است. البته چند شرکت بیمه در حال پیگیری این نوع از بیمه هستند و بیمه مرکزی با همکاری وزارت ارتباطات نیز در حال تدوین دستورالعمل مربوط به آن است. اما بیمه سایبری به این مفهوم که برای از بین رفتن داده‌ها به مشتریان خدمات رسانی کند در مستندات مربوطه مطرح نشده است.»

به گفته وی، در دستوالعمل آن‌ها، جبران خسارت تجهیزات اهمیت دارد، نه اطلاعات؛ چرا که تاکنون ماده‌ای در مورد اموال نامشهود مطرح نشده و طبق دستوالعمل بیمه مرکزی اگر در طی حملات سایبری، دیتاسنتر آسیب ببیند، شامل جبران خسارت است. همچنین در خصوص بحث نرم‌افزار و اطلاعات و فاش شدن اطلاعات کاربران، هنوز فاز مطالعاتی نیز صورت نگرفته است.

وی معتقد است صنعت بیمه هنوز به بلوغ نرسیده و هنوز ارزشگذاری برای اطلاعات شرکت‌ها انجام نمی‌شود. هیچ فرآیندی برای ارزش‌گذاری داده‌ها و نرم‌افزارها و اموال نامشهود به منظور جبران خسارت از طریق بیمه وجود ندارد. پیش از ارائه بیمه سایبری، باید قانونی مانند GDPR تصویب شود تا از حقوق مردم و کاربران دفاع شود.

لینک کوتاه :
اشتراک گذاری : Array
برچسب ها :