هجوم بیامان هکرها نفس بیمهگران را گرفته است / بیمه سایبری در آستانه خطر نابودی
صنعت بیمه سایبری که با هجوم بیامان مطالبهها تحت فشار است، دوران عجیبی را سپری میکند. طبق آخرین گزارش افبیآی درباره شکایتهای مربوط به جرایم سایبری، شکایتهای مرتبط با اینگونه جرایم طی پنج سال اخیر، بیش از ۱۸۰درصد افزایش یافته و خسارتی بالغ بر ۱۸٫۷ میلیارد دلار به بار آورده است. سال گذشته، خسارتی که بعضی از شرکتهای بیمه در این حوزه پرداختند بیشتر از مجموع حقبیمههای دریافتی بود. نتیجه اینکه این شرکتها اکنون ناچارند از مشتریانشان بخواهند کمتر در معرض خطرهای سایبری قرار بگیرند یا اینکه بابت حقبیمه، مبلغ بیشتری بپردازند. در غیر این صورت، این احتمال هست که این نوع بیمه لغو شود.
اما تعدادی از بیمهگران در تلاشند تا صنعت بیمه سایبری را تقویت کنند و برای این کار، رویکرد عملیتری برای کاهش ریسک مشتریانشان در پیش گرفتهاند. از آنجا که بسیاری از جرایم سایبری در اثر خطای انسانی اتفاق میافتند، این دسته از بیمهگران میکوشند خطاهای انسانی را کاهش بدهند. طبق گزارشی از ورایزن در ۲۰۲۱، ۸۵درصد از هکهای موفق در اثر کلیکهای تصادفی یا خطاهای دیگر صورت گرفتهاند. همین موضوع باعث شده است که بیمهگران به دنبال برنامههای آموزشی امنیت سایبری باشند با این هدف که رفتار انسانی را تغییر بدهند تا از خطاهای اینچنینی کاسته شود.
اجبار به استفاده از بیمه سایبری
بقای صنعت بیمه سایبری اهمیت بسیار زیادی دارد. به گزارش اتحادیه ملی امنیت سایبری، ۶۰درصد از کسبوکارهای کوچک و متوسط شش ماه پس از یک حمله سایبری موفق، پایان مییابند. بنابراین، کسبوکارهای کوچک و متوسط نمیتوانند بدون بیمه سایبری به فعالیت خود ادامه بدهند، اما بسیاری از این کسبوکارها بهزودی قادر به پرداخت هزینههای بیمه سایبری نخواهند بود. وقتی زمان تمدید بیمه سایبری فرا برسد، مدیرعاملها و صاحبان کسبوکارها به وخامت اوضاع پی خواهند برد. حقبیمه سایبری در ۲۰۲۱ افزایش ۳۰۰درصدی داشته است و انتظار میرود این افزایش با شتاب بیشتری ادامه پیدا کند. این در حالی است که بیمهگران شرایط محدودکننده بیشتری در بیمهنامهها میگنجانند و حتی بعضی از آنها بهکلی از این بازار خارج میشوند.
«مارک ویر» که مدیرعامل یک شرکت مشاوره کانادایی به نام «السیام سولوشنز» است، میگوید: «در حال حاضر، ریسک ارائه پوشش امنیت سایبری برای بعضی از بیمهگران بسیار زیاد است. درست است که کسبوکار بیمهگران ریسککردن است، اما این صنعت از ابهام و عدمقطعیت بیزار است.» در آغاز پیدایش بیمه سایبری، در این بازار کسب سود کلان تضمینشده بود. شرکتهای بیمه مشتاق بودند وارد این بازار شوند، چون تقاضا زیاد و ریسک ادراکی پایین بود. در آن دوره، شرکتها اقدام به ارائه بیمه سایبری میکردند و تصورشان این بود که هیچ وقت مطالبه چندانی در کار نخواهد بود، اما اکنون خودشان را موقعیتی دشوار یافتهاند و دنبال راهحل میگردند. در گذشته، تقریبا همه خسارتها بدون توجه به اشتباهها جبران میشد. اما اکنون اگر شرکتی کارکنانش را بهدرستی آموزش ندهد یا نکتههای مربوط به امنیت سایبری را رعایت نکند و هک شود، ممکن است مطالبهاش پذیرفته نشود و در آینده نیز دسترسی این شرکت به پوشش بیمه به خطر بیفتد.
افزایش شدید حملههای سایبری
این احتمال وجود دارد که صنعت بیمه سایبری قربانی موفقیت خودش شده باشد. از آنجا که بیمهگران بهمرور پوششهای بیمهای بیشتری ارائه میدهند، شرکتهای بیمهگزار کمتر از گذشته به حفظ امنیت سایبری توجه نشان میدهند. این شرکتها اگر گرفتار باجافزار شوند، معمولا بهسرعت باج را میپردازند و فرضشان این است که خسارتشان را بیمه جبران خواهد کرد. نتیجه اینکه مجرمان سایبری برای حمله به شرکتهایی که بیمه سایبری دارند، از انگیزه بیشتری برخوردارند. اکنون با افزایش حملههای سایبری و کاهش پوشش بیمهای، بیمهگران شرکتهای تحتپوشششان را برای کاهش ریسک ترغیب میکنند. برای نمونه، از آنها میخواهند در آموزش مسائل مربوط به امنیت سایبری به کارکنانشان سختگیرانهتر عمل کنند.
مقررات جدیدی به وجود آمده است که از شرکتها میخواهد آموزش کارکنان را به برنامههای امنیتی خود اضافه کنند، اما بعضی از مدیران این سؤال را مطرح میکنند که آیا برنامههای آموزشی، آنگونه که ادعا میشود، تأثیر مثبت دارد یا خیر.
کریستین بی مدیرعامل شرکتی به نام «سایشورنس» است که کارش ارائه سیاستهایی برای جلوگیری از نقض حریم خصوصی، سرقت هویت و سایر آسیبهای امنیتی است. او میگوید: «از نظر ما، آموزشهایی که روی رفتارهای پرخطر کارکنان بیتأثیر باشد، هدردادن پول و وقت مشتریان ما است.» به گفته بی، سایشورنس به دنبال پلتفرمی آموزشی بود که نحوه واکنش تیپهای شخصیتی مختلف در برابر خطرهای امنیتی، مانند دریافت فایل یا لینک آلوده از طریق ایمیل، را در نظر بگیرد. سپس این پلتفرم برای این افراد بهصورت مسمتر محتوای آموزشی مناسب ارسال میکند تا در رفتارشان تغییری واقعی اتفاق بیفتد.
برنامههای آموزشی اختصاصی
بعضی از برنامههای آموزشی اختصاصی توانستهاند میزان موفقیت حملههای فیشینگ را کاهش دهند. برای نمونه، شرکت «cyberconIQ» توانسته است درصد موفقیت این نوع حملهها را از ۱۵ تا ۱۸درصد، ظرف سی روز، به حدود ۲درصد برساند. در این برنامه، با استفاده از آزمونی که چهل سؤال دارد، میزان آسیبپذیری هر کدام از کارکنان شرکت سنجیده میشود. سپس به کمک یادگیری ماشینی، برای هر کدام از کارکنان، شیوه آموزشی اختصاصی طراحی میشود با این هدف که رفتار آنلاین آنها اصلاح شود و آسیبپذیریشان در برابر کلاهبرداریهای اینترنتی کاهش پیدا کند.
شرکتهای بیمه برای اینکه ریسکشان را به حداقل برسانند و هزینه پوششهای بیمهایشان را کاهش بدهند، میتوانند با شرکتهای آموزش امنیت سایبری که سابقهای مشخص در کاهش ریسکهای سایبری دارند، همکاری کنند. این همکاری هم به نفع شرکتهای کوچک و متوسط است و هم میتواند سلامت کلی صنعت بیمه سایبری را ضماند کند.