
آیا بیمه سایبری ارزش افزایش هزینه را دارد؟ جان ورینگ، مدیر حساب، در شرکت سایبری می پرسد مارپیچ قرمز.
با وجود رسوایی های بزرگ هک که اخبار جهانی را به خود اختصاص داده است، بر کسی پوشیده نیست که جرایم سایبری در حال افزایش است. به دلیل دیجیتالی شدن سریع و پیشرفت های عمده در فناوری شبکه، ما بیشتر به دستگاه های خود وابسته شده ایم. این به نوبه خود، مجموعه ای از نقاط پایانی جدید را برای مجرمان ایجاد کرده است که می توانند هدف قرار دهند و منجر به افزایش بیش از دو برابری جرایم هک در سال منتهی به مارس 2022 در مقایسه با سال منتهی به مارس 2020 شده است.
نه تنها تعداد جرایم افزایش یافته، بلکه تأثیر این تخلفات نیز شدیدتر شده است. همانطور که در حمله اخیر به آرنولد کلارک مشاهده شد، مجرمان به حجم عظیمی از داده های شخصی شرکت ها، از جمله جزئیات بانکی و اسناد شناسایی دسترسی پیدا می کنند. شرکتهایی که زیرساخت ملی بریتانیا را تشکیل میدهند نیز توسط حملات سایبری فلج میشوند، مانند رویال میل، که پس از یک تخلف، اختلال شدیدی در قابلیتهای ارسال به خارج از کشور خود دیده است.
به دلیل شدت بیشتر نقضها، میانگین هزینه یک حمله در بریتانیا به بالاترین حد هفت ساله خود یعنی 4.56 میلیون پوند رسیده است که به نوبه خود تأثیر زیادی بر نرخها و الزامات بیمه سایبری داشته است. با افزایش فراوانی و ارزش پرداختها، قیمت بیمه سایبری نیز افزایش یافته است – به دنبال افزایش 102 درصدی در سه ماهه اول 66 درصد در سه ماهه سوم سال 2022.
و در حالی که سیاستها البته بین بیمهگران متفاوت خواهد بود، چک لیستی از الزاماتی وجود دارد که سازمانها باید به آن پایبند باشند تا پذیرفته شوند. دیگر انتظاری نیست که شرکتها نشان دهند که اقدامات مناسبی برای محافظت از خود در برابر جرایم سایبری انجام دادهاند، بلکه یک الزام است. و کسانی که نمی توانند ثابت کنند که راه حل های فنی و آموزش کافی برای ایمن سازی شبکه خود را ارائه کرده اند، از بیمه محروم می شوند یا در هنگام ادعا از پرداخت خودداری می کنند.
این امر در کنار افزایش تعداد معافیتهای بیمهگران در مورد اینکه چه چیزی را پوشش میدهند و چه چیزی را پوشش نمیدهند، همراه است. یکی از برجستهترین این موارد اخیراً تصمیم لویدز لندن برای عدم محافظت در برابر «حملات دولتی» بود، به این معنی که هرگونه حملهای که یک شرکت بیمه میتواند ادعا کند با یک دولت-ملت مرتبط است، دیگر تحت پوشش قرار نخواهد گرفت.
برای مشاغل، این به چند سوال منجر شده است. در مرحله اول، شرایط لازم برای واجد شرایط بودن برای بیمه سایبری چیست و چه مواردی تحت پوشش قرار خواهد گرفت؟ و ثانیا، با توجه به سطح بالایی از امنیت که سازمان شما از طریق چک لیست الزامات به دست خواهد آورد – آیا هزینه بیمه واقعاً ارزش آن را دارد؟
آیا من واجد شرایط بیمه سایبری هستم؟
در سراسر هیئت مدیره بیمه به طور فزاینده ای چالش برانگیز می شود به دست گرفتن. نه تنها هزینه ها افزایش می یابد، بلکه الزامات پذیره نویسی بالاتر است و بررسی دقیق تری روی کاهش ریسک و بلوغ برنامه امنیتی انجام می شود.
بنابراین، برای اینکه کسبوکارها واجد شرایط بیمه سایبری باشند، باید نشان دهند که از قبل امنیت قوی دارند. در حالی که الزامات خاص برای بیمه سایبری متفاوت خواهد بود – بر اساس صنعت، بیمهگر، اندازه کسبوکار و نوع پوشش مورد نیاز – برخی از اقدامات امنیتی جهانی وجود دارد که هر کسبوکاری که به دنبال بیمه است، باید رعایت کند:
تشخیص و پاسخ نقطه پایانی (EDR) – با افزایش تعداد نقاط پایانی (از جمله لپتاپ، تلفن همراه، تبلت و غیره)، تعداد نقاط ورود مجرمان نیز افزایش مییابد. EDR برای نظارت، کشف، بررسی و پاسخ به تهدیدات در سراسر شبکه ای از دستگاه های نقطه پایانی طراحی شده است و برای کسانی که به دنبال بیمه هستند تبدیل به یک ابزار ضروری می شود.
احراز هویت چند عاملی (MFA) – این مورد تقریباً ناگفته نماند، زیرا به بخشی رایج از عملیات تجاری روزمره تبدیل شده است، اما وجود MFA برای شبکههای تجاری، ایمیلها و برنامههای کاربردی یکی دیگر از الزاماتی است که بیمهگران به دنبال آن هستند. برای.
پشتیبانگیری جداگانه – با پیشرفتهتر شدن حملات، داشتن یک نسخه پشتیبان از دادهها دیگر کافی نیست، زیرا به طور بالقوه میتواند به خطر بیفتد. داشتن چندین نسخه پشتیبان، در مکان های مختلف، یکی دیگر از الزامات بیمه سایبری است.
آموزش آگاهی سایبری – حتی قوی ترین اقدامات امنیت سایبری را می توان با سوراخی در فایروال انسانی از بین برد. بنابراین، بیمهگران به کسبوکارها نیاز خواهند داشت تا آموزش و ارزیابی منظمی را به کارکنان خود ارائه دهند تا خطر تخلفات را از طریق حملات مهندسی اجتماعی کاهش دهند.
نفوذ و تست استرس – همانطور که در ارزیابیها نشان میدهد کارکنان در برابر تهدیدات سایبری آموزش دیدهاند، بیمهگران نیز باید ببینند که ابزارهای امنیت سایبری میتوانند در برابر تهدیدات موجود در محیط مقاومت کنند. نمایش نتایج تستهای نفوذ و استرس میتواند به کاهش نگرانیها در مورد سطح حفاظت از یک کسبوکار کمک کند.
دسترسی به شبکه Zero Trust (ZTNA) – در حالی که ZTNA ممکن است هنوز یک معیار امنیتی جهانی نباشد، محبوبیت آن در حال افزایش است و به یک انتخاب پذیرفته شده برای ارائه دسترسی ایمن به شبکه تبدیل شده است – جایگزین VPN های قدیمی. ممکن است این چیزی نباشد که همه بیمهگران در حال حاضر به دنبال آن هستند، اما به دلیل افزایش امنیت که ارائه میکند، احتمالاً در خط پایینتر قرار خواهد گرفت.
وجود این اقدامات می تواند به واجد شرایط بودن برای بیمه سایبری کمک کند، اما الزامات واقعی بر اساس مورد به مورد متفاوت خواهد بود. علاوه بر این، در حالی که اجرای موارد فوق میتواند به سازمانها برای تضمین بیمه و شروع محافظت بهتر از خود کمک کند، صنایع خاصی مقررات خاص خود را خواهند داشت که باید رعایت شوند – مانند قانون ارتباطات (امنیت) برای اپراتورهای شبکه – و بعید است. که شرکت های بیمه آنهایی را می پذیرند که قوانین دولتی را رعایت نکنند.
آیا بیمه سایبری ارزشش را دارد؟
در نهایت، هیچ پاسخی «بله یا نه» برای اینکه آیا بیمه سایبری ارزش این هزینه را دارد وجود ندارد. این به جزئیات سیاست فردی مربوط می شود و به بررسی عمیق در مورد اینکه دقیقاً چه چیزی تحت پوشش قرار می گیرد، هرگونه شرط و محدودیت مندرج در قرارداد و قیمت حق بیمه نیاز دارد.
یکی از بسیاری از عناصری که باید در نظر گرفته شود این است که در صورت بروز تخلف، برخی از بیمه گذاران بر انتخاب شرکتی که خودشان حمله را بررسی می کند پافشاری می کنند. و اگرچه ممکن است در ابتدا خیلی مهم به نظر نرسد، اما وقتی با معافیتهای اخیر در مورد حملات دولتی ترکیب میشود، بیشتر به یک مسئله تبدیل میشود و به شرکت بیمه این قدرت را میدهد که تشخیص دهد آیا پیوندی با یک دولت-ملت وجود دارد یا خیر. – و در نهایت اگر بر صلاحیت ادعا تأثیر بگذارد.
بنابراین سازمانها باید از خود بپرسند که آیا با این موضوع راحت هستند و آیا از اعتماد به نتایج تحقیقات بیمهگر خوشحال هستند، بهویژه اگر ابزارهای خود را برای بررسی یک تخلف در اختیار داشته باشند – چه فناوری خودشان باشد یا یک رابطه موجود با یک سازمان. شرکت جبران حمله – به عنوان یک شرکت بیمه ممکن است یافته های متفاوت از خود را رد کند.
این ممکن است سطح ارزش ارائه شده توسط بیمه سایبری را بیشتر زیر سوال ببرد. با این حال، بدون شک چیزی که ارزش آن را دارد این است که اطمینان حاصل شود که امنیت سایبری شما همچنان در سطحی است که واجد شرایط بودن آن برای بیمه نمی تواند زیر سوال رود.
همانطور که چشم انداز تهدید به رشد خود ادامه می دهد، کسب و کارها باید از تهدیدات در حال تحول آگاه باشند و اقدامات امنیتی خود را در کنار آنها افزایش دهند تا بتوانند از خود، شرکای تجاری و مشتریان خود در برابر حمله محافظت کنند. و در حالی که الزامات بیمه سایبری خود نباید به عنوان سطح پایه برای امنیت سازمان مورد استفاده قرار گیرد، نوار بالاتری که تعیین می شود نیاز به ارزیابی مجدد سطوح حفاظت را نشان می دهد.
علاوه بر این، از آنجایی که انطباقهای امنیتی اضافی بر برخی بخشها اعمال میشود، مانند TSA فوقالذکر و DORA اتحادیه اروپا (و همچنین معادل احتمالی بریتانیا) برای خدمات مالی، بررسی و ارتقای اقدامات امنیتی فقط برای محافظت از کسبوکار شما مهم نیست. در حال تبدیل شدن به بخش مهمتری از معیارهای شرکت هایی است که تامین کنندگان شخص ثالث خود را ارزیابی می کنند.
خط پایین
در نهایت، انتخاب بیمه سایبری به هزینه بیمه نامه، سطح پوششی که می توانید دریافت کنید و هرگونه شرط یا معافیت بستگی دارد. با این وجود، چه بیمه شده باشید چه نباشید، توجه به الزامات امنیت سایبری – چه از سوی شرکت های بیمه و چه از سوی مقررات دولتی – از اهمیت بالایی برخوردار است.
پیروی از دستورالعملهای امنیتی، مانند ملزومات سایبری و ملزومات سایبری به علاوه، میتواند به تقویت محیط امنیتی شما کمک کند، در حالی که آزمایش منظم دفاع سایبری میتواند هر حوزهای از امنیت شما را که نیاز به ارتقاء دارد مشخص کند. این نه تنها به سازمان شما کمک می کند تا در صورت تمایل شما واجد شرایط بیمه سایبری شود، و همچنین احتمالاً حق بیمه شما را کاهش می دهد، بلکه به طور عمده احتمال نقض موفقیت آمیز را کاهش می دهد.
بیمه یا بدون بیمه، چشم انداز تهدید در حال تحول است و اقدامات امنیتی شما باید با آن تکامل یابد.
منبع: https://www.professionalsecurity.co.uk/news/interviews/cyber-insurance-bottom-line/