آیا امکان اجرای بیمه سایبری در کشور وجود دارد؟

به گزارش پیوست، هر چند وزارت ارتباطات و بیمه‌مرکزی به صورت مشترک به دنبال تدوین آیین‌نامه بیمه سایبری هستند و دو سال است که از اعلام برنامه بیمه مرکزی برای بیمه سایبری می‌گذرد اما آیا تا زمانی‌که امکان ارزش‌گذاری دارایی نامشهور فراهم نشود می‌‌توان شرکت‌های بیمه را ملزم به اجرایی کردن بیمه سایبری کرد؟

از نظر کارشناسان مشخص نبودن فرایند ارزش‌گذاری دارایی‌های نامشهود، تصویب نشدن قانون GDPR یا قانون حفاظت از داده‌های شخصی از جمله موانع اصلی اجرایی نبودن بیمه سایبری است.

مقررات سختگیرانه‌ای دررابطه با حفاظت از حریم شخصی کاربران و امنیت سایبری در دنیا مصوب شده که به موجب آنها شرکت‌ها در صورت رعایت نکردن امنیت سایبری و حفاظت از اطلاعات کاربران مکلف به پرداخت جریمه‌های سنگین می‌شوند. اما در ایران خلاهای قانونی حفاظت از داده‌ها موجب شده امنیت اطلاعات و حریم شخصی کاربران به خطر بیفتد.

فرآیند ارزش‌گذاری وجود ندارد

یک پژوهشگر حوزه ارتباطات و فناوری اطلاعات معتقد است هیچ فرآیندی برای ارزش‌گذاری اموال نامشهود به منظور پوشش بیمه و دریافت خسارت وجود ندارد و آیین‌نامه هیات وزیران تنها مربوط به ارزش‌گذاری برای فعالیت در بازار سرمایه است. به همین منظور شرکت‌های بیمه در این زمینه خدماتی ارائه نکرده‌اند.

رضا ایازی به «پیوست» گفت: وزارت ارتباطات با همکاری بیمه مرکزی در صدد تهیه آیین‌نامه‌ای برای بیمه سایبری است. البته بیمه امنیت سایبری نیز مانند دیگر خدمات بیمه‌ای باید توسط شرکت‌های بیمه عرضه شود اما هنوز مورد پذیرش آنها قرار نگرفته است. در بسیاری از کشورهای دنیا از جمله آمریکا و کانادا خدمات بیمه سایبری ارائه می‌شود اما در ایران هنوز سازوکاری برای آن شکل نگرفته و خدمات آن نیز ارائه نمی‌شود.

او افزود: مشکل اصلی برای حفاظت از حریم خصوصی و اطلاعات کاربران در مقابل حملات سایبری، نبود سیستم‌های بومی امنیتی است. مشکل اصلی اینجاست که سیستمی که برای مقابله با حملات سایبری استفاده می‌کنیم همان سیستم و ابزارهایی است که درتمام دنیا مورد استفاده قرار می‌گیرد و هیچ سیستم و ابزار بومی برای حفاظت اطلاعات و امنیت سایبری نداریم. شرکت‌های ایرانی همان ابزارهای بین‌المللی را ارائه می‌کنند، تنها پوسته این ابزارها را تغییر داده و به عنوان نسخه بومی عرضه می‌کنند.

ایازی گفت: از سویی دیگر ابزارهای بین‌المللی که استفاده می‌کنیم نیز به‌روزرسانی نمی‌شود یا با تاخیر به‌روزرسانی می‌شود. این مشکلات موجب می‌شود که شرکت‌های بیمه برای ارائه خدمات و بیمه سایبری دچار تردید شوند.

او با اشاره به حمله سایبری به تپسی که اخیرا صورت گرفته بود، بیان کرد: به طور مثل زمانی که تپسی هک شد و اطلاعات کاربران لو رفت، مدیرعامل این شرکت به راحتی آن‌را توئیت کرد. این در حالی است که اگر تپسی در آمریکا فعالیت می‌کرد تاکنون ورشکست شده بود، چراکه برطبق مقررات امنیت سایبری و حفاظت حریم شخصی باید خسارت بالایی را پرداخت می‌کرد. در آمریکا قوانین سختگیرانه‌ای نسبت به امنیت سایبری و حفاظت حریم شخصی وجود دارد و شرکتی که آن‌را رعایت نکند، باید خسارت پرداخت کند. اما در ایران حملات سایبری هزینه‌ای برای مالکان شرکت ندارد.

خسارت بر اساس میزان ارزش اموال نامشهود

ایازی گفت: بیمه سایبری بیشتر مربوط به شرکت‌ها است. ممکن است حملات سایبری توسط شرکت‌های رقیب یا به هدف از کارانداختن و کاهش عملکرد شرکت مربوطه رخ دهد که این موارد می‌تواند مشمول بیمه شود. اطلاعات حیاتی شرکت، محصولات و دارایی‌های ارزشمند یا اطلاعات مشتریان اگر سرقت شوند، شرکت بیمه بر اساس میزان ارزش این اطلاعات به شرکت مربوطه خسارت پرداخت می‌کند.

او تاکید کرد: به طور کلی روند پرداخت خسارت بیمه سایبری در دنیا به این گونه است که شرکت‌های بیمه‌ای دارایی‌های نامشهود شرکت‌ها را ارزش‌گذاری می‌کنند و براساس میزان ارزش دارایی‌های نامشهود در صورت حمله سایبری به شرکت مربوطه خسارت پرداخت می‌کنند. مثلا دیتابیس سفر افراد به تپسی یا دیتای کاربران جزو دارایی‌های نامشهود تپسی است. اگر دارایی بر اثر حمله سایبری مخدوش نشده باشد و باوجود سرقت سایبری هنوز دسترسی به آن وجود داشته باشد، مشمول بیمه نمی‌شود. اما زمانی که کل دارایی از بین برود، شرکت بیمه نسبت به میزان ارزش دارایی سرقت شده خسارت پرداخت می‌کند.

این پژوهشگر حوزه ارتباطات تاکید کرد: در ایران یکی از مشکلات اصلی در ارتباط با بیمه سایبری، نحوه ارزش‌گذاری دارایی‌های نامشهود است. البته آیین‌نامه هیات وزیران برای ارزش‌گذاری اموال نامشهود شرکت‌های فناوری موجود است که پلتفرم‌ها، کاربران و تجربه کاربری و داده‌ها مورد ارزش‌گذاری قرار می‌گیرند تا ارزش سهام شرکت در بازار سرمایه مشخص شود. اما این آیین‌نامه برای شرکت‌های بیمه‌ای کاربردی ندارد. ارائه خدمات بیمه سایبری سازوکاری نیاز دارد که در حال حاضر وجود ندارد.

او معتقد است شرکت‌های بیمه‌ای باید بررسی کنند که مشکلات و اختلالات به‌وجود آمده برای شرکت‌ها براثر حمله سایبری بوده یا نقص فنی. ایازی گفت: مثلا در اولین روز مدارس تپسی دوساعت از کار افتاد. مدیرعامل این شرکت می‌تواند ادعا کند که مورد حمله سایبری قرار گرفته است. شرکت بیمه باید کارشناسی ارسال کند تا مشخص شود ادعای این شرکت صحیح بوده یا خیر.

شرکت‌های Seal

ایازی در رابطه با شیوه خدمات‌دهی بیمه سایبری در دیگر کشورهای دنیا، بیان کرد: برخی شرکت‌ها در دنیا وجود دارند که به آنها گفته می‌شود شرکت‌های Seal.  این شرکت‌ها باید تایید کنند که شرکت‌های فعال در حوزه فناوری اطلاعات و استارت‌آپ‌ها بر اساس مقررات حریم خصوصی، حفاظت داده‌ها و امنیت سایبری فعالیت می‌کنند یا خیر. اگر شرکت مورد نظر بر اساس مقررات و قوانین عمل کند، Seal دریافت می‌کند؛ به این معنا که تاییدیه می‌گیرد. بر این اساس شرکت‌های بیمه نیز خدمات بیمه سایبری را به شرکت مربوطه ارائه می‌کنند.

او افزود: شرکت بیمه نیز به دلیل اینکه مقررات مربوطه و امنیت داده‌ها رعایت شده و احتمال آسیب به داده‌ها به حداقل رسیده است، خدمات بیمه سایبری را به شرکت مورد تایید و دارای Seal ارائه می‌کند. در واقع Seal به نوعی مانند نماد اعتماد است که فرآیندهای استاندارد امنیت سایبری شرکت‌ها را تایید می‌کند.

قوانین حفاظت از کاربران در اولویت از بیمه سایبری

از سویی تدوین قانون حفاظت از داده‌های شخصی نیز یکی از پیش‌نیازهای امنیت سایبری است،پیش از بیمه سایبری باید قانون GDPR وضع شود تا شرکت‌ها موظف به حفاظت از حریم خصوصی و اطلاعات کاربران شوند.

علی کیایی فر، کارشناس و مشاور امنیت سایبری به «پیوست» گفت: بیمه سایبری در دنیا مطرح شده اما در ایران هنوز اجرایی نشده است. البته چند شرکت بیمه در حال پیگیری این نوع از بیمه هستند و بیمه مرکزی با همکاری وزارت ارتباطات نیز در حال تدوین دستورالعمل مربوط به آن است. اما بیمه سایبری به این مفهوم که برای از بین رفتن داده‌ها به مشتریان خدمات رسانی کند در مستندات مربوطه مطرح نشده است.

او افزود: در دستورالعمل مربوطه صرفا بحث جبران خسارت برای تجهیزات مطرح است و نه برای اطلاعات. برای اموال نامشهود تاکنون خسارتی در نظر گرفته نشده و هیچ ماده‌ای در مورد آن مطرح نشده است. در دستورالعمل بیمه مرکزی نیز اگر تجهیزات دیتاسنتر دچار سانحه شده یا در اثر حملات سایبری آسیب ببیند، مشمول جبران خسارت می‌شود.

کیایی فر گفت: در رابطه با بحث نرم‌افزاری و اطلاعات، در صورت فاش شدن اطلاعات مشتریان و یا از بین رفتن اموال نامشهود حتی وارد فاز مطالعاتی نشده‌اند و کاملا مسکوت مانده است.

او دلیل این امر را به بلوغ نرسیدن صنعت بیمه نامید و گفت: هنوز هیچ‌گونه ارزش‌گذاری برای اطلاعات صورت نگرفته است. هیچ فرآیندی برای ارزش‌گذاری داده‌ها و نرم‌افزارها و اموال نامشهود به منظور جبران خسارت از طریق بیمه وجود ندارد. پیش از ارائه بیمه سایبری، باید قانونی مانند GDPR تصویب شود تا از حقوق مردم و کاربران دفاع شود.

کیایی فر گفت: در صورت تصویب قانون حفاظت از داده‌های شخصی جرایم سنگینی برای عدم حفاظت از اطلاعات مشتریان وضع می‌شود و شرکت‌ها موظف می‌شوند از اطلاعات و حریم خصوصی کاربران حفاظت کنند. اگر این قانون وجود داشته باشد، شرکت‌ها برای بیمه سایبری درخواست می‌دهند تا در صورت حملات سایبری مجبور نشوند جریمه‌های سنگین پرداخت کنند.