لديك تأمين إلكتروني في حالة حدوث الأسوأ. ولكن ما الذي تغطيه بوليصة التأمين الخاصة بك وما الذي لن تغطيه؟ قد يكون السيناريو الأسوأ أسوأ مما تعتقد.
ما هو تأمين المسؤولية السيبرانية؟
إن تأمين المسؤولية السيبرانية هو شكل محدد من أشكال التأمين الذي يغطي الخسائر المالية التي تنشأ عن الحوادث السيبرانية. وعادة ما تكون هذه الهجمات السيبرانية وانتهاكات البيانات. وكما هو الحال مع جميع وثائق التأمين، سيكون لديك أملان. الأول هو أنك لن تضطر أبدًا إلى استخدامه. والثاني هو أنه إذا كنت بحاجة إلى تقديم مطالبة، فإن شركة التأمين تقبل مطالبتك وتدفعها.
هناك الكثير مما يمكنك فعله لجعل مؤسستك آمنة قدر الإمكان. ومع ذلك، هناك دائمًا خطر اكتشاف ثغرة أمنية جديدة واستغلالها من قبل الجهات الفاعلة المهددة قبل أن يتم تحديدها من قبل الشركة المصنعة وإصدار تصحيح لمعالجة هذه الثغرة الأمنية. وهذا أحد أشكال الثغرات الأمنية التي لا يمكن اكتشافها.
من بين نقاط الضعف الأخرى التي لا يمكن اكتشافها بسهولة هي الفترة القصيرة بين اكتشاف سلالة جديدة من البرامج الضارة وتصنيفها وإنشاء تحديثات لبرامج مكافحة البرامج الضارة. وخلال هذه الفترة القصيرة الفاصلة، يمكن للبرامج الضارة أن تنتشر دون رادع.
هناك نقطة ضعف أخرى تتمثل في موظفيك. فهم بحاجة إلى تلقي تدريبات منتظمة ـ على الأقل سنويًا ـ للتوعية بالتهديدات السيبرانية وحماية البيانات. تصل التهديدات السيبرانية الأكثر شيوعًا عبر البريد الإلكتروني، ويتلقى موظفوك هذه الرسائل الإلكترونية. وتحدث معظم خروقات البيانات بسبب أخطاء الموظفين أو الاختصارات. وعلى الرغم من التدريب، فقد يرتكبون أخطاء.
إن الأمن السيبراني عملية مستمرة من التحسين والتعويض. لا يمكنك أبدًا وضع علامة في المربع الذي يقول “الأمن السيبراني مكتمل وآمن بنسبة 100%”. لن تصل أبدًا إلى نقطة المخاطر الصفرية. ولأن المخاطر لن تكون صفرية أبدًا، فيجب عليك التفكير بجدية في التأمين على المسؤولية السيبرانية.
تغطية الطرف الأول والطرف الثالث
تختلف سياسات التأمين على المسؤولية السيبرانية بشكل كبير. فما يدرجه بعض المزودين يعتبره آخرون إضافات باهظة التكلفة أو يغفلونه تمامًا. قد لا تلبي السياسة الجاهزة احتياجاتك. إذا كانت مؤسستك كبيرة بما يكفي، أو كانت البنية الأساسية لتكنولوجيا المعلومات لديك معقدة بما يكفي، أو كان هناك احتمال كبير بأن تكون أي أضرار مالية أو عقوبات معوقة، فيجب عليك التفاوض على سياسة تأمين مخصصة.
توفر معظم السياسات تغطية الطرف الأول والطرف الثالث أو، في لغة التأمين، تغطيات. تغطيات الطرف الأول النفقات المالية المباشرة التي يتعين على مؤسستك دفعها نتيجة لحادث بيانات. أنت الطرف الأول وتحصل على تغطية للنفقات التي تكبدتها من جيبك الخاص.
تنطبق تغطيات الطرف الثالث على العقوبات المالية التي تضطر مؤسستك إلى دفعها بسبب المطالبات والإجراءات القانونية التي يتخذها الأفراد المتضررون. على سبيل المثال، قد يرفع أصحاب البيانات المتضررون في خرق البيانات دعوى ضدك، إما بشكل فردي أو كدعوى جماعية. إنهم الطرف الثالث وأنت محمي من تكاليف الأضرار التي لحقت بهم.
على سبيل المثال، الفنلندية عيادة خاصة للعلاج النفسي كانت شركة Vastaamo ضحية لاختراق هائل للبيانات عندما سُرقت قاعدة بيانات المرضى بالكامل في عام 2018. تحتوي قاعدة البيانات على معلومات تعريف شخصية، بما في ذلك نصوص جلسات العلاج النفسي.
رفضت شركة فاستامو دفع فدية الابتزاز على الرغم من ضغوط الجهات الفاعلة التي كانت تنشر سجلات 100 مريض يوميًا على شبكة الويب المظلمة. وعندما فشلت طريقة الابتزاز هذه، في عام 2020، اقترب مجرمو الإنترنت من المرضى بشكل مباشر. وهددوا بإصدار سجلات مرضاهم وجلساتهم ما لم يتلقوا مدفوعات.
لو لم يكن فاستامو انهار إلى الإفلاسكان بإمكان المرضى مقاضاة شركة فاستامو لفشلها في حماية بياناتهم الشخصية، ولفشلها في الكشف عن خرق البيانات. لو كانت شركة فاستامو مغطاة بتأمين إلكتروني جيد، فقد يكون بوسعها تجنب الإفلاس ــ تغطية الطرف الأول ــ وتمكنها من تحمل العقوبات المالية الناجمة عن دعاوى أصحاب البيانات ــ تغطية الطرف الثالث. ولكن كما حدث، انهارت الشركة قبل أن يتمكن أصحاب البيانات وهيئة حماية البيانات من رفع دعاوى ضدها.
أنواع أخرى من الغطاء
توفر سياسات المسؤولية السيبرانية الشاملة مجموعة من التغطيات، بعضها قد يكون اختياريًا. من المرجح أن يكون لكل تغطية حد مالي أعلى خاص بها، مما يحد من درجة التعرض الذي يواجهه مقدمو التأمين من خلال تأمينك. قد تتطلب بعض السياسات أو التغطيات مبلغًا إضافيًا. هذا هو المبلغ الذي يُتوقع منك تقديمه في حالة المطالبة وسيتم خصمه من أي دفعة تأمين. يؤدي الموافقة على مبلغ إضافي إلى تقليل قسط بوليصة التأمين الخاصة بك.
من المهم التأكد من أن التأمين الخاص بك يغطي تكاليف الاستعانة بالمساعدة من الخبراء. وقد يكون ذلك مطلوبًا لإدارة الحوادث أو الأزمات، والخبراء الفنيين والجنائيين، والمفاوضات مع الجهات الفاعلة المهددة، وإدارة الاتصالات. وسوف توفر بعض شركات التأمين هؤلاء الخبراء بأنفسهم بدلاً من دفع ثمن الدعم الخارجي.
تحتوي هذه القائمة على بعض التغطيات الشائعة للطرف الأول.
استعادة البيانات
يغطي تكاليف استعادة البيانات وإعادة تثبيت أنظمة التشغيل والبرامج أو استبدال البرامج التي تعرضت للتلف أو التدمير بشكل لا يمكن إصلاحه. قد تكون هناك قائمة بالمخاطر المغطاة. إذا كان الضرر ناتجًا عن شيء غير مدرج في هذه القائمة، فلن تكون مغطى، لذا تحقق من سياسة التأمين الخاصة بك بعناية.
فقدان الدخل والنفقات الإضافية
إذا أصبحت غير قادر على ممارسة التجارة، فإنك تعاني من خسارة الدخل. هذه التغطية مخصصة للتكاليف المتكبدة في استعادة أنظمتك إلى حالة التشغيل. مرة أخرى، من المحتمل أن تكون هناك قائمة بالمخاطر المغطاة. توفر بعض السياسات حتى تغطية لخسارة الدخل التي تعاني منها لأن شريكًا تجاريًا أو موردًا أو شريكًا رئيسيًا آخر مثل الموزع هو ضحية لحادث إلكتروني.
الابتزاز الإلكتروني
هذا هو التغطية على الفدية أو الابتزاز أو المدفوعات المماثلة التي يتم ابتزازها إلى الجهات الفاعلة المهددة. المثال الأكثر شيوعًا هو برامج الفدية، ولكن قد يكون أيضًا لمنع تسريب المستندات الحساسة عبر الإنترنت أو لمنع المتسلل من إدخال فيروس أو التوقف عن تنفيذ هجمات رفض الخدمة الموزعة.
ستغطي السياسات القوية المدفوعات التي تتم نتيجة لأي نوع من أنواع الابتزاز طالما تم الحصول على موافقة شركة التأمين، كما توفر أفضل السياسات أيضًا مفاوضًا أو تغطية لتكاليف تعيين أحدهم.
تكاليف الإخطار
معظم تشريعات حماية البيانات الحديثة مثل اللائحة العامة لحماية البيانات و ال قانون حماية المستهلك في ولاية كاليفورنيا تتطلب من المؤسسة الاتصال وإبلاغ أصحاب البيانات المتأثرين بانتهاك البيانات.
إذا كان من المحتمل أن تؤدي البيانات المخترقة إلى أضرار مالية لأصحاب البيانات، فقد يُطلب منك توفير مراقبة ائتمانية. إذا كان الاختراق خطيرًا بدرجة كافية – بسبب العدد الكبير جدًا من أصحاب البيانات المتأثرين أو إذا كانت البيانات المخترقة تتضمن بيانات من فئة خاصة مثل المعلومات الطبية – فقد تحتاج إلى تخصيص موظفين للإجابة على استفسارات الجمهور، أو الاستعانة بمصادر خارجية لهذه الوظيفة. تحقق مما إذا كانت سياسة التأمين الخاصة بك توفر تغطية من هذا النوع.
إدارة الأزمات
توفر معظم سياسات التأمين الإلكتروني بعض التغطية لنفقات إدارة الأزمات. واعتمادًا على سياستك، قد توفر التغطية مساعدة الخبراء للمساعدة في التعامل مع الحادث والتعافي والحد من الأضرار والعلاقات العامة والاتصالات التجارية. تحقق مما إذا كانت سياستك توفر الوصول إلى:
- الخبراء الفنيين والجنائيين.
- موظفو مركز الاتصال والإخطار.
- خدمات مراقبة الائتمان وسرقة الهوية.
- شركات العلاقات العامة.
- المفاوضون.
- مستشار قانوني.
أمن الشبكة ومسؤولية الخصوصية
إذا كان وقوع الحادث الإلكتروني ممكنًا بسبب تصرفات إهمال أو أخطاء أو إخفاقات أو تقصير فيما يتعلق بأمنك الإلكتروني أو إخطار الاختراق، فقد تواجه مطالبات قانونية من أصحاب البيانات المتأثرين. ويؤمن هذا التغطية ضد هذه المطالبات.
مسؤولية الوسائط الإلكترونية
عادةً ما يتم تضمين هذا في تأمين المسؤولية السيبرانية على الرغم من أنه لا يتناول بشكل مباشر الأمور الناشئة عن حادث إلكتروني. وهو يوفر تغطية للدعاوى القضائية المرفوعة ضد مؤسستك بسبب أعمال التشهير والقذف والتشهير بسبب شيء منشور على موقع ويب أو مدونة أو وسائل التواصل الاجتماعي. يطلق بعض شركات التأمين على هذا تغطية الأخطاء والإغفالات.
الإجراءات التنظيمية
إذا فرضت الهيئة الإشرافية أو الحاكمة لتشريعات حماية البيانات الخاصة بك غرامات أو عقوبات أخرى على مؤسستك إما بسبب الانتهاك أو بسبب تعاملك مع الانتهاك، فإن هذه التغطية ستغطيك عن تلك الخسائر. كما يجب أن تغطي تكاليف التمثيل القانوني إذا لزم الأمر.
ما لا يتم تغطيته
كما هو الحال مع جميع عقود التأمين، فإن سياسات المسؤولية السيبرانية تستثني أنواعًا معينة من المطالبات. وفيما يلي بعض الاستثناءات النموذجية:
- أي شيء قبل بدء السياسة.
- الأذى الشخصي الجسدي أو الإصابة الجسدية.
- أضرار في الممتلكات.
- التخريب الذاتي: أفعال غير شريفة متعمدة يرتكبها أحد أعضاء مؤسستك.
- أعمال الحرب والإرهاب.
- المسؤولية التعاقدية.
- فشل المرافق.
- تحسين تكنولوجيا المعلومات الخاصة بك. سيعيدك تأمينك السيبراني إلى حيث كنت، وليس إلى حيث كنت بحاجة إلى أن تكون لمنع الحادث. لن يهدف إلى تركك في حالة أفضل. هذا ما يسمى بالتحسين من قبل شركات التأمين.
أعمال الحرب والإرهاب
هذا أمر بالغ الأهمية. إذا اعتُبر الهجوم الإلكتروني أو الحادث الإلكتروني الذي تعرضت له بمثابة عمل من أعمال الحرب الإلكترونية أو الإرهاب الإلكتروني، فلن تدفع لك شركة التأمين تعويضًا. وسيدخل الاستثناء القياسي في جميع تأمينات الأعمال التجارية بشأن أعمال الحرب والإرهاب حيز التنفيذ.
مجموعات القرصنة التي ترعاها الدولة والمعروفة باسم التهديدات المستمرة المتقدمة (APTs) تنفذ بانتظام حملات تنتشر وتخلف أضرارًا جانبية في عالم الأعمال على نطاق واسع.
ال برنامج الفدية NotPetya كانت هجمات عام 2017 تستهدف مستخدمي نوع معين من حزمة المحاسبة التجارية التي كانت تستخدم بكثافة في أوكرانيا. وسرعان ما انتشر NotPetya ليهاجم المنظمات في جميع أنحاء العالم. وقد تم تنفيذ الهجوم منسوب إلى الجيش الروسي من قبل أستراليا ونيوزيلندا وكندا واليابان والولايات المتحدة والدنمرك والمملكة المتحدة. وكان لهذا الإسناد تأثير هائل على عدد كبير من الشركات.
عملاق الأغذية والمشروبات مونديليز تعرضت شركة NotPetya لضربة قوية وتكبدت خسائر تجاوزت 100 مليون دولار أمريكي. مجموعة زيورخ للتأمينتزعم شركة Mondelēz International أن الهجوم الإلكتروني كان بمثابة عمل من أعمال الحرب الإلكترونية لأن الجيش الروسي كان وراء البرامج الضارة. وتقول شركة زيورخ إن هذا يعفيها من أي مسؤولية. ومن غير المستغرب أن تقاضي شركة Mondelēz International مجموعة زيورخ للتأمين بمبلغ 100 مليون دولار أمريكي.
تختلف صياغة بنود الحرب والإرهاب من سياسة إلى أخرى، ولكن يمكن إعادة صياغتها على النحو التالي: “… يستثني الضرر الناجم عن عمل عدائي أو حربي في أوقات السلم أو الحرب من قبل أي حكومة أو قوة ذات سيادة عسكرية أو بحرية أو جوية، أو وكيل أو سلطة تابعة لها”. لذا فإن الأمر لا يتطلب في الواقع وجود دولة أو عمل حربي لتطبيق الاستثناء. يمكن أن يؤدي العمل العدائي من قبل قوة أو حكومة أجنبية في وقت السلم إلى تفعيل بند الاستثناء.
سيكون من المثير للاهتمام أن نرى ما ستكون عليه نتيجة قضية Mondelēz International ضد Zurich Insurance Group. ومع تزايد عدد أنشطة التهديدات المستمرة، ورغم أنه من غير المرجح أن تكون منظمة الأعمال المتوسطة هدفًا مباشرًا، فإن احتمالات الوقوع في مرمى النيران المتبادلة تزداد تبعًا لذلك.
إذا تعرضت للضرب وكانت نقاط الإسناد إلى APT، فقد لا يهم نوع التغطية التي لديك أو لا تمتلكها في سياستك – فقد تصبح سياستك باطلة.