خسارت وارد شده به کسانی که اطلاعاتشان از طریق دسترسی غیرمجاز به سایتهای دولتی و غیردولتی انتشار پیدا کرده است برعهده چه کسی است؟ آیا امکان بیمه سایبری و در نهایت ارزشگذاری دادههای ذخیره شده از سوی شرکتهای دولتی و غیردولتی وجود دارد و بیمهها میتوانند این دارایی نامشهود را ارزشگذاری و بیمه کنند.
هر چند وزارت ارتباطات و بیمه مرکزی به صورت مشترک به دنبال تدوین آییننامه بیمه سایبری هستند و دو سال است که از اعلام برنامه بیمه مرکزی برای بیمه سایبری میگذرد اما آیا تا زمانی که امکان ارزشگذاری دارایی نامشهور فراهم نشود میتوان شرکتهای بیمه را ملزم به اجرایی کردن بیمه سایبری کرد؟
از نظر کارشناسان مشخص نبودن فرایند ارزشگذاری داراییهای نامشهود، تصویب نشدن قانون GDPR یا قانون حفاظت از دادههای شخصی از جمله موانع اصلی اجرایی نبودن بیمه سایبری است.
مقررات سختگیرانهای در رابطه با حفاظت از حریم شخصی کاربران و امنیت سایبری در دنیا مصوب شده که به موجب آنها شرکتها در صورت رعایت نکردن امنیت سایبری و حفاظت از اطلاعات کاربران مکلف به پرداخت جریمههای سنگین میشوند. اما در ایران خلاهای قانونی حفاظت از دادهها موجب شده امنیت اطلاعات و حریم شخصی کاربران به خطر بیفتد.
فرآیند ارزشگذاری وجود ندارد
یک پژوهشگر حوزه ارتباطات و فناوری اطلاعات معتقد است هیچ فرآیندی برای ارزشگذاری اموال نامشهود به منظور پوشش بیمه و دریافت خسارت وجود ندارد و آییننامه هیات وزیران تنها مربوط به ارزشگذاری برای فعالیت در بازار سرمایه است. به همین منظور شرکتهای بیمه در این زمینه خدماتی ارائه نکردهاند.
رضا ایازی به «پیوست» گفت: وزارت ارتباطات با همکاری بیمه مرکزی در صدد تهیه آییننامهای برای بیمه سایبری است. البته بیمه امنیت سایبری نیز مانند دیگر خدمات بیمهای باید توسط شرکتهای بیمه عرضه شود اما هنوز مورد پذیرش آنها قرار نگرفته است. در بسیاری از کشورهای دنیا از جمله آمریکا و کانادا خدمات بیمه سایبری ارائه میشود اما در ایران هنوز سازوکاری برای آن شکل نگرفته و خدمات آن نیز ارائه نمیشود.
او افزود: مشکل اصلی برای حفاظت از حریم خصوصی و اطلاعات کاربران در مقابل حملات سایبری، نبود سیستمهای بومی امنیتی است. مشکل اصلی اینجاست که سیستمی که برای مقابله با حملات سایبری استفاده میکنیم همان سیستم و ابزارهایی است که درتمام دنیا مورد استفاده قرار میگیرد و هیچ سیستم و ابزار بومی برای حفاظت اطلاعات و امنیت سایبری نداریم. شرکتهای ایرانی همان ابزارهای بینالمللی را ارائه میکنند، تنها پوسته این ابزارها را تغییر داده و به عنوان نسخه بومی عرضه میکنند.
ایازی گفت: از سویی دیگر ابزارهای بینالمللی که استفاده میکنیم نیز بهروزرسانی نمیشود یا با تاخیر بهروزرسانی میشود. این مشکلات موجب میشود که شرکتهای بیمه برای ارائه خدمات و بیمه سایبری دچار تردید شوند.
او با اشاره به حمله سایبری به تپسی که اخیرا صورت گرفته بود، بیان کرد: به طور مثل زمانی که تپسی هک شد و اطلاعات کاربران لو رفت، مدیرعامل این شرکت به راحتی آنرا توئیت کرد. این در حالی است که اگر تپسی در آمریکا فعالیت میکرد تاکنون ورشکست شده بود، چراکه برطبق مقررات امنیت سایبری و حفاظت حریم شخصی باید خسارت بالایی را پرداخت میکرد. در آمریکا قوانین سختگیرانهای نسبت به امنیت سایبری و حفاظت حریم شخصی وجود دارد و شرکتی که آنرا رعایت نکند، باید خسارت پرداخت کند. اما در ایران حملات سایبری هزینهای برای مالکان شرکت ندارد.
خسارت بر اساس میزان ارزش اموال نامشهود
ایازی گفت: بیمه سایبری بیشتر مربوط به شرکتها است. ممکن است حملات سایبری توسط شرکتهای رقیب یا به هدف از کارانداختن و کاهش عملکرد شرکت مربوطه رخ دهد که این موارد میتواند مشمول بیمه شود. اطلاعات حیاتی شرکت، محصولات و داراییهای ارزشمند یا اطلاعات مشتریان اگر سرقت شوند، شرکت بیمه بر اساس میزان ارزش این اطلاعات به شرکت مربوطه خسارت پرداخت میکند.
او تاکید کرد: به طور کلی روند پرداخت خسارت بیمه سایبری در دنیا به این گونه است که شرکتهای بیمهای داراییهای نامشهود شرکتها را ارزشگذاری میکنند و براساس میزان ارزش داراییهای نامشهود در صورت حمله سایبری به شرکت مربوطه خسارت پرداخت میکنند. مثلا دیتابیس سفر افراد به تپسی یا دیتای کاربران جزو داراییهای نامشهود تپسی است. اگر دارایی بر اثر حمله سایبری مخدوش نشده باشد و باوجود سرقت سایبری هنوز دسترسی به آن وجود داشته باشد، مشمول بیمه نمیشود. اما زمانی که کل دارایی از بین برود، شرکت بیمه نسبت به میزان ارزش دارایی سرقت شده خسارت پرداخت میکند.
این پژوهشگر حوزه ارتباطات تاکید کرد: در ایران یکی از مشکلات اصلی در ارتباط با بیمه سایبری، نحوه ارزشگذاری داراییهای نامشهود است. البته آییننامه هیات وزیران برای ارزشگذاری اموال نامشهود شرکتهای فناوری موجود است که پلتفرمها، کاربران و تجربه کاربری و دادهها مورد ارزشگذاری قرار میگیرند تا ارزش سهام شرکت در بازار سرمایه مشخص شود. اما این آییننامه برای شرکتهای بیمهای کاربردی ندارد. ارائه خدمات بیمه سایبری سازوکاری نیاز دارد که در حال حاضر وجود ندارد.
او معتقد است شرکتهای بیمهای باید بررسی کنند که مشکلات و اختلالات بهوجود آمده برای شرکتها براثر حمله سایبری بوده یا نقص فنی. ایازی گفت: مثلا در اولین روز مدارس تپسی دوساعت از کار افتاد. مدیرعامل این شرکت میتواند ادعا کند که مورد حمله سایبری قرار گرفته است. شرکت بیمه باید کارشناسی ارسال کند تا مشخص شود ادعای این شرکت صحیح بوده یا خیر.
شرکتهای Seal
ایازی در رابطه با شیوه خدماتدهی بیمه سایبری در دیگر کشورهای دنیا، بیان کرد: برخی شرکتها در دنیا وجود دارند که به آنها گفته میشود شرکتهای Seal. این شرکتها باید تایید کنند که شرکتهای فعال در حوزه فناوری اطلاعات و استارتآپها بر اساس مقررات حریم خصوصی، حفاظت دادهها و امنیت سایبری فعالیت میکنند یا خیر. اگر شرکت مورد نظر بر اساس مقررات و قوانین عمل کند، Seal دریافت میکند؛ به این معنا که تاییدیه میگیرد. بر این اساس شرکتهای بیمه نیز خدمات بیمه سایبری را به شرکت مربوطه ارائه میکنند.
او افزود: شرکت بیمه نیز به دلیل اینکه مقررات مربوطه و امنیت دادهها رعایت شده و احتمال آسیب به دادهها به حداقل رسیده است، خدمات بیمه سایبری را به شرکت مورد تایید و دارای Seal ارائه میکند. در واقع Seal به نوعی مانند نماد اعتماد است که فرآیندهای استاندارد امنیت سایبری شرکتها را تایید میکند.
قوانین حفاظت از کاربران در اولویت از بیمه سایبری
از سویی تدوین قانون حفاظت از دادههای شخصی نیز یکی از پیشنیازهای امنیت سایبری است،پیش از بیمه سایبری باید قانون GDPR وضع شود تا شرکتها موظف به حفاظت از حریم خصوصی و اطلاعات کاربران شوند.
علی کیایی فر، کارشناس و مشاور امنیت سایبری به «پیوست» گفت: بیمه سایبری در دنیا مطرح شده اما در ایران هنوز اجرایی نشده است. البته چند شرکت بیمه در حال پیگیری این نوع از بیمه هستند و بیمه مرکزی با همکاری وزارت ارتباطات نیز در حال تدوین دستورالعمل مربوط به آن است. اما بیمه سایبری به این مفهوم که برای از بین رفتن دادهها به مشتریان خدمات رسانی کند در مستندات مربوطه مطرح نشده است.
او افزود: در دستورالعمل مربوطه صرفا بحث جبران خسارت برای تجهیزات مطرح است و نه برای اطلاعات. برای اموال نامشهود تاکنون خسارتی در نظر گرفته نشده و هیچ مادهای در مورد آن مطرح نشده است. در دستورالعمل بیمه مرکزی نیز اگر تجهیزات دیتاسنتر دچار سانحه شده یا در اثر حملات سایبری آسیب ببیند، مشمول جبران خسارت میشود.
کیایی فر گفت: در رابطه با بحث نرمافزاری و اطلاعات، در صورت فاش شدن اطلاعات مشتریان و یا از بین رفتن اموال نامشهود حتی وارد فاز مطالعاتی نشدهاند و کاملا مسکوت مانده است.
او دلیل این امر را به بلوغ نرسیدن صنعت بیمه نامید و گفت: هنوز هیچگونه ارزشگذاری برای اطلاعات صورت نگرفته است. هیچ فرآیندی برای ارزشگذاری دادهها و نرمافزارها و اموال نامشهود به منظور جبران خسارت از طریق بیمه وجود ندارد. پیش از ارائه بیمه سایبری، باید قانونی مانند GDPR تصویب شود تا از حقوق مردم و کاربران دفاع شود.
کیایی فر گفت: در صورت تصویب قانون حفاظت از دادههای شخصی جرایم سنگینی برای عدم حفاظت از اطلاعات مشتریان وضع میشود و شرکتها موظف میشوند از اطلاعات و حریم خصوصی کاربران حفاظت کنند. اگر این قانون وجود داشته باشد، شرکتها برای بیمه سایبری درخواست میدهند تا در صورت حملات سایبری مجبور نشوند جریمههای سنگین پرداخت کنند.