امکان داشتن بیمه سایبری در کشور
با توجه به حملات سایبری اخیر و دسترسی غیرمجاز مهاجمین به اطلاعات سازمانها، این فکر شکل میگیرد که آیا شرکتهای بیمهای یا اینشورتکها میتوانند خدماتی برای اطلاعات سازمانها ارائه دهند و اطلاعات را به عنوان دارایی نامشهود شرکتها بیمه کنند؟
به گزارش ایران دکونومی، در پی این حملات سایبری، وزارت ارتباطات و بیمه مرکزی، مشترکاً در حال تدوین آیین نامهای برای بیمه سایبری هستند. این طرح دو سال است که از طرف بیمه مرکزی مطرح شده، اما چالش اصلی اینجاست که چگونه داراییهای نامشهود یا همین اطلاعات، ارزشگذاری شوند؟
از نظر کارشناسان مشخص نبودن فرایند ارزشگذاری داراییهای نامشهود، تصویب نشدن قانون GDPR یا قانون حفاظت از دادههای شخصی از جمله موانع اصلی اجرایی نبودن بیمه سایبری است.
وضع قوانین محکم، جهت حفظ حریم شخصی کاربران و افزایش امنیت سایبری در دنیا اتفاق افتاده است. براساس این قوانین شرکتها موظف میشوند، در صورت عدم حفاظت از اطلاعات کاربران و رعایت نکردن امنیت سایبری، جریمههای سنگینی بپردازند. در ایران اما خلا قانونی، خطر دسترسی به اطلاعات را افزایش میدهد.
پژوهشگران حوزه فناوری اطلاعات و ارتباطات معتقدند هیچ فرآیندی برای ارزشگذاری اموال نامشهود به منظور پوشش بیمه و دریافت خسارت وجود ندارد و آییننامه هیئت وزیران تنها مربوط به ارزشگذاری برای فعالیت در بازار سرمایه است. همین سبب شده تا شرکتهای بیمه ایرانی چنین سرویسهایی ارائه ندهند.
رضا ایازی، در گفتگو با پیوست در این خصوص گفت: «وزارت ارتباطات با همکاری بیمه مرکزی در صدد تهیه آییننامهای برای بیمه سایبری است. البته بیمه امنیت سایبری نیز مانند دیگر خدمات بیمهای باید توسط شرکتهای بیمه عرضه شود، اما هنوز مورد پذیرش آنها قرار نگرفته است. در بسیاری از کشورهای دنیا از جمله آمریکا و کانادا خدمات بیمه سایبری ارائه میشود، اما در ایران هنوز سازوکاری برای آن شکل نگرفته و خدمات آن نیز ارائه نمیشود.»
ایازی توضیح داد: مشکل اصلی برای حفاظت از حریم خصوصی و اطلاعات کاربران در مقابل حملات سایبری، نبود سیستمهای بومی امنیتی است. مشکل اصلی اینجاست که سیستمی که برای مقابله با حملات سایبری استفاده میکنیم همان سیستم و ابزارهایی است که در تمام دنیا مورد استفاده قرار میگیرد و هیچ سیستم و ابزار بومی برای حفاظت اطلاعات و امنیت سایبری نداریم. شرکتهای ایرانی همان ابزارهای بینالمللی را ارائه میکنند، تنها پوسته این ابزارها را تغییر داده و به عنوان نسخه بومی عرضه میکنند.»
خسارت وارده در برابر داراییهای نامشهود
به گفته ایازی، این نوع بیمه مختص شرکتهاست. در همین راستا ممکن است حملات سایبری توسط رقبا و یا به هدف از کارانداختن و کاهش عملکرد شرکتها اتفاق بیفتد که میتواند تحت پوشش بیمه قرار گیرد. چنانچه اطلاعات مشتریان، اطلاعات مهم و حیاتی شرکت و داراییهای ارزشمند تحت حملات سایبری سرقت شوند، بیمه باید بر اساس ارزشی که این اطلاعات دارند، به آن شرکت خسارت پرداخت کند.
وی تشریح کرد: «به طور کلی روند پرداخت خسارت بیمه سایبری در دنیا به این گونه است که شرکتهای بیمهای داراییهای نامشهود شرکتها را ارزشگذاری میکنند و براساس میزان ارزش داراییهای نامشهود در صورت حمله سایبری به شرکت مربوطه خسارت پرداخت میکنند. مثلاً دیتابیس سفر افراد به تپسی یا دیتای کاربران جزو داراییهای نامشهود تپسی است. اگر دارایی بر اثر حمله سایبری مخدوش نشده باشد و باوجود سرقت سایبری هنوز دسترسی به آن وجود داشته باشد، مشمول بیمه نمیشود. اما زمانی که کل دارایی از بین برود، شرکت بیمه نسبت به میزان ارزش دارایی سرقت شده خسارت پرداخت میکند.»
ایازی تاکید کرد: «در ایران یکی از مشکلات اصلی در ارتباط با بیمه سایبری، نحوه ارزشگذاری داراییهای نامشهود است. البته آییننامه هیئت وزیران برای ارزشگذاری اموال نامشهود شرکتهای فناوری موجود است که پلتفرمها، کاربران و تجربه کاربری و دادهها مورد ارزشگذاری قرار میگیرند تا ارزش سهام شرکت در بازار سرمایه مشخص شود. اما این آییننامه برای شرکتهای بیمهای کاربردی ندارد. ارائه خدمات بیمه سایبری سازوکاری نیاز دارد که در حال حاضر وجود ندارد.»
البته به گفته وی، شرکتهای بیمهای باید طی بررسی به این نتیجه برسند که این مشکلات نقص فنی بوده یا حملات سایبری.
اولویت قوانین در بیمه سایبری
از سویی تدوین قانون حفاظت از دادههای شخصی نیز یکی از پیشنیازهای امنیت سایبری است، پیش از بیمه سایبری باید قانون GDPR وضع شود تا شرکتها موظف به حفاظت از حریم خصوصی و اطلاعات کاربران شوند.
علی کیایی فر، کارشناس و مشاور امنیت سایبری در گفتگو با پیوست گفته است: «بیمه سایبری در دنیا مطرح شده، اما در ایران هنوز اجرایی نشده است. البته چند شرکت بیمه در حال پیگیری این نوع از بیمه هستند و بیمه مرکزی با همکاری وزارت ارتباطات نیز در حال تدوین دستورالعمل مربوط به آن است. اما بیمه سایبری به این مفهوم که برای از بین رفتن دادهها به مشتریان خدمات رسانی کند در مستندات مربوطه مطرح نشده است.»
به گفته وی، در دستوالعمل آنها، جبران خسارت تجهیزات اهمیت دارد، نه اطلاعات؛ چرا که تاکنون مادهای در مورد اموال نامشهود مطرح نشده و طبق دستوالعمل بیمه مرکزی اگر در طی حملات سایبری، دیتاسنتر آسیب ببیند، شامل جبران خسارت است. همچنین در خصوص بحث نرمافزار و اطلاعات و فاش شدن اطلاعات کاربران، هنوز فاز مطالعاتی نیز صورت نگرفته است.
وی معتقد است صنعت بیمه هنوز به بلوغ نرسیده و هنوز ارزشگذاری برای اطلاعات شرکتها انجام نمیشود. هیچ فرآیندی برای ارزشگذاری دادهها و نرمافزارها و اموال نامشهود به منظور جبران خسارت از طریق بیمه وجود ندارد. پیش از ارائه بیمه سایبری، باید قانونی مانند GDPR تصویب شود تا از حقوق مردم و کاربران دفاع شود.