فقدان بیمه سایبری در قلب جنگ: ریسک‌های ناپوشیده در خط مقدم درگیری

وحید نوبهار، مولف کتاب بیمه‌های فن‌آوری و سایبری، در یادداشتی که برای دیجیاتو نوشته با اشاره به تغییر چهره جنگ‌ها در عصر دیجیتال هشدار می‌دهد که اگرچه خسارات فیزیکی ناشی از حملات نظامی به سرعت قابل مشاهده‌اند، اما حملات سایبری در دوران جنگ در سکوت عمل کرده و می‌توانند زیرساخت‌های حیاتی کشور را فلج کنند.

جنگ از دیرباز پدیده‌ای بوده که در وهله اول با مفاهیم ملموسی همچون تخریب زیرساخت‌های فیزیکی، تلفات جانی و زخمی شدن انسان‌ها و بر هم خوردن نظم اقتصادی و اجتماعی شناخته شده که تصور سنتی از جنگ است. لکن چشم‌انداز این تخریب‌ها با ورود به عصر دیجیتال دگرگون شده است. دامنه ویرانی‌های ناشی از درگیری‌های نظامی به شکل فزاینده‌ای به فضای سایبری گسترش یافته است. اگرچه خسارات فیزیکی ناشی از حملات نظامی ماهیت قابل درکی دارند و پیامدهای آن‌ها به سرعت قابل مشاهده است، حملات سایبری در دوران جنگ، اغلب با کیفیتی پنهان و نامحسوس عمل می‌کنند. حملات در سکوت و دور از دید همگان توانایی ایجاد اختلالات گسترده و حتی فلج‌کننده‌ای را داشته که می‌تواند زیرساخت‌های حیاتی کشور را از کار بیندازد. با وجود این واقعیت انکارناپذیر، نکته‌ای که عمیقاً جای تأمل دارد این است که در اوج بحبوحه درگیری‌های نظامی مفهوم و سازوکار بیمه سایبری (Cyber Insurance) به ندرت در کانون توجه قرار گرفته یا آنچه در صنعت بیمه کشور جاری است، وجود خارجی ندارد. این غفلت یا فقدان شکاف عمیق و خطرناک را در زنجیره مدیریت ریسک ایجاد کرده و سازمان‌ها و جوامع را در برابر تهدیدات سایبری دوران جنگ، بی‌دفاع باقی می‌گذارد.

زیرساخت‌های حیاتی از جمله شبکه‌های تأمین انرژی، سیستم‌های ارتباطاتی، بازارهای مالی و زنجیره‌های تأمین لجستیکی وابستگی شدید به فناوری اطلاعات و ارتباطات پیدا کرده‌ که آن‌ها را به طور طبیعی به اهداف بسیار جذاب و در اولویت برای حملات سایبری تبدیل می‌سازد. بازیگران متعددی اعم از دولتی و غیردولتی، پتانسیل و انگیزه لازم برای بهره‌برداری از این آسیب‌پذیری را دارا هستند. ارتش سایبری متخاصم به عنوان بخشی از راهبرد جنگی خود ممکن است این زیرساخت‌ها را هدف قرار دهند. همچنین، گروه‌های هکری و مجرمان سایبری که در بحبوحه هرج و مرج جنگی به دنبال فرصت‌طلبی و کسب منافع نامشروع هستند، می‌توانند در این حملات نقش داشته باشند. اهداف این حملات از فلج کردن توان دفاعی و لجستیکی گرفته تا ایجاد وحشت و ناآرامی در میان جمعیت عمومی و یا مختل کردن عملیات حیاتی بازسازی و ارائه خدمات ضروری را شامل می شود.

حملات سایبری می‌توانند در اشکال گوناگونی همچون حملات منع سرویس توزیع‌شده (Distributed Denial of Service - DDoS)  که با هدف از دسترس خارج کردن وب‌سایت‌ها، سکو‌های ارتباطی و سیستم‌های حیاتی صورت می‌پذیرند، استقرار بدافزارهای پیچیده (Advanced Malware) که قادر به سرقت اطلاعات حساس، تخریب داده‌ها یا کنترل سیستم‌ها از راه دور هستند، تجلی یابند. علاوه بر این حملات باج‌افزاری (Ransomware)  نیز تهدید جدی دیگری محسوب می‌شوند که در آن‌ها سیستم‌های حیاتی رمزگذاری شده و مهاجمان در ازای بازگرداندن دسترسی، درخواست باج می‌کنند که می‌تواند اختلالات گسترده‌ای را در ارائه خدمات ایجاد نماید.

خلاء پوشش بیمه‌ای سایبری

نکته محوری و حیاتی در بحث مدیریت ریسک سایبری در شرایط جنگی، فقدان پوشش بیمه سایبری و از آن جمله برای خسارات و اختلالات ناشی از درگیری‌های نظامی در صنعت بیمه کشور است. حتی در کشورهایی که بیمه نامه سایبری صادر می‌شود، اغلب با استفاده از بندهای صریح یا مفاد ضمنی خساراتی را که منشأ آن‌ها اعمال جنگ (Acts of War) یا به طور کلی‌تر فعالیت‌های خصمانه (Hostile Activities) تعریف می‌شود، از پوشش خود مستثنی می‌کنند. بندهای استثناء که بخش جدایی‌ناپذیر قراردادهای بیمه‌گری محسوب می‌شوند، به این دلیل گنجانده شده‌اند که ماهیت و مقیاس ریسک‌های مرتبط با جنگ فراتر از ظرفیت‌های معمول ارزیابی ریسک و جذب ریسک شرکت‌های بیمه گر تلقی می‌شود. ابعاد وسیع، شدت غیرقابل کنترل و ماهیت غیرقابل پیش‌بینی حملات سایبری در دوران جنگ، عملاً محاسبه دقیق میزان خسارات احتمالی و همچنین تعیین مسئولیت قانونی و مالی طرفین را به امری بسیار دشوار و در بسیاری موارد، ناممکن بدل می‌سازد. لذا سازمان‌ها و نهادهایی که بیشترین مواجهه را نسبت به ریسک‌های سایبری دارند هیچ‌گونه پوشش بیمه‌ای برای حفاظت از خود در برابر این تهدیدات ویرانگر دریافت نکرده و در برابر تبعات مالی آن آسیب‌پذیر باقی می‌مانند.

فقدان پوشش بیمه سایبری پیامدهای وخیمی به همراه دارد. سازمان‌ها مجبورند تمام هزینه‌های ناشی از حملات سایبری را خود تقبل کنند که می‌تواند شامل بازیابی سیستم‌ها، پرداخت باج (که تضمینی برای بازگرداندن داده‌ها نیست)، جبران خسارات وارده به مشتریان یا شرکای تجاری و هزینه‌های حقوقی و اعتباری باشد. این هزینه‌ها در شرایط جنگی که منابع به شدت محدود است، می‌تواند برای بسیاری از کسب‌وکارها و حتی نهادهای دولتی، طاقت‌فرسا و حتی ورشکست‌کننده باشد. از سوی دیگر انگیزه برای سرمایه‌گذاری در اقدامات امنیتی سایبری را کاهش می‌دهد چرا که ریسک نهایی همچنان بر عهده خود سازمان است. در حالی که در دوران صلح، بیمه سایبری می‌تواند به عنوان یک مشوق مالی برای تقویت امنیت عمل کند، در دوران جنگ این نقش کمرنگ می‌شود. علاوه بر این ماهیت علّیت (Causality) حملات سایبری در دوران جنگ، پیچیدگی بیشتری می‌یابد. تفکیک حملات سایبری که ریشه در اقدامات جنگی دارند از حملاتی که صرفاً با انگیزه‌های جنایتکارانه یا خرابکارانه صورت می‌گیرند، دشوار است. ابهام این چنین حتی اگر بیمه سایبری در دسترس بود، فرآیند ارزیابی خسارت را بسیار چالش‌برانگیز می‌کرد. 

لذا باید تاکید کرد که عدم ارائه بیمه سایبری در شرایط صلح یا جنگ نشانگر یک خلأ راهبردی قابل توجه در چارچوب مدیریت ریسک در صنعت بیمه کشور است. در حالی که سازوکارهای بین‌المللی برای پوشش ریسک‌های سیاسی و اعتباری در دوران جنگ وجود دارد، پوشش ریسک‌های سایبری در این مقیاس هنوز به طور جدی مورد توجه قرار نگرفته است. یافتن راه‌حل‌هایی برای این معضل که نیازمند همکاری‌های نوآورانه میان دولت‌، نهاد ناظر و صنعت بیمه برای ایجاد صندوق‌های تضمین مشترک یا سازوکارهای پوشش ریسک خاص جنگ سایبری است، اقدام حیاتی برای افزایش تاب‌آوری در برابر تهدیدات مدرن جنگ محسوب می‌شود که در صورت عدم وجود، فضای سایبری به یکی از آسیب‌پذیرترین عرصه‌ها در درگیری‌های آینده تبدیل خواهد شد.