صدور راهنمای بیمه سایبری در رگولاتورهای مالی آمریکا

به گزارش کارگروه بین الملل سایبربان؛ راهنمای صادر شده برای موسسات و سازمان های مالی کانادا در سایر صنایع نیز مفید است.

خطرات سایبری

به گفته کارشناسان امنیتی، خطرات سایبری باعث آسیب هایی (مانند خسارات تجاری، مالی، آسیب شناختی، افشای راز تجاری و دیگر آسیب های رقابتی) و هزینه ها/مسئولیت ها (مانند واکنش به حوادث و هزینه های بازسازی، هزینه های اقدامات قانونی، و بدهی به سرمایه گذاران، شرکا، مشتریان و رگولاتورها) هستند که به دلیل شکست یا نقض سیستم های فناوری اطلاعات مورد استفاده در سازمان ها یا شرکای تجاری (به عنوان مثال تامین کنندگان و ارائه دهندگان خدمات) به وجود می آیند و شامل دسترسی غیر مجاز ، استفاده، افشا، اصلاح یا حذف داده ها در کنترل سازمان می باشند. خطرات سایبری شاید از منابع داخلی (مثلاً کارمندان، کارکنان قراردادی و خرابی سیستم) یا منابع خارجی (همچون دولت ها، تروریست ها، رقبا، هکرها، کلاهبرداران و اقدامات طبیعی) ناشی شود. 

خطرات سایبری، صرف نظر از ابعاد سازمان یا صنعت، معطوف به هر سازمانی است زیرا تقریباً تمام سازمان ها از فناوری اطلاعات و داده ها در زمینه تجاری استفاده می کنند. اینگونه خطرات از نظر فرکانس، شدت و عواقب مضر در نتیجه شرایط مختلف از جمله افزایش استفاده و وابستگی به فناوری اطلاعات و داده ها، افزایش پیچیدگی حملات سایبری، و تحول الزامات قانونی افزایش می یابند. مفسران گفته اند که فقط دو نوع سازمان وجود دارند : آنها که هک شده و متوجه می شوند؛ و سازمان هایی که پس از هک شدن متوجه آن نمی شوند.

بیمه سایبری

بیمه راهی موثر برای کمک به مدیریت خطرات سایبری است. سیاست های سنتی بیمه مانند مسئولیت تجاری، اختلال تجاری و سیاست های جنایات تجاری، به دلیل زبان سیاسی محدود یا بی عدالتی، اغلب زیان و بدهی های ناشی از حوادث سایبری را پوشش نمی دهد. اکثر شرکت های بیمه، سیاست های بیمه طراحی شده برای محافظت در برابر ضرر و وام های ناشی از حوادث سایبری را پیشنهاد می دهند. این محافظت پیشنهادی، با زبان دقیق سیاست (به عنوان مثال تعاریف، شرح پوشش، محدودیت ها و استثنائات) مطابق با اصول قانونی موجود تعریف شده است. دادگاه های کانادایی اخیراً این موضوع را در نظر گرفته اند.

راهنمای FFIEC

شورای بررسی نهادهای مالی فدرال ایالات متحده (FFIEC) به نمایندگی از اعضای خود (شامل روسای هیئت مدیره سیستم فدرال پشتیبان، اداره حفاظت مالی مصرف کننده، شرکت بیمه سپرده های فدرال، اداره کل اعتبار ملی، دفتر حسابرسی ارزی و کمیته ارتباطات دولتی) در ماه آوریل سال جاری بیانیه ای مشترک با عنوان بیمه سایبری و نقش بالقوه آن در برنامه های مدیریت ریسک برای ارائه راهنمایی در مورد نقش بالقوه بیمه سایبری در برنامه های مدیریت ریسک سایبری موسسات مالی صادر کرد. 

این بیانیه تاکید می کند که بیمه سایبری نیاز موسسات مالی را برای روش های مدیریت ریسک عملیاتی حذف نمی کند و در مورد وابستگی بیش از حد به بیمه به عنوان یک پشتیبان هشدار می دهد. براساس این بیانیه، در حالی که بیمه سایبری شاید جزء یک استراتژی مدیریت ریسک گسترده تر سایبری باشد، سیستم موثر کنترل ها، دفاع اصلی در برابر تهدیدات سایبری محسوب می شود. 

در زیر به خلاصه ای از برخی اطلاعات و راهنمایی های مهم در این بیانیه پرداخته شده است :

تمامی موسسات مالی تحت تأثیر افزایش و پیچیدگی وقایع سایبری قرار دارند. این موسسات با انواع خطرات سایبری از جمله خطرات مالی، عملیاتی، قانونی، استراتژیکی و اعتباری ناشی از تقلب، از دست رفتن داده ها یا اختلال در خدمات مواجه هستند. 

سیاست های سنتی بیمه مانند مسئولیت عمومی یا بیمه تعلیق تجاری شاید پوششی موثر برای خطرات سایبری نباشد. اعضای شورای بررسی نهادهای مالی فدرال ایالات متحده به مؤسسات مالی برای حفظ بیمه سایبری نیاز ندارند. اگرچه بیمه سایبری شاید برخی زیان های مالی ناشی از حوادث سایبری مستور شده با سیاست های سنتی بیمه را جبران کند.

بیمه سایبری در واکنش به تغییر خطرات سایبری در حال رشد بوده و گزینه های پوشش بیمه سایبری بسیار متفاوت هستند. درک گستره پوشش ارائه شده توسط یک سیاست بیمه سایبری برای تصمیم گیری مدیریت ریسک مشخص ضروری است. 

اگر یک موسسه مالی در نظر دارد که بیمه سایبری برای خودش بخرد، ارزیابی مزایای بیمه سایبری باید شامل تجزیه و تحلیل برنامه های مدیریت ریسک فناوری اطلاعات و امنیت سایبری موجود در سازمان برای ارزیابی تاثیرات مالی بالقوه خطر باقی مانده باشد.

تصمیم موسسه مالی در مورد خرید بیمه سایبری باید با بخش های مناسب آن موسسه (مثلاً قانونی، مدیریت ریسک سازمانی، مدیریت ریسک عملیاتی، مالی، فناوری اطلاعات و مدیریت امنیت اطلاعات) هماهنگ بوده و به سطح مناسب مدیریتی گزارش شود.

تصمیم موسسه مالی برای خرید بیمه سایبری باید با اقداماتی معقول و با کمک مشاوران خارجی (مانند وکلا و کارگزاران بیمه) به منظور بررسی مزایای بالقوه و هزینه های گزینه های پوششی بیمه انجام شود. این اقدامات معقول باید شامل این موارد باشد : (1) بررسی پوشش بیمه موجود یا پیشنهادی برای شناسایی شکاف ها؛ (2) درک مدت، پوشش، استثنا و هزینه های سیاست بیمه؛ (3) در نظر گرفتن مزایا و هزینه های بالقوه برای ارزیابی تناسب پوشش بیمه؛ (4) تشخیص اینکه اصطلاحات و زبان سیاست شاید استاندارد نباشد و پوشش در میان ارائه دهندگان بیمه موسسات متفاوت باشد؛ (5) بررسی نحوه اجرای پوشش، انواع حوادث سایبری محروم از پوشش و تأثیر محدودیت های فرعی در کل پوشش؛ (6) ارزیابی تقویت مالی و ادعای پرداخت تاریخ شرکت های بیمه در ارائه پوشش و توانایی آنها برای انجام تعهدات سیاسی؛ (7) ارزیابی چگونگی تناسب پوشش بیمه با استراتژی های تجاری موسسه، برنامه های بیمه و برنامه های مدیریت ریسک؛ و (8) درک شرایط مدیریت و کنترل ریسک مشخص شده در خط مشی بیمه و اطمینان از رعایت شرایط توسط موسسه.

موسسه مالی با دخالت مناسب هیئت مدیره باید سالانه پوشش بیمه سایبری موجود خود (مثل هزینه ها و مزایا، کفایت و اثربخشی) مربوط به تهدیدات و ریسک سایبری، در دسترس بودن سایر محصولات بیمه و انتظارات موسسه، ارزیابی کند.

نظرات

بیمه می تواند راهی موثر برای کمک به مدیریت خطرات سایبری در سازمان ها باشد. با این حال، بیمه تنها یک جزء از یک برنامه مدیریت ریسک سایبری است و جایگزین شیوه های مناسب مدیریت ریسک سایبری عملیاتی محسوب نمی شود. علاوه بر این، عدم ایجاد و پیروی از شیوه های مناسب مدیریت ریسک سایبری ممکن است باعث نقض شرایط پوشش بیمه نامه ای باشد.

سازمانی که بیمه سایبری خریداری یا بیمه سایبری فعلی خود را ارزیابی می کند، باید راهنمای شورای بررسی نهادهای مالی فدرال ایالات متحده را در نظر گرفته و با کمک مشاوره مناسب، تصمیم مناسب اتخاذ نماید. علاوه بر این، سازمان باید با دقت روند تصمیم گیری خود را برای مرجع آینده، از جمله استفاده از تحقیقات و پرونده های قانونی، مستند کند.