الجزء الرابع-التأمين ضد حوادث الأمن السيبراني (المخاطر السيبرانية المستثناة من تغطية التأمين السيبراني)
في هذا الجزء الرابع من سلسلة المقالات، يناقش السيد إبراهيم صفا(المخاطر السيبرانية المستثناة من تغطية التأمين السيبراني)
كما هو الحال مع أي عقد تأمين، من المهم على أي منشأة مراجعة ليس فقط ما تغطيه شركة التأمين الخاصة بها، بل وأيضا ما يتم استبعاده، فيجب العمل على النظر في الاستثناءات وكذلك التعريفات والشروط عند فحص العقود، حيث هناك العديد من الاستثناءات التي تعتمد في عقد خاص بالتأمين السيبراني، والتي هي نفسها موجودة في وثائق التأمين الأخرى مثل الحرب والإرهاب، وهناك أيضا غيرها من الاستثناءات، وذلك بحسب ما يلي:
عمليات أمنية سيئة: إذا حدث الهجوم بسبب سوء إدارة التكوين لدى المنشأة أو وجود عمليات أمنية غير فعالة.
الانتهاكات السابقة: الانتهاكات أو الأحداث التي حدثت قبل قيام المنظمة بشراء عقد التأمين.
الخطأ البشري: أي هجوم إلكتروني ناتج عن خطأ بشري من قبل موظفي المنشأة.
الهجمات الداخلية: فقدان أو سرقة البيانات بسبب هجوم داخلي، مما يعني أن الموظف كان مسؤولا عن الحادث.
نقاط الضعف الموجودة مسبقا: إذا تعرضت إحدى المؤسسات لاختراق بيانات نتيجة الفشل في معالجة أو تصحيح ثغرة أمنية معروفة مسبقا.
تحسينات الأنظمة التقنية: أي تكاليف تتعلق بتحسين أنظمة التكنولوجيا، مثل تقوية الأنظمة، والتطبيقات، والشبكات.
اختصاص المحكمة: من المفيد دائما التحقق من المناطق التي ينطبق عليها عقد التأمين، ففي حين أن عقود التأمين التي يتم
شراؤها في دولة معينة، قد تشمل مناطق معينة أخرى تم إدراجها في العقد المبرم، وبالتالي أي دولة أو منطقة خارج عقد التأمين أتت كان سببا فيما حدث فلن تغطى إذا ثبت ذلك من حلال التحليل الجنائي للحدث السيبراني، وبالتالي يتم استبعادها.
المطالبات المقدمة من الكيانات ذات الصلة: في حين أن التأمين الإلكتروني سيحمي عملك من فقدان بيانات العملاء وأي مطالبات تنشأ نتيجة لهذه الخسارة، إلا أن عقود التأمين لا تتضمن عادة مطالبات المسؤولية المقدمة من الكيانات ذات الصلة بعملك مثل الموظفين والمقاولين والشركات التابعة المملوكة جزئيا لشركتك، أو أي جهة تم ربطها معك، فعلى سبيل المثال، إذا طلب الموظفون التعويض عن فقدان معلوماتهم الشخصية بعد اختراق البيانات، فلن تتم تغطية ذلك.
الإصابات الجسدية والأضرار في الممتلكات: ستحل وثائق التأمين السيبراني محل الخسائر في المجال الرقمي، ولكنها لن تغطي عادة الأضرار التي تلحق بالممتلكات المادية أو الإصابات الجسدية (الوفاة أو المرض أو الإصابة الجسدية) الناتجة عن حادث سيبراني، حيث غالبا ما يتم تغطيتها بواسطة وثائق تأمين أخرى مثل عقد او وثيقة التأمين على الممتلكات أو وثيقة تأمين المسؤولية.
البنية التحتية الوطنية الحيوية: يتم استبعاد الخسائر الناجمة عن فشل أو انقطاع البنية التحتية الوطنية الحيوية، مثل الكهرباء والغاز، والمياه، والأقمار الصناعية، والاتصالات، وكما هو الحال مع الحرب والإرهاب، فإن المخاطر كبيرة للغاية وتتجاوز قدرة بعض شركات التأمين على التغطية، فتقوم باستثناء ذلك.
الحرب السيبرانية: تعد الخسائر التي تتكبدها الشركات نتيجة للحرب السيبرانية والهجمات السيبرانية التي قد تكون مرتبطة بتصرفات دولة أو حكومة معينة من الاستثناءات الشائعة نظرا لكون المخاطر كبيرة جدًا وتتجاوز قدرة شركات التأمين الفردية.
الغرامات والعقوبات: لن يغطي التأمين الإلكتروني الغرامات، أو العقوبات، أو العقوبات الجنائية، أو المدنية، أو التشريعية التي تلتزم شركتك بدفعها قانونا.
من المؤكد أنه ستكون هناك اختلافات في الاستثناءات بين شركات التأمين، لذا من المهم فهم الشروط والأحكام، وبالتالي يجب التحدث إلى وسيط تأمين، أو وكيل تأمين، أو شركة التأمين التي تتعامل معها مباشرة إذا لم تكن متأكدا من الشروط التي يجب فهمها ووضعها في عقد التأمين.
هل يمكن للتأمين السيبراني أن يكون مدافعا عن أي حدث سيبراني؟
لا ينبغي النظر في أن التأمين السيبراني يعتبر بدلا من الإدارة الفعالة والقوية للمخاطر السيبرانية، حيث تحتاج جميع المنشآت إلى شراء ها النوع من التأمين، ولكن يجب عليها فقط التفكير في الحصول عليه للتخفيف من الأضرار الناجمة عن أي هجوم سيبراني محتمل، مع العلم أنه يجب أن تكون سياسة التأمين السيبراني الخاصة بهم مكملة للعمليات والتقنيات الأمنية التي ينفذونها كجزء من خطة إدارة المخاطر الخاصة بهم.
تقوم شركات التأمين بتوريد التأمين السيبراني لتحليل وضع الأمن السيبراني للمنشأة في عملية إصدار العقد، حيث إن وجود وضع أمني قوي يمكن المنشأة من الحصول على تغطية أفضل، وفي المقابل، فإن الوضع الأمني السيئ يجعل من الصعب على شركة التأمين فهم نهج المنشأة التي تريد التغطية، مما يؤدي إلى عمليات شراء تأمين غير فعالة، وعلاوة على ذلك، فإن الفشل الاستثمار في حلول الأمن السيبراني المناسبة أو الفعالة يمكن أن يؤدي إلى فشل المنشآت من الاستفادة من التأمين السيبراني وإلا فإنه سيكون هناك دفع مزيد من الأخطار دون أي استفادة.
اعتبارات لاختيار عقد التأمين السيبراني المناسب
يعتمد تسعير المخاطر السيبرانية عادة على إيرادات المنشأة والصناعة التي تعمل بها. وللحصول على المراد، حيث ستحتاج المنشأة إلى السماح لشركة التأمين بإجراء تدقيق أمني أو تقديم الوثائق ذات الصلة من خلال أدوات تقييم معتمدة، وستوجه المعلومات من مدقق مختص بتقنية المعلومات لأجل التدقيق في نوع عقد التأمين المناسب الذي يمكن لشركة التأمين تقديمه وماهي تكلفة الأقساط.
غالبا ما تختلف عقود التأمين بين مقدمي هذه الخدمة، ولذلك فمن الأفضل مراجعة أي تفاصيل بعناية للتأكد من أن العقد المقترح سيقوم بالتغطية والحماية المطلوبة، ويحتاج العقد أيضا إلى الحماية من نواقل وملفات التهديد السيبراني المعروفة والناشئة حاليا، وبالتالي مع هذا الأمر يجب أن يكون شفافا حتى يكون عقد التأمين فعال ومجدي للمنشأة المعنية.
الجزء الثالث-التأمين ضد حوادث الأمن السيبراني (كيفية عمل التأمين السيبراني)
