بعد انتشارها.. تعرف على تغطيات وضوابط وثائق التأمين ضد الهاكرز والهجمات الإلكترونية
الجريمة الإلكترونية هي كل فعل ضار بالآخرين عبر استعمال الوسائط الالكترونية مثل الحواسيب، أجهزة الموبايل، شبكات الاتصالات الهاتفية، شبكات نقل المعلومات، شبكة الانترنت أو الاستخدامات غير القانونية للبيانات الحاسوبية أو الالكترونية عموما.
أنواع الجرائم الإلكترونية
أولا: جرائم اختراق الحواسب ومراكز المعلومات بهدف:
· الوصول للبيانات بشكل غير قانوني والاطلاع عليها أو التلاعب بها وتزويرها مثل تغيير وثيقة ملكية أو تغيير بيانات ضريبية.
· تدمير البرامج والبيانات المخزنة فيها أو تعطيلها عن العمل من خلال زرع الفيروسات والبرامج الخبيثة.
ثانيًا: جرائم شبكة الانترنت Cyber Crime ( حواسب وشبكات) وتشمل:
· استخدام الحواسيب وشبكة الإنترنت للتخطيط لجريمة مثل السرقة، تزوير أوراق ومستندات، اختلاس أموال، الاحتيال، التخطيط لجرائم ضد الأطفال والقصر والفتيات.
· اقتحام المواقع الإلكترونية على الشبكة وإيقافها عن العمل من خلال إغراقها بالرسائل أو بوسيلة أخرى أو تدميرها.
· جرائم القرصنة: إنشاء مواقع للبرامج المقرصنة، استخدام البرامج المقرصنة وسرقة المواقع.
· التشهير وتشويه السمعة في المواقع الإلكترونية والإخبارية.
· انتحال شخصية فرد أو شركة بهدف الاحتيال مثلًا من خلال البريد الإلكتروني.
· اختراق البريد الإلكتروني للآخرين.
· تزوير التوقيع الإلكتروني.
· جرائم الأموال: السطو على أرقام البطاقات الائتمانية، اختلاس من البنوك، تزوير وثائق ومستندات مالية.
· الاحتيال للاستيلاء على الأموال من خلال البريد الالكتروني.
جرائم التغرير والاستدراج: التغرير والاستدراج هي من أشهر جرائم الإنترنت ومن أكثرها انتشارًا خاصة بين أوساط صغار السن والقصر والفتيات من مستخدمي الشبكة.
أنواع تغطيات تأمين السايبر (المخاطر الالكترونية):
- تغطية خصوصية البيانات
- تغطية المسؤولية عن الخسارة أو خرق البيانات
- تغطية تكاليف المعالجة / مثل إخطار العميل والتحقيقات الجنائية
- تغطية غرامات الجهات الرقابية و/ أو العقوبات المرتبطة بخروقات البيانات
- أنواع أخرى من تغطيات تأمين السايبر (المخاطر الالكترونية):
- التكاليف والمسئوليات الناشئة عن حوادث الأمن الالكتروني التي لا تنطوي على خروقات البيانات.
- الأعمال التجارية وانقطاع الأعمال المحتمل.
- الابتزاز.
- المسؤولية الإعلامية.
- تغطية الأزمات للطرف الأول
- عملية الادارة واسترجاع هوية المؤسسة بعد حادث السرقة:
نفقات الاتصالات لإخطار العملاء المتضررين، وتقديم خدمات مراقبة الائتمان، وإجراء تحقيقات الطب الشرعي، والنفقات المتكبدة في الابقاء على إدارة الأزمات أو تكاليف الحصول على شركة العلاقات العامة لغرض حماية أو استعادة سمعة المنظمة.
- الابتزاز:
نفقات دفع الفدية أو التحقيق في تهديدات إطلاق السراح، الإفشاء، النشر،التدمير، السرقة أو استخدام المعلومات السرية.
إدخال الشفرات الخبيثة في نظام الكمبيوتر.
فساد أو تلف أو تدمير نظام الكمبيوتر.
تقييد أو عرقلة الوصول إلى نظام الكمبيوتر.
- حماية أصول البيانات:
استرداد التكاليف والنفقات التي تكبدتها المنظمة لاستعادة أو إعادة إنشاء أو استعادة الوصول إلى أي برامج أو بيانات إلكترونية من النسخ الاحتياطية أو من النسخ الأصلية.
أو معًا تجميع وإعادة إنشاء مثل هذه البرمجيات أو البيانات الإلكترونية من مصادر أخرى إلى المستوى أو الحالة التي كانت موجودة عليها مباشرة قبل تغييرها، أوفسادها، أوتدميرها، أوحذفها أو الحاق اضرار بها.
- انقطاع شبكة الأعمال:
تسديد خسارة الدخل و/ أو النفقات الإضافية نتيجة لانقطاع أو تعليق الأنظمة.
- تغطية الطرف الثالث
- مسؤولية أمن الشبكة:
تغطي المطالبات من الأطراف الثالثة الناشئة عن خرق في أمن الشبكة أو نقل البرمجيات الخبيثة / الفيروسات إلى أجهزة كمبيوتر وانظمة الطرف الثالث.
- مسؤولية الخصوصية:
تغطي المطالبات من أطراف ثالثة نتيجة لعدم التعامل بشكل صحيح مع إدارة، تخزين أو حماية المعلومات الشخصية/التعريفية الأخرى. سرية معلومات الشركة والانتهاك غير المقصود للوائح الخصوصية.
- الاستثناءات الرئيسية / الحدود الفرعية
- استبعاد الأجهزة الإلكترونية المحمولة:
إذا كان الجهاز الذي أدي إلى خرق الكتروني هو جهاز محمول، العديد من الوثائق يمكن أن تستبعد التغطية
تماما عن أي خسارة ناتجة.
- اعمال الاستبعاد المقصودة:
مرة أخري، الفجوة هنا هي افضل توضيح لسيناريوهات التناقض بين الانواع المختلفة لمنتجات التأمين وبالذات منتج المسئولية أمام منتج الجريمة.
وثيقة الجريمة أو الأمانه تغطي بشكل عام خسارة الطرف الأول للمؤمن له حتى لو الخسارة حدثت بسبب المؤمن له أما وثائق المسئوليات بشكل عام تغطي الاضرار أو الخسائر التي سببها المؤمن له للطرف الثالث.
معظم وثائق تأمين السايبر (الاخطار الالكترونية) لا تقدم على نحو كاف للطرف الاول والثالث.
على سبيل المثال، تستثني وثائق المسؤولية تغطية الأضرار أو الخسائر التي يتسبب فيها المؤمن له عمدًا.
وبالتالي، إذا تسبب الموظف عن طريق الخطأ في حدوث خرق إلكتروني، فسيتم تغطية الخسارة الناتجة ( إما تحت مسؤولية عامة أو تحت مظلة الوثيقة التي لا تستثني مخاطر السيبر( المخاطر الالكترونية) أو بموجب وثيقة إلكترونية مستقلة).
ومع ذلك، إذا تسبب موظف اخر في نفس الخرق الإلكتروني عن عمد، فإن الخسارة الناتجة سيتم رفضها بموجب وثيقة المسؤولية العامة إذا كان هذا الاستثناء موجود.
- الأمة / الدولة، الإرهاب، استبعادات الإرهاب الإلكتروني / القضاء والقدر:
وعلى غرار السيناريو السابق، يستثني من التغطية - سواء إذا كان الخرق ناجما عن قصد أو عن غير قصد- كل من الاحداث المتعلقة بالدولة، الإرهاب وكذلك الاحداث القدرية وبالتالي يمكن أن تؤدي العناصر السابقة إلى منع التغطية ببساطة بناء على من أو ما الذي تسبب في حدوث الخرق.
- تجاهل او اهمال في امن الكمبيوتر:
تستبعد بعض الوثائق التغطية إذا كانت البيانات غير مشفرة أو إذا فشل المؤمن له في تثبيت تحديثات البرامج أو تصحيحات الأمان بشكل مناسب.
- الحدود الفرعية:
العديد من الوثائق لديها أيضا حدود فرعية يتم تطبيقها على أشياء مثل تكاليف الاخطار بالاختراق أو الانتهاك، ومصاريف مراقبة الائتمان، الاعمال وانقطاع الأعمال أو انقطاع الشبكة، والنفقات الاضافية.
بالإضافة إلى ذلك، قد تكون تغطية الأعمال أوانقطاع الشبكة لديها خصم اكبر أو تتضمن عنصر الوقت (أي، يجب أن يحدث للاعمال أو الشبكة سقوط/ توقف
لعدد معين من الساعات قبل أن يتم تشغيل تغطية انقطاع الأعمال).
- خدمات ما بعد الخرق:
بعض شركات التأمين بدأت في شراكة مع المتخصصين في الأمن الالكتروني لمساعدة العملاء الذين
حدثت لهم تجربة خرق عبر الإنترنت / خرق إلكتروني وذلك لتقديم تحقيقات الطب الشرعي، واستراتيجيات الاستجابة للحوادث الاستباقية، والتدريب وذلك لأنها تدرك فائدة ذلك لكل من العملاء والشركة نفسها في الاستجابة
بسرعة وبكفاءة بقدر الإمكان إلى الخرق الالكتروني /عبر الإنترنت للحفاظ أو تثبيت التكاليف الناتجة عن وقوع الحدث،والمطالبات، والأضرار لتكون جميعها منخفضة بقدر الإمكان.
- المسؤولية غير المباشرة/ البائعون:
العديد من وثائق السيبر(التأمين ضد المخاطر الالكترونيه) القياسية تستثني تغطية البيانات التي عهدت بها المنظمة إلى بائع طرف ثالث الذي تم اختراقه.
- الاعتبارات العامة الأخرى للوثيقة:
- يجب ان تتم مراجعة البنود بعناية.
- إذا كنت لا تفهم معني شئ ما، هذا يعني غالبًا أن هذا الجزء ليس واضحا ويمكن أن يؤدي إلى رفض التغطية أو التقاضي على الشروط.
من المهم أن نفهم شروط الوثيقة وعادةً يقوم المكتتبين بتفسير كل النقاط التي تحتاج الي توضيح، لذلك يجب ان يتم الاستفسار.
- في ما يلي بعض العناصر الأخرى التي يجب مراعاتها أثناء مراجعة بنود وثيقتك:
- التهديدات الداخلية:هل تشمل التغطية حوادث مخالفات داخلية؟
- بيانات عن الأجهزة غير المشفرة أو BYOD:لا تغطي بعض الوثائق الأجهزة غير المشفرة أو الأجهزة التي لا تملكها الشركة.
- المعلومات التي تخزنها أو تحتفظ بها من قبل أطراف ثالثة: فهم ما إذا كانت وثيقتك لديها تغطية توسعيه في حال وجود خرق في أحد موردي المؤسسة.
- تكاليف استبدال أو تحديث أو تطوير أو تحسين أو صيانة نظام الكمبيوتر: وكثيرا ما تكون التغطية غير متاحة لاستبدال أو تطوير الأنظمة التي تعاني من نقاط ضعف، ولا توفر التغطية سوى تكاليف الاستبدال للبنية التحتية القائمة.
- تغطية للتحقيقات المحتملة للجهات التنظيمية /الرقابية والغرامات.
- الأضرار التي لحقت بعملاء الشركة. في كثير من الأحيان تمتد تغطية السيبر فقط للمستهلكين الأفراد وليس للطرف الثالث من عملاء الشركة.
- الحدود الإقليمية: تقتصر بعض التغطيات فقط على الحوادث التي تحدث داخل الدولة/الولاية وقد تحتاج المؤسسة إلى تغطية إضافية اعتمادًا على مكان البيانات المخزنه.
- تكاليف مراقبة الائتمان. وعادة ما تنص وثائق تأمين السيبر على تقديم سنة واحدة من مراقبة الائتمان للمستهلكين المتضررين.
