آیا دولت‌ها باید هزینه خسارات ناشی از حملات سایبری را پرداخت کنند؟

آیا دولت‌ها باید هزینه خسارات ناشی از حملات سایبری را پرداخت کنند؟
تاریخ انتشار : ۱۹ دی ۱۴۰۱

کارشناسان درباره این که آیا دولت‌ها باید به حوزه بیمه سایبری ورود کنند یا خیر اتفاق نظر ندارند.

به گزارش گرداب، هزینه بالای حملات سایبری باعث شده است که بیمه سایبری نیز هزینه بالایی داشته باشد و بسیاری از سازمان‌ها و شرکت‌ها دیگر قادر به پرداخت چنین هزینه‌هایی نیستند. از این‌رو بعضی از کارشناسان پیشنهاد می‌کنند که دولت‌ها باید در پرداخت این هزینه‌ها نقش ایفا کنند.

جرائم سایبری یکی از چالش‌های اصلی جوامع امروزی است. اگر خسارات ناشی از جرائم سایبری را یک کشور حساب کنیم، پس از آمریکا و چین سومین اقتصاد بزرگ دنیا به جرائم سایبری اختصاص دارد.

موسسسه امنیت سایبری Cybersecurity Ventures معتقد است که هر سال هزینه سالانه جرائم سایبری ۱۵ درصد رشد خواهد داشت و تا سه سال دیگر به هزینه سالانه ۱۰.۵ تریلیون دلار خواهد رسید. این بدین معناست که این مبلغ در سال ۲۰۲۵ نسبت به سال ۲۰۱۵ سه برابر خواهد شد.

این هزینه‌ها شامل نابودی و آسیب داده‌ها، سرقت پول، سرقت مالکیت معنوی، از بین رفتن کارآمدی و اختلال‌های پس از حمله برای مسیر عادی کسب‌وکارهاست. همچنین باید هزینه‌های بالای تحقیقات جنایی جرائم سایبری، گران بودن فرایند بازیابی داده‌های هک‌شده و سایر آسیب‌ها را اضافه کرد.

شرکت IBM معتقد است که به‌طور میانگین خسارت هر نفوذ به داده‌های سازمانی در حال حاضر به ۴.۳۵ میلیون دلار رسیده که نسبت به دو سال قبل ۱۳ درصد افزایش داشته است.

در نتیجه چنین وضعیتی حوزه بیمه سایبری نیز رشد شدیدی داشته است. به گفته موسسه شرکت Marsh که در این حوزه فعالیت می‌کند هزینه بیمه سایبری در ایالت متحده آمریکا در سه ماهه آخر سال ۲۰۲۱، ۱۳۰% و در انگلستان ۹۲% رشد داشته است.

بسیاری از بیمه‌گذاران حوزه سایبری مدت‌هاست که محدودیت‌هایی بر حوادثی که پشتیبانی می‌کنند گذاشته‌اند. به‌طور مثال شرکت بیمه سایبری Lloyd مستقر در لندن اعلام کرده که دیگر خسارات ناشی از حملات سایبری منتسب به دولت‌ها را پوشش نمی‌دهد. حملات سایبری که در طی جنگ‌ها انجام می‌گیرند، چه جنگ‌های آشکار یا پنهان دیگر مشمول بیمه این شرکت نیستند.

بزرگترین بیمه‌گذاری آمریکایی شرکت Chubb نیز پیشنهاد کرده است که طیف زیادی از هک‌ها مستثنا شوند و شرکت بیمه Beazley نیز رویداد‌های فاجعه‌آمیز را پشتیبانی نمی‌کند.

ماریو گرکو (Mario Greco) مدیر اجرایی یکی از بزرگترین شرکت‌های بیمه اروپایی با نام زوریخ (Zurich) به تازگی به نشریه فاینشنال تایمز گفته است که حملات سایبری به‌گونه‌ای هستند که بیمه‌گذار غیرممکن است علیه آن اقدام کند. او می‌گوید:

«آنچه که دیگر باثبات و پایدار نیست، بودن در فضای سایبری است. اگر شخصی کنترل زیرساخت‌های حیاتی ما را به دست بگیرد، چه پیامد‌هایی خواهد داشت؟ این آگاهی باید در نظر گرفته شود که خسارت فقط داده نیست. تمدن ما در خطر است. این افراد [هکرها]می‌توانند به شکل گسترده‌ای زندگی ما را مختل کنند».

طبق توصیه او از آنجا که شرکت‌های خصوصی بیمه نمی‌توانند تمام خسارات حملات سایبری را جبران کنند، باید دولت‌ها در این زمینه مداخله کنند. او معتقد است که دولت‌ها باید برنامه‌های خصوصی – عمومی [خصولتی]طراحی کنند تا به شکل نظام‌مند خطرات سایبری که قابل شناسایی نیستند، رسیدگی شود؛ مشابه اتفاقی که برای خسارات ناشی از بلایای طبیعی و یا حملات تروریستی می‌افتد و دولت‌های برای جبران مداخله می‌کنند.

جان کولتی (John Coletti) مدیر بخش بیمه سایبری شرکت Swiss Re نیز به تازگی گفته است که برای تامین شکاف موجود در بیمه سایبری باید نهاد‌های خصوصی – دولتی ایجاد شود.

این مسئله را وزارت خزانه‌داری آمریکا در حال حاضر بسیار جدی گرفته است و تحقیقاتی در این رابطه آغاز کرده است که آیا دولت‌ها باید به صنعت بیمه برای جبران خسارات حملات سایبری شدید انجام دهد یا خیر. به خصوص آن دسته از حملات سایبری مد نظر هستند که به زیرساخت‌های حیاتی مانند شبکه برق، خطوط راه‌آهن، بیمارستان‌ها و شرکت‌های عمومی آسبی رسانده‌اند.

این ارزیابی بررسی خواهد کرد که خطرات زیرساخت‌های حیاتی از حملات سایبری گسترده تا چه اندازه جدی خواهد بود و راه‌کار‌های مالی برای پاسخ دولتی به آن چگونه امکان‌پذیر است.

این ایده، اما خطراتی را نیز با خود به همراه دارد. دیوان محاسبات آمریکا (GAO) هشدار داده است که یک برنامه فدرال بیمه سایبری ممکن است انگیزه‌ای برای بیمه‌گذاران یا سیاست‌گذاران آن‌ها فراهم کند تا خطرات را نادیده بگیرند.

چنین برنامه‌ای همچنین ممکن است باعث شود که بیمه‌گذاران را اجرای سیاست‌های منعطف در این حوزه به خطور خصوصی منع می‌کند و این پرسش بسیار مهم خواهد شد که دقیقا چه چیزی می‌تواند به عنوان زیرساخت حیاتی قلمداد شود.

به هرحال چنین طرحی مزایای مالی نیز برای سازمان‌ها و شرکت‌ها به همراه خواهد داشت. برنامه ملی بیمه سایبری ممکن است نیاز به اجباری یکسری پیش‌نیاز‌های امنیتی داشته باشد؛ مثلا استفاده از احراز هویت دوعاملی، شناسایی کاربر نهایی و مدیریت دسترسی و واکنش به آن؛ همچنین آموزش امنیت سایبری به کارمندان و کسب‌وکار‌ها ضروری خواهد شد.

چنین پیش‌نیاز‌هایی ممکن است باعث شود که از اساس جلوی بسیاری از حملات سایبری گرفته شود و خطرات آن به حداقل برسد.