خط پایان بیمه سایبری | امنیت حرفه ای


آیا بیمه سایبری ارزش افزایش هزینه را دارد؟ جان ورینگ، مدیر حساب، در شرکت سایبری می پرسد مارپیچ قرمز.

با وجود رسوایی های بزرگ هک که اخبار جهانی را به خود اختصاص داده است، بر کسی پوشیده نیست که جرایم سایبری در حال افزایش است. به دلیل دیجیتالی شدن سریع و پیشرفت های عمده در فناوری شبکه، ما بیشتر به دستگاه های خود وابسته شده ایم. این به نوبه خود، مجموعه ای از نقاط پایانی جدید را برای مجرمان ایجاد کرده است که می توانند هدف قرار دهند و منجر به افزایش بیش از دو برابری جرایم هک در سال منتهی به مارس 2022 در مقایسه با سال منتهی به مارس 2020 شده است.

نه تنها تعداد جرایم افزایش یافته، بلکه تأثیر این تخلفات نیز شدیدتر شده است. همانطور که در حمله اخیر به آرنولد کلارک مشاهده شد، مجرمان به حجم عظیمی از داده های شخصی شرکت ها، از جمله جزئیات بانکی و اسناد شناسایی دسترسی پیدا می کنند. شرکت‌هایی که زیرساخت ملی بریتانیا را تشکیل می‌دهند نیز توسط حملات سایبری فلج می‌شوند، مانند رویال میل، که پس از یک تخلف، اختلال شدیدی در قابلیت‌های ارسال به خارج از کشور خود دیده است.

به دلیل شدت بیشتر نقض‌ها، میانگین هزینه یک حمله در بریتانیا به بالاترین حد هفت ساله خود یعنی 4.56 میلیون پوند رسیده است که به نوبه خود تأثیر زیادی بر نرخ‌ها و الزامات بیمه سایبری داشته است. با افزایش فراوانی و ارزش پرداخت‌ها، قیمت بیمه سایبری نیز افزایش یافته است – به دنبال افزایش 102 درصدی در سه ماهه اول 66 درصد در سه ماهه سوم سال 2022.

و در حالی که سیاست‌ها البته بین بیمه‌گران متفاوت خواهد بود، چک لیستی از الزاماتی وجود دارد که سازمان‌ها باید به آن پایبند باشند تا پذیرفته شوند. دیگر انتظاری نیست که شرکت‌ها نشان دهند که اقدامات مناسبی برای محافظت از خود در برابر جرایم سایبری انجام داده‌اند، بلکه یک الزام است. و کسانی که نمی توانند ثابت کنند که راه حل های فنی و آموزش کافی برای ایمن سازی شبکه خود را ارائه کرده اند، از بیمه محروم می شوند یا در هنگام ادعا از پرداخت خودداری می کنند.

این امر در کنار افزایش تعداد معافیت‌های بیمه‌گران در مورد اینکه چه چیزی را پوشش می‌دهند و چه چیزی را پوشش نمی‌دهند، همراه است. یکی از برجسته‌ترین این موارد اخیراً تصمیم لویدز لندن برای عدم محافظت در برابر «حملات دولتی» بود، به این معنی که هرگونه حمله‌ای که یک شرکت بیمه می‌تواند ادعا کند با یک دولت-ملت مرتبط است، دیگر تحت پوشش قرار نخواهد گرفت.

برای مشاغل، این به چند سوال منجر شده است. در مرحله اول، شرایط لازم برای واجد شرایط بودن برای بیمه سایبری چیست و چه مواردی تحت پوشش قرار خواهد گرفت؟ و ثانیا، با توجه به سطح بالایی از امنیت که سازمان شما از طریق چک لیست الزامات به دست خواهد آورد – آیا هزینه بیمه واقعاً ارزش آن را دارد؟

آیا من واجد شرایط بیمه سایبری هستم؟

در سراسر هیئت مدیره بیمه به طور فزاینده ای چالش برانگیز می شود به دست گرفتن. نه تنها هزینه ها افزایش می یابد، بلکه الزامات پذیره نویسی بالاتر است و بررسی دقیق تری روی کاهش ریسک و بلوغ برنامه امنیتی انجام می شود.

بنابراین، برای اینکه کسب‌وکارها واجد شرایط بیمه سایبری باشند، باید نشان دهند که از قبل امنیت قوی دارند. در حالی که الزامات خاص برای بیمه سایبری متفاوت خواهد بود – بر اساس صنعت، بیمه‌گر، اندازه کسب‌وکار و نوع پوشش مورد نیاز – برخی از اقدامات امنیتی جهانی وجود دارد که هر کسب‌وکاری که به دنبال بیمه است، باید رعایت کند:

تشخیص و پاسخ نقطه پایانی (EDR) – با افزایش تعداد نقاط پایانی (از جمله لپ‌تاپ، تلفن همراه، تبلت و غیره)، تعداد نقاط ورود مجرمان نیز افزایش می‌یابد. EDR برای نظارت، کشف، بررسی و پاسخ به تهدیدات در سراسر شبکه ای از دستگاه های نقطه پایانی طراحی شده است و برای کسانی که به دنبال بیمه هستند تبدیل به یک ابزار ضروری می شود.
احراز هویت چند عاملی (MFA) – این مورد تقریباً ناگفته نماند، زیرا به بخشی رایج از عملیات تجاری روزمره تبدیل شده است، اما وجود MFA برای شبکه‌های تجاری، ایمیل‌ها و برنامه‌های کاربردی یکی دیگر از الزاماتی است که بیمه‌گران به دنبال آن هستند. برای.
پشتیبان‌گیری جداگانه – با پیشرفته‌تر شدن حملات، داشتن یک نسخه پشتیبان از داده‌ها دیگر کافی نیست، زیرا به طور بالقوه می‌تواند به خطر بیفتد. داشتن چندین نسخه پشتیبان، در مکان های مختلف، یکی دیگر از الزامات بیمه سایبری است.
آموزش آگاهی سایبری – حتی قوی ترین اقدامات امنیت سایبری را می توان با سوراخی در فایروال انسانی از بین برد. بنابراین، بیمه‌گران به کسب‌وکارها نیاز خواهند داشت تا آموزش و ارزیابی منظمی را به کارکنان خود ارائه دهند تا خطر تخلفات را از طریق حملات مهندسی اجتماعی کاهش دهند.
نفوذ و تست استرس – همانطور که در ارزیابی‌ها نشان می‌دهد کارکنان در برابر تهدیدات سایبری آموزش دیده‌اند، بیمه‌گران نیز باید ببینند که ابزارهای امنیت سایبری می‌توانند در برابر تهدیدات موجود در محیط مقاومت کنند. نمایش نتایج تست‌های نفوذ و استرس می‌تواند به کاهش نگرانی‌ها در مورد سطح حفاظت از یک کسب‌وکار کمک کند.
دسترسی به شبکه Zero Trust (ZTNA) – در حالی که ZTNA ممکن است هنوز یک معیار امنیتی جهانی نباشد، محبوبیت آن در حال افزایش است و به یک انتخاب پذیرفته شده برای ارائه دسترسی ایمن به شبکه تبدیل شده است – جایگزین VPN های قدیمی. ممکن است این چیزی نباشد که همه بیمه‌گران در حال حاضر به دنبال آن هستند، اما به دلیل افزایش امنیت که ارائه می‌کند، احتمالاً در خط پایین‌تر قرار خواهد گرفت.
وجود این اقدامات می تواند به واجد شرایط بودن برای بیمه سایبری کمک کند، اما الزامات واقعی بر اساس مورد به مورد متفاوت خواهد بود. علاوه بر این، در حالی که اجرای موارد فوق می‌تواند به سازمان‌ها برای تضمین بیمه و شروع محافظت بهتر از خود کمک کند، صنایع خاصی مقررات خاص خود را خواهند داشت که باید رعایت شوند – مانند قانون ارتباطات (امنیت) برای اپراتورهای شبکه – و بعید است. که شرکت های بیمه آنهایی را می پذیرند که قوانین دولتی را رعایت نکنند.

آیا بیمه سایبری ارزشش را دارد؟

در نهایت، هیچ پاسخی «بله یا نه» برای اینکه آیا بیمه سایبری ارزش این هزینه را دارد وجود ندارد. این به جزئیات سیاست فردی مربوط می شود و به بررسی عمیق در مورد اینکه دقیقاً چه چیزی تحت پوشش قرار می گیرد، هرگونه شرط و محدودیت مندرج در قرارداد و قیمت حق بیمه نیاز دارد.

یکی از بسیاری از عناصری که باید در نظر گرفته شود این است که در صورت بروز تخلف، برخی از بیمه گذاران بر انتخاب شرکتی که خودشان حمله را بررسی می کند پافشاری می کنند. و اگرچه ممکن است در ابتدا خیلی مهم به نظر نرسد، اما وقتی با معافیت‌های اخیر در مورد حملات دولتی ترکیب می‌شود، بیشتر به یک مسئله تبدیل می‌شود و به شرکت بیمه این قدرت را می‌دهد که تشخیص دهد آیا پیوندی با یک دولت-ملت وجود دارد یا خیر. – و در نهایت اگر بر صلاحیت ادعا تأثیر بگذارد.

بنابراین سازمان‌ها باید از خود بپرسند که آیا با این موضوع راحت هستند و آیا از اعتماد به نتایج تحقیقات بیمه‌گر خوشحال هستند، به‌ویژه اگر ابزارهای خود را برای بررسی یک تخلف در اختیار داشته باشند – چه فناوری خودشان باشد یا یک رابطه موجود با یک سازمان. شرکت جبران حمله – به عنوان یک شرکت بیمه ممکن است یافته های متفاوت از خود را رد کند.

این ممکن است سطح ارزش ارائه شده توسط بیمه سایبری را بیشتر زیر سوال ببرد. با این حال، بدون شک چیزی که ارزش آن را دارد این است که اطمینان حاصل شود که امنیت سایبری شما همچنان در سطحی است که واجد شرایط بودن آن برای بیمه نمی تواند زیر سوال رود.

همانطور که چشم انداز تهدید به رشد خود ادامه می دهد، کسب و کارها باید از تهدیدات در حال تحول آگاه باشند و اقدامات امنیتی خود را در کنار آنها افزایش دهند تا بتوانند از خود، شرکای تجاری و مشتریان خود در برابر حمله محافظت کنند. و در حالی که الزامات بیمه سایبری خود نباید به عنوان سطح پایه برای امنیت سازمان مورد استفاده قرار گیرد، نوار بالاتری که تعیین می شود نیاز به ارزیابی مجدد سطوح حفاظت را نشان می دهد.

علاوه بر این، از آنجایی که انطباق‌های امنیتی اضافی بر برخی بخش‌ها اعمال می‌شود، مانند TSA فوق‌الذکر و DORA اتحادیه اروپا (و همچنین معادل احتمالی بریتانیا) برای خدمات مالی، بررسی و ارتقای اقدامات امنیتی فقط برای محافظت از کسب‌وکار شما مهم نیست. در حال تبدیل شدن به بخش مهمتری از معیارهای شرکت هایی است که تامین کنندگان شخص ثالث خود را ارزیابی می کنند.

خط پایین

در نهایت، انتخاب بیمه سایبری به هزینه بیمه نامه، سطح پوششی که می توانید دریافت کنید و هرگونه شرط یا معافیت بستگی دارد. با این وجود، چه بیمه شده باشید چه نباشید، توجه به الزامات امنیت سایبری – چه از سوی شرکت های بیمه و چه از سوی مقررات دولتی – از اهمیت بالایی برخوردار است.

پیروی از دستورالعمل‌های امنیتی، مانند ملزومات سایبری و ملزومات سایبری به علاوه، می‌تواند به تقویت محیط امنیتی شما کمک کند، در حالی که آزمایش منظم دفاع سایبری می‌تواند هر حوزه‌ای از امنیت شما را که نیاز به ارتقاء دارد مشخص کند. این نه تنها به سازمان شما کمک می کند تا در صورت تمایل شما واجد شرایط بیمه سایبری شود، و همچنین احتمالاً حق بیمه شما را کاهش می دهد، بلکه به طور عمده احتمال نقض موفقیت آمیز را کاهش می دهد.

بیمه یا بدون بیمه، چشم انداز تهدید در حال تحول است و اقدامات امنیتی شما باید با آن تکامل یابد.




منبع: https://www.professionalsecurity.co.uk/news/interviews/cyber-insurance-bottom-line/