ITanalyze

در همین رابطه وزارت خزانه‌داری ایالات متحده و آژانس امنیت سایبری و امنیت زیرساخت (CISA)، مهلت اولیه خود را تا 14 دسامبر تمدید کرده تا نظرات عموم را درباره اینکه آیا بودجه فدرال باید برای کمک به تامین زیرساخت‌های حیاتی در برابر خسارات ناشی از حملات سایبری استفاده شود یا خیر، دریافت کند. چگونه ممکن است یک برنامه بیمه فدرال طراحی شود؟

• بیمه سایبری فدرال: دو پرسش

خبر این تمدید، نهم نوامبر در اطلاعیه فدرال رجیستر (روزنامه رسمی‌دولت فدرال ایالات متحده) اعلام شد. طبق این اطلاعیه، پیرو توصیه دیوان محاسبات دولت تحت هدایت کنگره برای بررسی این سوال، آژانس‌ها به دنبال پاسخ این سوالات بودند که میزان ریسک زیرساخت‌های حیاتی ناشی از حوادث فاجعه‌بار سایبری چقدر است و کدام‌یک از این حوادث، بیمه فدرال را می‌طلبند؟

با بازگشت به دوران اوباما، بیمه سایبری توسط سیاست‌گذاران طیف‌های مختلف سیاسی به عنوان یک روش غیررگولاتوری و غیرنظارتی برای تشویق اقدامات مناسب در حوزه امنیت سایبری توسط نهادهای بخش خصوصی مطرح شد.

درخواست آژانس‌ها برای اظهارنظر عمومی، در حالی است که طی مجموعه‌ تحولاتی در سال‌های اخیر، تصمیم‌گیری‌هایی‌ درباره پرونده‌های اصلی دادگاهی، همزمان با طرح بیمه سایبری فدرال شرکت‌های بیمه، صورت گرفته است.

در دسامبر 2019، کنگره، لایحه‌ای را تصویب کرد که به موجب آن به دیوان محاسبات دولت (GAO) دستور می‌دهد درباره در دسترس بودن بیمه سایبری برای ارایه‌دهندگان زیرساخت‌های حیاتی گزارش دهد.

در این رابطه، GAO، می‌2021، درباره چالش‌های پیش‌روی صنعت بیمه سایبری گزارش داد که به گفته سازمان دیده‌بان می‌توان به آنها بیمه پرداخت.

در ماه ژوئن، GAO، وزارت خزانه‌داری و CISA برای بررسی بیشتر درباره نیاز به یک برنامه فدرال، مشابه برنامه ملی بیمه سیل که توسط آژانس مدیریت اضطراری فدرال یا برنامه بیمه فدرال محصولات کشاورزی که در وزارت کشاورزی اجرا می‌شود، مکلف شدند.

• از مدل TRIP تا برآورد خسارات حادثه

وزارت خزانه‌داری و CISA در درخواست اولیه خود برای اظهارنظر در این زمینه اعلام کردند که چگونه برنامه بیمه ریسک تروریسم (TRIP) را می‌توان در حوزه پوشش حوادث امنیت سایبری نیز تطبیق داد اما تمرکز آنها در درجه اول بر رویکردهای خارج از TRIP در داخل یا خارج از کشور بوده است.

 مدل TRIP که پس از حملات تروریستی 11 سپتامبر ایجاد شد، اساسا بیمه‌گذاران را بیمه کرده و به آنها کمک می‌کند تا بخش ذینفع را در صورت بروز حوادث واجد شرایط پوشش دهند اما به هر حال، سقف 100 میلیارد دلاری برای مبلغی که دولت می‌تواند بپردازد، وجود دارد.

در این  اطلاعیه به پژوهش CISA که در سال 2020 منتشر شده، اشاره شده است. بر اساس این پژوهش، برآورد شده خسارات احتمالی ناشی از یک حادثه سایبری می‌تواند از 2.8 میلیارد دلار تا 1 تریلیون دلار باشد. همچنین رعایت معیارهای بیمه یک حمله تروریستی برای کسانی که به دنبال پوشش بیمه‌ای پس از یک حادثه امنیت سایبری هستند، چالش‌برانگیز است.

برنامه‌های بیمه فدرال معمولا برای اطمینان از اینکه دارندگان بیمه‌نامه در حوزه خسارات ناشی از بلایای طبیعی غیرقابل پیش‌بینی، پوشش داده می‌شوند یا به اصطلاح «حوادث قهری»، ایجاد شده است. این حوادث، منجر به انبوهی از خسارت‌های ناگهانی می‌شود و هزینه‌های آن، کاملا بیش از توانایی بیمه‌گران برای انجام تعهدات‌شان است.

• بیمه سایبری؛ یک استثنا

پتانسیل حملات سایبری برای ایجاد تاثیرات زنجیره‌ای و افزایش مطالبات بیمه از طرف بیمه‌گذاران، در طول حمله NotPetya در سال 2017، که از اوکراین آغاز شد، به طور کامل مشخص شد و تاثیرات گسترده‌‌ای بر شرکت‌های آمریکایی داشت.

در دو مورد عمده، شرکت‌های بیمه از پوشش مطالبات با استناد به استثناهای  بیمه‌ای مرتبط با «اقدام جنگی» به دلیل دخالت یک بازیگر دولت-ملت خودداری کردند.

مقامات ایالات متحده، حمله NotPetya را به روسیه نسبت داده‌اند اما دادگاه نیوجرسی در 13 ژانویه حکم داد شرکت بیمه Ace اطلاعات کافی درباره نحوه اعمال این استثنا در بیمه‌نامه 1.7 میلیارد دلاری شرکت کشتیرانی مرک ارایه نکرده است.

طبق گزارش‌ها، پرونده Merck مربوط به  Ace در حال تجدیدنظر است. طبق نظر دادگاه، این شرکت بیمه، باید ادعای 1.4 میلیارد دلاری مرک را برای خسارت رایانه‌ای این شرکت بپردازد.

اخیرا The Record نیز گزارش داد شرکت بیمه زوریخ در حال حل‌وفصل دعوی 100 میلیون دلاری با غول غذای تنقلات موندلز است که در ابتدا از پرداخت ادعای مربوط بهNotPetya ، با استناد به استثنائات بیمه سایبریِ «عمل جنگی» امتناع می‌کرد.

گزارش GAO در ماه می‌2021، با استناد به گفت‌وگو با کارکنان انجمن ملی کمیسیون‌های بیمه، به عدم یکنواختی در نحوه تعریف اصطلاحات کلیدی در صنعت بیمه سایبری، از جمله «عمل جنگی» اشاره کرد.

این ابهام می‌تواند منجر به سوءتفاهم و دعوا بین بیمه‌گذاران و شرکت‌های بیمه‌ای شود. در این رابطه، شرکت بیمه اتکایی لویدز لندن، در نوامبر 2021 از معافیت‌های بیمه‌ای مرتبط با اقدام جنگی حمایت کرد.

• از هشدار تا مشارکت

در موارد دیگر، این صنعت همچنین به دلیل ترغیب بیمه‌گذاران به پرداخت باج‌خواهی از سوی برخی ناظران مورد انتقاد قرار گرفت.

همچنین به خزانه‌داری هشدار داده شد که شرکت‌های بیمه ممکن است با درگیر شدن با کشورهای تحریم‌شده‌ مانند کره‌شمالی و ایران از طریق نهادهای نیابتی که چنین پرداخت‌هایی را انجام می‌دهند، تحریم‌های ایالات متحده را نقض کنند.

نمایندگان صنعت بیمه می‌گویند در واکنش به افزایش باج‌افزارها، در طول مراحل پذیره‌نویسی خود، نظارت بیشتری دارند. همچنین ناظرانی مانند مودیز (شرکت رتبه‌بندی اعتباری) گزارش دادند جنگ در اوکراین، همراه با باج‌افزار، به پوشش محدودتر و حق بیمه‌های بالاتر منجر شده است. نمایندگان صنعت بیمه سایبری  همچنین به تجدیدنظرهایی که لویدز در بولتن خود در ماه آگوست انجام داد و به استفاده از تعریف واضح‌تر درباره «عمل جنگی» در بیمه‌نامه‌ها توصیه کرد، اشاره می‌کنند.

یک بیمه‌گر اتکایی نوشت: «ما تشخیص می‌دهیم بسیاری از عوامل مدیریتی در بازار، در حال حاضر، بندهایی را در سیاست‌های خود گنجانده‌اند که به‌طور خاص برای جلوگیری از قرار گرفتن در معرض حملات سایبری ناشی از جنگ و حملات سایبری غیرجنگی و تحت حمایت دولت، طراحی شده‌اند. با این حال، ما می‌خواهیم اطمینان حاصل کنیم همه سندیکاهایی که در این سطح هستند، این کار را با استانداردی مناسب و با عبارات قوی انجام می‌دهند… پیچیدگی‌هایی که ناشی از افشای حملات سایبری در زمینه جنگ یا حملات غیرجنگی و تحت حمایت دولت است. این امر بدین معناست که پذیره‌نویسان باید اطمینان حاصل کنند عبارات آنها از نظر قانونی بررسی می‌شود. با این اقدام، اطمینان حاصل می‌شود که آنها به اندازه کافی قوی هستند.»

همان‌طور که تصمیم دادگاه ژانویه، توافقنامه  اخیر و حملات به زنجیره تامین مانند هک سولار ویندز، عملکرد صنعت را در مدیریت ریسک‌های امنیت سایبری مورد توجه قرار می‌دهد، شرکت‌های بیمه نیز در حال ترویج واکنش فدرال برای تکمیل پوشش بیمه‌ای در این زمینه هستند.

طبق گزارش انجمن ژنو، یک اندیشکده صنعت بیمه، منتشرشده در ژانویه، آمده است: «صنعت بیمه در درک خود از تروریسم سایبری (فعالیت سایبری متخاصم)، جنگ سایبری و ارزیابی چگونگی بیمه کردن چنین ریسک‌هایی، راه طولانی را پیموده است. برای گسترش محدودیت‌های بیمه‌پذیری، بیمه‌گران باید در ارزیابی گزینه‌های امکان‌پذیر برای اشتراک‌گذاری ریسک‌های سایبری، با دولت‌ها از طریق مشارکت‌های دولتی و خصوصی فعال باشند. این تلاش‌های مشترک بین بیمه‌گران و دولت‌ها، شکاف‌های حفاظت سایبری را کاهش می‌دهد و اطمینان حاصل می‌کند که مزایای اجتماعی کامل فضای سایبری قابل تحقق است.»

• حمایت از برنامه بیمه فدرال

شرکت بیمه جهانی Swiss Re با اشاره به اطلاعیه وزارت خزانه‌داری وCISA ، حمایت خود را از برنامه بیمه فدرال در گزارش 8 نوامبر اعلام کرد.

در این گزارش آمده است: «اقدامات جنگ سایبری، اختلال در ارایه‌دهنده ابر نرم‌افزار حیاتی، یا استقرار بدافزار از طریق نرم‌افزارهای پرکاربرد، نمونه‌هایی از سناریوهایی هستند که می‌توانند خسارات فاجعه‌باری ایجاد کنند. بنابراین طراحی یک نوع طرح بیمه مشارکت عمومی- خصوصی (PPP) که در آن پوشش ریسک‌های سیستمی‌بین بیمه‌گران و یک صندوق تحت حمایت دولت تقسیم شود، ضروری است.»

وزارت خزانه‌داری و CISA به جذابیت‌های این صنعت توجه دارند. درخواست آنها برای اظهارنظر در 29 سپتامبر به گزارش انجمن ژنو اشاره داشت که پیشنهاد می‌کرد یک برنامه موفق بیمه سایبری فدرال باید نهادها را به خرید بیمه سایبری نیز تشویق کند. این گروه در گزارش خود اعلام کرد: «برای ایجاد انگیزه در امنیت سایبری خوب، تا حد امکان باید ریسک بیشتری در اختیار شرکت‌ها و افراد قرار گیرد و توسط شرکت‌های بیمه خصوصی با شرایط تجاری پذیرفته شود؛ البته با دخالت بخش عمومی‌و محدود به نتایج ناشی از زیان‌های شدید.»

در این رابطه، هر راه‌حلی که توسط دولت حمایت می‌شود، نباید صرفا یک راه‌حل مالی باشد، بلکه باید همراه با بیمه‌گران، به دنبال ارتقا و اتخاذ بهترین شیوه‌های امنیت سایبری، از جمله اخذ بیمه مناسب باشد تا آسیب‌پذیری جامعه در برابر چنین خطراتی کاهش یابد.

در درخواست وزارت خزانه‌داری و CISA برای اظهارنظر درباره بیمه سایبری، همچنین این سوال مطرح شده که چگونه یک برنامه بیمه فدرال می‌تواند از ایجاد ریسک اخلاقی جلوگیری کند. آنها این احتمال را می‌دهند که ممکن است بیمه‌گذاران یا دارندگان بیمه‌نامه با اتکا به پاسخ بیمه فدرال، ریسک‌های غیرضروری را متحمل شوند یا در کنترل‌ امنیت سایبری شکست بخورند. در همین ارتباط، GAO درباره شایستگی‌ یک برنامه بیمه فدرال، به کنگره توصیه کرد موضوع ریسک اخلاقی را جدی بگیرد.

• معماری امنیتی «اعتماد صفر»

طرح سرویس مخفی برای اتخاذ یک مدل معماری امنیتی با عنوان Zero Trust (اعتماد صفر)، در سیستم‌های آژانس از زمانی که اداره مدیریت و بودجه، دستورالعمل جدیدی در ژانویه منتشر کرد، به‌روزرسانی نشده است.

بر اساس گزارش منتشرشده توسط سرویس مخفی، اگرچه این سرویس مخفی در اتخاذ یک مدل اعتماد صفر در سیستم‌های خود «پیشرفت» داشته است، اما این آژانس همچنان باید تلاش‌های امنیتی سایبری خود را با راهنمایی‌های فدرال (که پس از تدوین برنامه اجرایی آن برای اولین بار  توسط دیوان محاسبات دولت ارایه شد)، هماهنگ کند.

در گزارشGAO ، اتخاذ استراتژی معماری اعتماد صفر توسط سرویس مخفی بررسی شده است. پذیرش این فرض که نقض سیستم‌های فناوری اطلاعات اجتناب‌ناپذیر است یا احتمالا در گذشته نیز رخ داده، سیستم‌ها و خدمات آژانس‌ها را تقویت می‌کند.

این گزارش می‌افزاید: «امنیت اعتماد صفر برای محدودسازی مداوم دسترسی کاربران به منابع، زمانی که به آنها نیاز دارند، درنظر گرفته شده است. به این ترتیب، مدل اعتماد صفر به دنبال حذف اعتماد ضمنی به کاربران یا دستگاه‌های متصل به شبکه یک آژانس است.»

در می 2021، جو بایدن، رئیس‌جمهوری آمریکا، فرمان اجرایی بهبود امنیت سایبری کشور را صادر کرد. این فرمان از آژانس‌های فدرال می‌خواست «برنامه‌ای برای اجرای معماری اعتماد صفر ایجاد کنند.»

آژانس امنیت سایبری و امنیت زیرساخت نیز در ژوئن 2021، پیش‌نویس دستورالعملی را برای کمک به اجرای برنامه اعتماد صفر آژانس‌ها صادر کرد. بر این اساس، CISA که بررسی خود را از اکتبر 2021 تا نوامبر 2022 انجام داده، اعلام کرد در نوامبر 2021، اجرای سرویس مخفی را درخواست کرده است.

این درخواست قبل از انتشار یادداشتی از سوی اداره مدیریت و بودجه یا OMB در ژانویه 2022 بود که سازمان‌ها را ملزم به استانداردها و اهداف امنیت سایبری خاص، از جمله مجموعه‌ای از اقداماتی کرده که باید تا پایان سال مالی 2024 انجام دهند؛ اقداماتی که قرار است برای شروع اجرای مدل معماری اعتماد صفر باشد. بر اساس این گزارش، سرویس مخفی، برنامه اجرایی خود را برای پاسخگویی به راهنمایی‌های OMB به‌روز نکرده است.

• نقاط عطف

به گفته آژانس امنیت سایبری و امنیت زیرساخت (CISA)، طرح اجرای سرویس مخفی، چهار نقطه عطف را برای حمایت از گسترش معماری اعتماد صفر ایجاد کرده است. این نقاط عطف عبارتند از:

–           انجام خودارزیابی محیط آی‌تی در برابر دستورالعمل‌های پیش‌نویس  CISA

–           اجرای خدمات ابری ارایه‌شده توسط فروشنده

–           دستیابی به «سطح اولیه بلوغ ثبت رویداد»، بر اساس دستورالعمل OMB صادرشده در آگوست 2021

–           انتقال زیرساخت فناوری اطلاعات به یک پروتکل اینترنتی پیشرفته‌تر.

با این حال، از آنجا که آژانس برنامه اجرایی خود را قبل از اینکه OMB، استراتژی اعتماد صفر خود را منتشر کند، توسعه داده است، دیوان محاسبات دولت (GAO) متوجه شد چهار نقطه عطف در برنامه اجرای سرویس مخفی، فقط به شش مورد از 15 اقدام ضروری OMB پرداخته است.

این گزارش نشان می‌دهد مثلا آژانس به الزامات OMB درباره اجرای پروتکل اینترنت نسخه 6 یا  IPv6  رسیدگی نکرده است. همچنین در حاشیه گزارش، GAO اشاره کرد نسل بعدی پروتکل‌های اینترنتی، مکانیسم‌هایی را نشان می‌دهد که نحوه و مکان حرکت اطلاعات در شبکه‌های به‌هم‌پیوسته را مشخص می‌کند.

در این گزارش، با بیان اینکه آژانس با انتقال به این پروتکل، می‌تواند از ویژگی‌های امنیتی بیشتر استفاده کند، آمده: «اگر سرویس مخفی، برنامه پیاده‌سازی یعنی معماری اعتماد صفر را به‌روز نکند، احتمالا مدیریت مجموعه، دیدگاه منسجمی‌درباره فعالیت‌های متفاوتِ مرتبط با فرایند انتقال نخواهد داشت. از این رو، GAO توصیه کرده سرویس مخفی به یک پروتکل اینترنتی پیشرفته‌تر برای سیستم‌های عمومی‌منتقل شود و طرح اجرای معماری اعتماد صفر خود را به‌روز کند. در این رابطه، وزارت امنیت داخلی، که بر سرویس مخفی نظارت دارد، به نمایندگی از آژانس به GAO پاسخ داد و با این دو توصیه موافقت کرد.»(منبع:عصرارتباط)