الأمن السيبراني، بين حماية شركات التأمين نفسها من حوادثه، وإصدار عقودها التأمينية ضد تلك الحوادث لزبائنها

الأمن السيبراني

يعرف الأمن السيبراني بأنه الفضاء الذي يجب الحماية من الوصول إليه بدون تصريح، أو سوء استخدام بما في ذلك الاعتداء المتعمد، أو بطريق الخطأ أو بنتيجة الإخفاق في إتباع الإجراءات الأمنية، أو التعرض للخداع الذي يؤدي إلى ذلك، ويعرف أيضا كما هو عند الكثيرين، بأنه ممارسة الدفاع عن الحواسيب والخوادم والأجهزة المحمولة، والأنظمة الإلكترونية والشبكات والبيانات من الهجمات الخبيثة عبر أشخاص سواء بشكل مباشر أو عبر برمجيات وأدوات غير شرعية، وبغض النظر إذا كانت من داخل أو من خارج المنشأة مهما كان تصنيفها، كما ويعرف أيضا باسم أمان تقنية المعلومات، أو أمن المعلومات الإلكترونية.

وذلك من أجل حماية نظام المعلومات والاتصالات المتعلقة بأعمال الشركة، والأدوات المعدة لإنشاء البيانات أو المعلومات إلكترونيا أو إرسالها أو تسلمها أو معالجتها أو تخزينها أو إدارتها أو عرضها بالوسائل الإليكترونية بحسب القانون، وسيكون مع إقرار قانون مجلس الأمن السيبراني وهيئة إدارية تخصه.

ملخص المهام لمجلس إدارة أي شركة بشأن الأمن السيبراني

لكل شركة مجلسها الإداري، والذي يجتمع دوما كل ثلاثة أشهر، والذي يشكل حصص كل شخص في الشركة المعنية، وبما أن الأمن السيبراني أصبح أمر واقع في العالم، فإن مجلس الإدارة يجب أن يضم في عضويته ومن يفوض من لجانه، والإدارة التنفيذية العليا أشخاص يتمتعون بالمهارات والمعارف المناسبة لفهم وإدارة المخاطر السيبرانية، ويتولى المجلس أو من يفوض من لجانه المسؤوليات والمهام كل بحسب موقعه، والتي تعمل على حوكمة الأمن السيبراني، وأما بالنسبة للمسؤوليات والمهام فهي كما يلي:

1. إعتماد سياسة للأمن السيبراني بحيث يكون نهج تنهجه الشركة وتكون مكتوبة، والعمل على مراجعته على الدوام من قبل المسؤولين عنها، وفي حال طرأ أي جديد على الساحة، فإنه يتم تغيير ما تم اعتماده على أن يكون بأفضل المعايير الدولية المعتمدة كما يجب أن يكون.
2. إعتماد برنامج الأمن السيبراني بحيث يحدد التهديدات الداخلية والخارجية للمخاطر وتحديد وتصنيف مخاطر وحساسة المعلومات في بيئة تقنية المعلومات والاتصالات، وتطبيق سياسة وإجراءات الأمن السيبراني، والعمل على كشف محاولات الاختراق غير المشروع الناجحة والفاشلة وتسجيلها بعد حدوثها فورا، واتخاذ الإجراءات التصحيحية من أجل السيطرة ومحاولة عدم تكراره، ومن المسؤولين عن كيفية إعتماده.
3. وضع جدار ناري أساسي داخل المقر الرئيسي للشركة وفروعها، وآخر احتياطي لنفس المقر في حال تعطل الأساسي، وذلك لضمان إستمرارية المهام التي تقوم بها نحو حماية الشركة من أي هجوم إليكتروني خارجي.
4. خطة الاستمرارية والتعافي من بعد أي حادث أمني سيبراني، بحيث يجب العمل على توفير كل البرامج والأنظمة المعنية لأخذ النسخ الاحتياطية الآنية من أجهزة حواسيب الموظفين والسيرفرات وغيرها، وتحديد كيفية سيرها ومن المسؤولين عنها.
5. مراقبة الشبكات من خلال أنظمة إليكترونية معنية بذلك على أن يتم تحديثها وتطويرها دوما، ومن المسؤولين عنها.
6. توعية وتدريب موظفي الشركة بخصوص الأمن السيبراني، وذلك لضمان تطبيق جميع الموظفين في الشركة التعليمات الصادرة من دائرة تقنية المعلومات والإدارة العليا، وتدريب المعنيين فيما يخص بتفاصيل الأمن السيبراني من دورات وورش عمل.
7. قد يتطلب الأمر عمل فحوصات لكل الأنظمة الموجودة من قبل شركة أو جهة معنية بالأمن السيبراني، وذلك بعمل عمليات هجوم وهمية لكل تلك الأنظمة لاختبار مدى جاهزيتها لحماية معلومات الشبكة من حوادث الأمن السيبراني.
8. إدارة أمن المعلومات تكون من خلال مدير لا يتبع إداريا لدائرة تقنية المعلومات، وله موظفينه كما لمدير دائرة تقنية المعلومات موظفينه، وبالتالي يتمتع بالاستقلالية التامة بما يضمن عدم تضارب المصالح، وأن يكون لديه الخبرة العلمية والمعرفة المهنية، وأيضا المسؤولين عنها.
9. حصر الموظفين في تصفح الإنترنت عبر المواقع الموثوقة فقط، وفي حال كانت هناك مواقع يجب تداولها لأنها تتعلق بمهام التي تنجز داخل الشركة أو حتى خارجها، فإنه يتم دراستها.
10. في حال تم عمل سيرفر إحتياطي سحابي، فإنه أيضا يجب عمل كل الترتيبات اللازمة والخاصة به، وذلك من جدار ناري سحابي خاص به وما يلزم، وأيضا عمل كل الفحوصات والاختبارات اللازمة لأجل الحفاظ على سلامة البيانات من إجراءات لتأمين عدم إنتهاك البيانات سواء من داخل الشركة أو خارجه، أو حتى من قبل الشركة المقدمة للخدمة السحابية، والتعريف بماهية تلك البيانات التي ستحفظ بها تلك المعلومات، ووضع إجراءات تتيح للبنك المركزي القيام بمهامه الإشرافية تكون متاحة للمراجعة أو التفتيش وفي أي وقت، و الوصول إلى أي تقرير أو نتائج تدقيق تم عملها من قبل مدققين خارجيين أو داخليين يتم تعيينهم من قِبل الشركة أو مزود السحابة ذات علاقة بالخدمة المسندة، وهذا كله موجود في تعليمات التكيف مع المخاطر السيبرانية الصدارة عن جهة رقابية معنية بذلك، وتحديد المسؤولين عنها.

قد يلزم أن يكون مقدم الخدمات السحابية معتمدا لدى الأجهزة الحكومية، أو قد توجد قيود على التعاقد مع الكيانات الأجنبية من قبل البنك المركزي أو الجهة الرسمية المعنية بقطاع التأمين، وذلك لضمان عدم أن تكون تلك الكيانات معادية للدولة، ولضمان أيضا المعلومات الخاصة بالشركة من عدم تسريبها، وإن حدث فيحاكم المقدم المحلي أو تلك الشركة الأجنبية.

11. توفير دليل الصلاحيات للأنظمة المعتمدة من الإدارة العليا تبين صلاحيات كل موظف في دائرته، بحيث تراعي مبدأ فصل المهام ومبدأ الرقابة الثنائية على العمليات الحساسة، ومبدأ منح هذه الصلاحيات على قدر الحاجة فقط، ومراجعتها بشكل دوري وأيضا كذلك عند تغيير كلمات السر، وأيضا عدم استخدام الحسابات المشتركة، أو العمل على مشاركة الموظف حسابه مع حسابات الموظفين الآخرين.
12. يجب العمل على إعادة تأهيل وتصميم شبكة الحاسوب بالشركة، وذلك بجعل الموظفين في شبكة خاصة بهم، وقاعدة البيانات وأية أجهزة أخرى متعلقة بها تكون في شبكة خاصة بها، وشبكة حاسوبية أخرى تعنى بالبرامج والتطبيقات ذات العلاقة بتأمين الشبكات والنظام المعمول به في الشركة، وهذه التقسيمات هي لجعل المخترقين في حال محاولاتهم لأية عمليات هجومية تكون صعبة جدا عليهم وبالتالي تبوء بالفشل مما ينتج عن ذلك حماية فعالة للشبكات المنشأة.
13. من الممكن أن يتطلب وجود مدقق تقنية معلومات في الشركة ليراقب أداء دائرة تقنية المعلومات، وأيضا دائرة أمن المعلومات لضمان سير العمل والأداء أيضا، وبالتالي ضمان تطبيق المعايير والإجراءات المهنية بذلك.
14. العمل على وضع نظام يعمل على إنشاء نسخ احتياطية، وذلك بحيث يقوم بنسخ كل الملفات الموجودة في أجهزة الموظفين وأيضا السيرفرات، وذلك لضمان عدم تلفها في حال حصل شيء للجهاز المعني واسترجاع بياناته بسرعة، أو قام الموظف بداعي الانتقام أو التستر بشطب أي ملف قد يعطل سير العمل أو يحرفه عن مساره، وهذا يعني التقليل من الانقطاع عن العمل قدر المستطاع وضمان سيره.

التأمين ومفهومه

عند الحديث عن التأمين فإنه يدخل في بالنا جميعا التأمين ضد حوادث السيارات أو الحريق أو الطبي أو حوادث العمال، وأيضا التأمين على تعليم الأبناء والتأمين على الحياة وغيرها، وعما يعرف أيضا بالحوادث المفتعلة وكيف يتم تزييف الحادث بحيث يتم إعداد سيناريو لتصوير حادث بشكل دقيق ومنظم ليظهر على أنه حادث حقيقي لا غبار عليه، مما يجعل الشخص المؤمن يكسب مبالغ طائلة فوق ما يحتاجه التعويض الطبيعي لتغطية الحادث.

وقد تطور التأمين مع تطور الحياة الاقتصادية والاجتماعية بمرور الزمن، وأصبح التأمين في العصر الحديث أحد المقاييس الحضارية للدول، وأفضل وسيلة للتعامل مع الخطر بأنواعه المتعددة، وذلك لأنه يبعث روح الطمأنينة والأمان في نفوس الأفراد بأن هناك جهة معينة ستقوم بتعويض الخسائر التي ربما يتعرضون لها سواء في أنفسهم أو بأموالهم، كما أنه يمثل أسلوبا صحيحا لمواجهة الأضرار والخسائر التي تنجم عن الأخطار بأنواعها المختلفة.

تعريف التأمين

عرف التأمين على أنه يمثل عقد بين طرفين، بحيث يسمى الطرف الأول بالمؤمن والتي هي شركة التأمين، ويسمى الطرف الثاني بالمؤمن له، ويلتزم بموجب هذا العقد بأن تدفع شركة التأمين مبلغ من المال أي تعويض مادي إلى المؤمن له عند تعرضه لحادث أو خطر مبين ومثبت في عقد التأمين يؤدي إلى خسارة مادية أو جسمية للمؤمن له، مقابل أن يقوم المؤمن له بدفع أقساط ثابتة (شهرية أو نصف سنوية أو سنوية) لشركة التأمين.

التأمين ضد حوادث الأمن السيبراني أو التأمين الإلكتروني وتعريف الحادث أو الحدث

لم يحدث سابقا وقبل أكثر من 15 عاما، أن يأتي يوم ليتم الحديث فيه عن نوع جديد من أنواع وتغطيات التأمين ألا وهو: (التأمين ضد حوادث الأمن السيبراني) أو كما يسمي البعض (التأمين الإلكتروني)، وكما يحدث في باقي أنواع التأمين من الحوادث والمطالبات المزيفة والمفتعلة، فأيضا يحدث كذلك مع هذا النوع الجديد من حوادث مفتعلة وغير مقصودة أيضا، مما يجعل وجود عقد تأمين ضد الحوادث الإلكترونية أو ضد حوادث الأمن السيبراني مهم جدا، وخاصة أنها أيضا اعتبرت حتى من قبل مسؤولين في البنوك والمصارف المركزية التابعة لدول أنها من ضمن الحوادث التي تنتج عن نوع من الحروب وهي الحرب إليكترونية.

وبما أن التعاملات الإلكترونية قد أصبحت من أساسيات الإنجاز للأعمال بحسب الأعمال المتعلقة بالجهة أو الشركة المعنية بترويج منتجاتها عبر الشبكة العنكبوتية، فبالتالي يجب العمل على أخذ دوما بالاحتياطات اللازمة الخاصة سواء من قبل شركات التأمين، وأيضا بالنسبة لمن تريد تأمينهم في حال قامت بطلب رخصة من أجل هذا النوع الجديد من أنواع التأمين، وهنا يجب تعريف المعلومات بأنها أصول، حيث أنها عبارة عن أية معلومات أو ملفات إليكترونية أو غير إليكترونية أو أجهزة أو وسائط تخزين أو برامج أو أي من مكونات بيئة تقنية المعلومات والاتصالات المتعلقة بأعمال الشركة.

أما عن تعريف الحادث أو الحدث فهو الفعل الذي يشكل خطرا على البيانات أو المعلومات أو نظم المعلومات أو الشبكة المعلوماتية أو البنى التحتية المرتبطة بها ويتطلب استجابة لإيقافه أو للتخفيف من العواقب أو الآثار المترتبة عليه، وهو أيضا أي واقعة تدل على وجود تهديد سيبراني على بيئة تقنية المعلومات والاتصالات بالشركة.

عقد التأمين ضد حوادث الأمن السيبراني وتغطياته وشروط مطالباته

بما أن حوادث الأمن السيبراني أصبحت بحكم الواقع وخطر في نفس الوقت، وكما لكل بوليصة توجد تغطيات وشروط من أجل تغطية أي حادث أو مطالبة، فبالتالي أصبح وجود عقد تأمين ضد هذه الحوادث أمر مهم ومجدي في نفس الوقت، وذلك بحيث تقوم الشركة بتعويض المؤمن له بموجب حدوث حادث معين أو حادث وذلك التهديد بالابتزاز ضد المؤمن، أو حدوث سرقة بيانات سواء بشكل فعلي أو زعم بحدوثه أو حتى بالشك، وذلك خلال فترة العقد أو في فترة التمديد، وطبعا ذلك يكون بحسب ما تراه الشركة إن كانت ترى هناك تغطيات يجب إضافتها وذلك بحسب المتعارف عليه دوليا، وقد قمت بمحاولة إجتهاد شخصي في كتابتها، وكما هو أيضا متبع لأي شركة تأمين مرخصة لهذا النوع من أنواع التأمين التي تقدم للمعنيين، وأعتذر عن إن بدر مني أي خطأ فني باعتباري لست متخصصا في التأمين.

تغطيات عقد التأمين

أما عن التغطيات التي من المفترض أن يغطيها العقد فعددها 7 وهي كما يلي:

1. مسؤولية الطرف الثالث: ستدفع الشركة إلى أو نيابة عن المؤمن عليه الأضرار التي تلزمها بدفعها قانونيا، والناشئة من الحادث.

2. تكاليف الدفاع: المؤمن سيدفع تكاليف الدفاع نيابة عن المؤمن عليه، حيث يتحمل المؤمن عليه مضطرا للتحقيق أو الدفاع أو التسوية أو الطعن في الدعوى.

3. تكاليف استرداد الحادث: حيث سيدفع المؤمن إلى أو نيابة عن المؤمن عليه جميعا تكاليف استرداد الأحداث التي تكبدها المؤمن نتيجة الخرق السيبراني الفعلي أو مشتبه به أو مزعوم، أو تهديد الابتزاز السيبراني.

4. تعويض إنقطاع العمل: سوف تدفع الشركة للمؤمن له عن خسارة الانقطاع التي يتحملها المؤمن له في فترة استرداد الأعمال وفترة الانتظار، وتهديد الابتزاز السيبراني من تكاليف الاستجابة لهذا الابتزاز.

5. تهديد الإنترنت من تكاليف الاستجابة للابتزاز: تقوم الشركة بسداد المؤمن له أو أي شركة تابعة له نفقات الابتزاز ومدفوعات الابتزاز التي تكبدها المؤمن له أو أي شركة تابعة له مباشرة والتي نتجت عن تهديد الابتزاز السيبراني.

6. تكاليف الاستجابة للطوارئ والخبراء: سيدفع المؤمن إلى أو نيابة عن المؤمن له تكاليف استرداد الأحداث التي تكبدها المؤمن له دون الحصول على موافقة مسبقة من المؤمن، ولكن يتم تحصيلها من قبل وحدة الاستجابة لحالات الطوارئ عن الخدمات المقدمة بموجب هذه السياسة كنتيجة فعلي أو مشتبه به أو انتهاك الإنترنت المزعوم أو تهديد الإنترنت بالابتزاز.

7. التغطيات الاختيارية: لا يتم توفير أي تغطية اختيارية إلا إذا تمت الإشارة إلى ذلك في الجدول وتخضع لجميع الشروط والأحكام الأخرى لهذه السياسة ما لم ينص على خلاف ذلك في هذه الوثيقة، ويتم تحديد الحد الأدنى المطبق للمسؤولية والخصم في الجدول مقابل الغطاء الاختياري ذي صلة.

8. تغطية اختيارية لخسارة الاحتيال في الهندسة الاجتماعية (إختراق وسائل التواصل الاجتماعي): يدفع المؤمن له أو أي شركة تابعة له بسبب الغش في الهندسة الاجتماعية التي يعاني منها المؤمن عليه أو أي شركة تابعة كنتيجة مباشرة لغش الهندسة الاجتماعية.

الاستثناءات العامة لعقد التأمين

من المعروف أن هناك تعريفات فنية وتقنية يجب وضعها لعقد التأمين ضد حوادث الأمن السيبراني، وذلك كما هو الحال في عقود التأمين في وضع التعريفات الفنية والتقنية كلا بحسب إختصاص تلك العقود والتي لها أساسيات عامة ولكل منها خصوصيتها، وتعرف الجهة المسؤولة بقطاع التأمين أن هذا النوع من التأمين يعتبر أيضا تأمين ضد الحروب فقط أنها إليكترونية، ويجب التعامل معه من ضمن الحالات الخطرة التي تهدد الشركات والمؤسسات في القطاعين العام والخاص لأي دولة، وبالتالي وبالتأكيد هناك إستثناءات عامة لهذا النوع من العقود.

1. أي إصابة جسدية أو أضرار في الممتلكات؛ والتي لا يمكن تطبيقها على أي مما يلي:
   • مطالبة بسبب الكرب العقلي أو الإصابة العقلية أو المرض، أو الضيق العاطفي أو الصدمة الناشئة مباشرة من حادث آخر أو تهديد سيبراني فعلي أو مزعوم، أو حتى إبتزاز سيبراني.
   • الأصول الرقمية أو المعلومات الشخصية أو المعلومات التجارية التالفة أو المفقودة نتيجة الأضرار التي لحقت بالممتلكات إلى الأجهزة مباشرة الناشئة عن خرق سيبراني فعلي أو مزعوم أو حتى إبتزاز سيبراني.
2. أي حقيقة أو ظرف معروف للمؤمن له قبل فترة العقد المعني.
3. أي حادث أو تهديد تم عبر الإنترنت من خطر الابتزاز السيبراني ضد المؤمن له أو خرق سيبراني تم اكتشافه قبل بداية فترة العقد.
4. أي إجراءات قانونية تبدأ في أي دعوى قضائية مستثناة في الجدول، بما في ذلك إنفاذ أي حكم أو حكم قضائي، تم رفعه أو إجراؤه وفقًا للقوانين، حتى لو كان ذلك محدودا.
5. في حال كان الحادث على شيء كفالة مجانية أو فترة ضمان.
6. أي مسؤولية تعاقدية أو إلتزام أو خرق للعقد، بما في ذلك أي مسؤولية اتجاه الغير، يتحملها المؤمن عليه، إلا بقدر ما تكون هذه المسؤولية قد أرفقت المؤمن عليه في غياب هذا العقد أو الاتفاق.
7. سلوكيات:
   • أي تصرف مقصود أو غير مقصود أو إجرامي أو احتيالي، بخلاف موظف المؤمن له الذي يعمل بشكل مستقل ودون علم أو تواطؤ من الرئيس التنفيذي للمؤمن عليه.
   • أي مؤمن يكتسب ميزة مالية لا يحق له الحصول عليها مؤمن قانونيًا؛ شريطة ألا ينطبق هذا الاستبعاد إلا إذا تم إثباته بقبول المؤمن عليه، أو بموجب قرار أو حكم نهائي غير قابل للاستئناف وقع فيه هذا الفعل أو السلوك.
8. أي خرق لقوانين المنافسة التي تمنع الاحتكارات أو تحديد الأسعار أو التمييز في الأسعار أو التسعير أو تقييد التجارة أو أي سلوك مشابه.
9. أي خرق لعقد أو سياسة أو إجراء عمل أو أي قانون أو لائحة متعلقة بالتوظيف أو تمييز من أي نوع.
10. جودة التقديم أو الفشل في تقديم الخدمات المهنية.
11. أي انتهاك فعلي أو مزعوم لبراءات الاختراع أو الأسرار التجارية أو اختلاسها.
12. الأموال:
    • أي تداول مالي أو خسارة شخصية أو ديون للمؤمن له.
    • أي سرقة للأموال أو الأوراق المالية من المؤمن له، أو خسارة المحول للأموال أو الممتلكات أو الأوراق المالية من أو إلى حساب المؤمن له أو أي حساب آخر دون قيد، والتي تخضع لسيطرة المؤمن له لاستبعاد هذه الأموال.
    • لا ينطبق على (الاحتيال الاختياري للهندسة الاجتماعية للتغطية الاختيارية) وذلك في حال اختيار هذا الغطاء الاختياري وتحديده كما هو مغطى.
13. أي حالة إفلاس أو تصفية أو إعسار المؤمن له أو أي شخص آخر، بما في ذلك مقدم الخدمة.
14. أي عطل ميكانيكي أو كهربائي أو إنقطاعه أو زيادة في الطاقة الكهربائية أو عدم إستقراريته أو حدوث ماس كهربائي أو تقلب الطاقة أو إنقطاع الغاز أو الماء أو الهاتف أو الأقمار الصناعية أو الاتصالات أو الإنترنت أو أي مكون بما في ذلك الأجهزة أو البرامج أو أي بنية تحتية أخرى لا تخضع لسيطرة المؤمن له.
15. أي تلف ناتج أو تلف تدريجي أو فشل في الحفاظ على شبكة المؤمن.
16. أي حريق، دخان، إنفجار، برق، ريح، ماء، فيضان، زلزال، ثوران بركاني، موجة مد، انهيار أرضي حائل، أو أي حدث آخر مشابه.
17. توفير أي منفعة أو خدمة أو مدفوعات بموجب العقد من الممكن أن يعتبر إنتهاكا لأي عقوبات أو حظر أو قيود بموجب قرارات الأمم المتحدة أو العقوبات أو القوانين أو اللوائح التجارية الاقتصادية للملكة الأردنية الهاشمية أو جامعة الدول العربية أو الاتحاد الأوروبي أو المملكة المتحدة أو الولايات المتحدة الأمريكية.
18. أي حادث فعلي أو مزعوم أو مهدد بوجود أو تصريف أو تشتيت أو إطلاق أو التخلص من الملوثات.
19. أي إضراب أو أعمال شغب أو ضجة مدنية أو حرب أو أعمال إرهابية، على أن لا ينطبق هذا الاستثناء على الإرهاب السيبراني.
20. أي ضبط أو مصادرة أو طلب أو تدمير أو إتلاف شبكة المؤمن سواء أكان بتطبيق أية أمور جمركية أو مصادرة أو عزل أو بأمر من أي سلطة كانت مدنية أو عسكرية.
21. أي شيء ناتج عن أي استخدام للبرامج غير القانونية أو غير المرخصة.
22. أي خطأ أو عيب أو خطأ أو إهمال في التصميم أو الخطة أو المواصفات أو المواد أو المصنعية أو على الشبكة المؤمن عليها.
23. أي نظام أو برنامج حصلت فيه أخطاء برمجية.
24. أي شيء ناتج عن استدعاء لمنتج معين.
25. أي عملة مشفرة مثل البيتكوين، يتم استخدامها كوسيلة دفع من أجل التعافي من تهديد الابتزاز السيبراني على أساس أخذ بالمقابل كلمة السر التي تم فيها تشفير بيانات أي شركة أو أي مؤسسة
26. أي قيمة للأصول الرقمية.

شروط مطالبات عقد التأمين

1. الانضمام إلى الشروط والأحكام بحيث يجب أن تكون مسؤولية المؤمن مشروطة باحترام المؤمن له واستيفائه لبنود وشروط العقد، وعلى صحة بياناته.
2. موافقة المؤمن بحيث لا يجوز للمؤمن عليه تسوية أو تقديم أي قبول أو عرض للدفع أو تحمل أي التزام فيما يتعلق بأي مطالبة، أو تحمل أي تكاليف فيما يتعلق بأي مطالبة، خرق الإنترنت الفعلي أو المزعوم أو المشتبه به أو التهديد السيبراني للابتزاز دون موافقة خطية مسبقة من المؤمن.
3. يقوم المؤمن عليه بإخطار شركة التأمين كتابيا بأي مطالبة يتم تقديمها خلال فترة الوثيقة أو فترة الإبلاغ الموسعة إن وجدت.
4. يجب معالجة الإخطار الكتابي وجميع المعلومات على النحو المطلوب بموجب إشعارات المطالبة المحددة.
5. يجب على المؤمن عليه أن يخطر وحدة الاستجابة للطوارئ بأي خرق إلكتروني أو مزعوم تهديد الابتزاز السيبراني أو مزعوم أو مشتبه به، ويعتبر هذا الإخطار المقدم إلى وحدة الاستجابة لحالات الطوارئ إخطارا للشركة.
6. يجب تقديم هذا الإشعار من قبل المؤمن عليه في أقرب وقت ممكن عملياً بعد أن يكون المدير التنفيذي للشركة على علم بمثل هذا الحادث أو خرق سيبراني أو تهديد الابتزاز السيبراني، ويجب أن يتضمن معلومات وأية مستندات تشير إلى طبيعة المسألة التي يتم إخطارها.
7. يجب على المؤمن أيضا:

• اتخاذ جميع التدابير المعقولة والضرورية لتقليل الخسارة أو الضرر بحسب المعايير والمتطلبات التقنية اللازمة لذلك.
• السماح بالقيام بكل الأشياء التي قد تكون ممكنة عملياً لتحديد سبب ومدى الخسارة أو الضرر.
• الحفاظ على شبكة المؤمن عليهم وأي مواد متأثرة ووضعها تحت تصرف المؤمن أو وحدة الاستجابة لحالات الطوارئ أو غيرهم من الموظفين المعينين من قِبل المؤمن، لفحصها طالما كانت ضرورية.
• تقديم أية معلومات وأدلة ومستندات قد تطلبها الشركة المؤمنة.
• الامتثال لجميع المتطلبات القانونية ذات الصلة بما في ذلك على سبيل المثال لا الحصر تقديم الإشعارات القانونية، علاوة على ذلك، تقع على عاتق المؤمن عليه مسؤولية القيام بذلك.
• التعاون التام مع المؤمن ووحدة الاستجابة لحالات الطوارئ، أو غيرها من الجهات التي يعينها المؤمن، فيما يتعلق بأي تعويض أو مسؤولية أو تأكيد ومنح للإحلال أو أي حقوق مساهمة ضمن العقد.

4. خصومات: يجب أن تكون الشركة مسؤولة فقط عن أي مبلغ ينشأ بموجب السياسة الموضوعة والذي لا يتجاوز المبلغ القابل للتطبيق.
5. يظل المؤمن غير مؤمن عليه وبالتالي يتحمل ما ينتج عن عدم الأخذ بتلك الاحتياطات.

       إذا استجاب أكثر من غطاء لمسألة ناشئة بموجب عقد التأمين، يجب أن يدفع المؤمن عليه خصما واحدا فقط باستثناء الحالات التي يستجيب فيها كل من الغلاف والغطاء الاختياري لفقدان الاحتيال في الهندسة الاجتماعية لمسألة تنشأ بموجب العقد المبرم، وفي هذه الحالة في حالة تغطية الغش في الهندسة الاجتماعية، يجب دفع غطاء بالإضافة إلى الخصم الوحيد.

في حالة قيام المؤمِن بتعويض أي طرف ثالث بشكل مباشر، يتعين على المؤمن عليه أن يسدد المؤمن على الفور مقابل مبلغ الخصم المطبق.

5. أغطية متعددة: يجب أن تخضع أي خسارة يتم تغطيتها بموجب عقد التأمين المبرم والتي تقع ضمن أكثر من غطاء واحد لمرة واحدة فقط، حيث تكون أعلى من الحدود المطبقة، وعندما تندرج الخسارة أو أي مبلغ تمت المطالبة به بموجب العقد تحت أكثر من غطاء، يجوز للشركة، وفقًا لتقديرها المطلق، تخصيص مبالغ بموجب الأغطية المعمول بها، ولن يؤدي هذا التخصيص إلى زيادة حد المسؤولية.

6. التأمينات المتعددة: لا يعمل إدراج أكثر من مؤمن له بموجب عقد التأمين المبرم على زيادة المبلغ الإجمالي المستحق على المؤمن بموجب ما يتضمنه هذا العقد.

7. مطالبات ذات صلة: تعتبر جميع المطالبات أو الانتهاكات السيبرانية أو تهديدات الابتزاز السيبرانية الناشئة عن نفس أو سلسلة من الأفعال المستمرة والمتكررة وذات صلة مطالبة واحدة أو خرق سيبراني أو تهديد الابتزاز السيبراني.

تعتبر جميع مطالبات الخروقات السيبرانية أو تهديدات الابتزازات السيبرانية إعتبارا من التاريخ الذي صدر فيه من هذه الدعوى أو التهديد بالابتزاز السيبراني ضد المؤمن له أو اكتشاف الخرق السيبراني لأول مرة، علاوة على ذلك يجب أن تخضع لخصم فردي (باستثناء ما ينطبق على التغطية الاختيارية لغش الهندسة الاجتماعية) وحد المسؤولية القانونية أو الحد الأدنى للمسؤولية المطبق.

والعديد من الشروط الأخرى كسرية العقد، والإحالة أو التغيير في العقد المبرم، والتفويض، والتفسير، والصلاحيات، والتغيرات المادية، والقانون الذي يفصل في أمور الصلاحيات والنزاعات، وفي حال حصول إندماجات واستحواذات فإن العقد يلغى، ووجود ضريبة السلع والخدمات، والأطراف التي لا تبالي بشروط ومتطلبات العقد، وتقديم أي أمر استدعاء أو إشعار أو عملية يتم تقديمها إلى شركة التأمين التي تتمتع بسلطة قبول الخدمة، وغيرها من الشروط التي يجب تواجدها في عقد التأمين ضد حوادث الأمن السيبراني.

تقرير شركة مايكروسوفت ومارش المختصة بالتأمين بشأن التأمين ضد حوادث الأمن السيبراني

في تقرير لمايكروسوفت صدر في أيلول/سبتمبر 2019 وذلك بالتعاون مع شركة مارش MARSH جاء فيه ما يخص بحوادث الأمن السيبراني، أن التغطية التأمينية لمواجهة التهديدات الناشئة عن حوادث الأمن السيبراني تتوسع، كما أن المواقف تتغير اتجاه السياسات التي يتم اعتمادها في هذا الأمر، وقد ذكر إحصائيات تتعلق بهذا الأمر وهي على النحو التالي:

1. أصبح ما نسبته 47% من المؤسسات والمنظمات تمتلك تأمينا إلكترونيا ما أدى إلى إرتفاع النسبة بعد أن كانت 34% في عام 2017م.
2. من المرجح أن يكون لدى الشركات الكبرى تأمين ضد حوادث الأمن السيبراني، حيث إن 57% من أولئك الذين تزيد إيراداتهم السنوية عن مليار دولار لديهم عقود تأمين ضد هذه الحوادث، وذلك مقارنة بـ 36% من الشركات ذات الإيرادات الأقل من 100 مليون دولار.
3. الشركات التي كان لها عدم اليقين حول ما إذا كان التأمين ضد حوادث الأمن السيبراني قادرا على تلبية احتياجاتهم انخفضت إلى 31% بعد أن كانت النسبة 44% في عام 2017م.
4. 89% ممن لديهم تأمين ضد حوادث الأمن السيبراني كانوا واثقين جدا أو واثقين إلى حد ما من أن عقود التأمين ضد هذه الحوادث ستغطي تكلفتها.

ملخص لكل ما سبق

1. يجب العمل على تطبيق الضوابط التي تحدثت عنها تعليمات التكيف مع المخاطر السيبرانية الصادرة من جهة رقابية رسمية معنية، وأيضا بحسب قانون الأمن السيبراني الصادر عن جهة رقابية أيضا.
2. عدم تطبيق القانون والتعليمات وما يتبعها سيكون خطر على البيانات من أي مخترق، وأيضا حتى لا تكون هناك غرامات مالية كبيرة تتكبدها الشركة جراء عدم تطبيقها.
3. العمل على اختيار النظام المرجو منه أن يقدم للشركة كافة إحتياجاتها الحالية والمستقبلية، وفي حال أيضا حصلت تغييرات في القوانين والتشريعات المعنية بحوادث الأمن السيبراني وغيرها.
4. في حال أرادت شركة التأمين إصدار عقد تأمين ضد حوادث الأمن السيبراني، فيجب العمل على تطبيق السياسات والتغطيات والشروط المعنية بذلك لأي شركة تريد تأمينها من تلك الحوادث.
5. قبل إصدار عقود التأمين ضد حوادث الأمن السيبراني، يجب العمل على فحص للمكان المراد تأمينه، والعمل على مدى مطابقته للتعليمات والقوانين والتشريعات المعنية بذلك.
6. التراخيص يجب أن تكون دوما محدثة إذا احتاجت لذلك، ولا يجوز استخدام البرامج التي تكسر حمايتها الحقوقية، وذلك عدا عن أن ذلك مخالف لقانون، فإنه أيضا يعتبر باب مفتوح يقوم المخترقون من استغلاله، وبالتالي يعتبر من حوادث الأمن السيبراني الذي لا يمكن تأمينه.
7. وجوب استخدام نظام الأرشفة الإلكترونية من أجل الاحتفاظ بسجلاته إلكترونيا بدلا من أصل الدفاتر والسجلات والكشوفات والوثائق والمراسلات والبرقيات والاشعارات وغيرها من الأوراق المتصلة بأعمالها للمدة المقررة قانونا، شريطة مراعاة أحكام قانون المعاملات الإلكترونية النافذ، مع العلم أن نظام الأرشفة يجب أن يتم ربطه وتكامله مع النظام المعمول به في شركة التأمين أو حتى أي شركة أو أي مؤسسة أخرى، وذلك حتى تكون العقود والحوادث التي يتم إدخالها وقيودها المصدرة تتم أرشفتها تلقائيا.
8. ماهو مهم جدا هو الاقتداء بالقوانين والإجراءات في كل دولة يتم التعامل بها، وذلك حتى لا تحصل حوادث لا يمكن تأمينها من قبل شركات التأمين فعلى سبيل المثال لا الحصر، التعامل بالعملات الإلكترونية الغير مرخصة في أي دولة تعاقب العاملين بها.