هل أحتاج إلى تأمين إلكتروني (cyber insurance)؟

ينبغي أن تفكر العديد من الشركات الصغيرة على الأقل في التأمين السيبراني، خصوصًا إذا كانت تخزّن معلومات العملاء، أو تقبل مدفوعات بالبطاقات، أو تعتمد على البريد الإلكتروني، أو ستجد صعوبة في الاستمرار في العمل بعد انقطاع نظام أو حادث احتيال.

ومع ذلك، لا يكون التأمين السيبراني مطلوبًا تلقائيًا لكل شركة. يشتريه بعض المالكين لأن عقدًا مع العميل يتطلب ذلك. ويشتريه آخرون لأنهم يتعاملون مع معلومات حساسة، أو يعملون في صناعات منظَّمة، أو يريدون مساعدة في تغطية بعض تكاليف الاسترداد إذا حدث خطأ ما.

التأمين جزء واحد فقط من الصورة. قد يساعدك البوليصة في بعض النفقات بعد وقوع حادث، لكنها لا تعوّض عن إدارة تقنية معلومات جيدة على أساس يومي، وتدريب الموظفين، والنسخ الاحتياطية، وأسَس الأمن. لن يَعِد أي مزوّد صادق بضمان عدم انقطاع الخدمة أو بشبكة لا يمكن اختراقها.

إذا كنت ما زلت ترتّب خياراتك، ابدأ بالتثقيف بلغة واضحة وخطة عملية لتقنية المعلومات. يمكنك الاطلاع على المزيد من الأسئلة الشائعة لدى المالكين في قسم answers.

قد يخلق الحادث السيبراني تكاليف تتجاوز إصلاح جهاز كمبيوتر. قد تواجه انقطاعًا في الأعمال، أو فواتير قانونية أو جنائية/جنائية-تقنية خارجية، أو تكاليف إشعار العملاء، أو خسائر احتيال المدفوعات، أو نزاعات مع الموردين، أو ضغطًا من عميل تأخرت أعماله.

بالنسبة لبعض الشركات، لا تكون أكبر المخاطر في اختراق كبير ومثير. بل تكون مشكلة يومية مثل استيلاء على حساب بريد إلكتروني، أو احتيال بفواتير مزيفة، أو فقدان لابتوب، أو فدية (Ransomware)، أو نسخة احتياطية لا تُستعاد بشكل نظيف. حتى التعطيل القصير قد يضرّ بالرواتب، والجدولة، والمخزون، وثقة العملاء.

قد يهم التأمين لأن الشركات الصغيرة غالبًا لا تملك احتياطيات نقدية عميقة للتعامل مع حدث غير متوقع. قد يساعدك البوليصة في تغطية بعض التكاليف المشمولة، لكن التغطية تختلف كثيرًا. ما الذي يُغطى، وما الذي يُستثنى، وما ممارسات الأمان التي يتوقعها المؤمن من شركاتك، كلها تعتمد على البوليصة.

قد تأتي المتطلبات أيضًا من خارج شركتك. بعض العملاء، أو الملاك، أو المقرضون، أو شركاء الصناعة يطلبون تغطية سيبرانية. تختلف القواعد والتوقعات حسب الصناعة والولاية.

ينبغي أن تفكر بقوة في التأمين السيبراني إذا كان نشاطك يعتمد على الحواسيب، أو برمجيات سحابية، أو البريد الإلكتروني، أو الخدمات المصرفية عبر الإنترنت، أو السجلات الرقمية لتشغيل العمل. يشمل ذلك العديد من المكاتب، والمتاجر/التجزئة، والشركات المهنية، والعيادات، والمقاولين، والشركات العائلية التي تنمو.

ويستحق الأمر نظرة أقرب بشكل خاص إذا كنت تحتفظ بمعلومات شخصية للعملاء أو الموظفين، أو تعالج بيانات بطاقات الدفع، أو تستخدم أدوات للعمل عن بُعد، أو لديك موردون متصلون بأنظمتك. كلما زادت الأجزاء الرقمية لديك، زادت احتمالية أن يؤدي حادث ما إلى تكلفة مباشرة.

قد تحتاجه أيضًا إذا كان العقد يطلب ذلك، أو إذا كانت صناعتك لديها توقعات صارمة حول الخصوصية والتوثيق. على سبيل المثال، ينطبق قانون HIPAA، وهو قانون قابلية نقل التأمين الصحي والمساءلة، على بعض المؤسسات المرتبطة بالرعاية الصحية والشركاء/مقدمي الخدمات (business associates). تؤثر متطلبات أمن بيانات PCI، أي متطلبات أمن بيانات صناعة بطاقات الدفع، على الشركات التي تتعامل مع بيانات بطاقات الدفع. قد يهم SOC 2، وهو إطار تدقيق شائع لمؤسسات الخدمات، إذا طلب العملاء معرفة كيفية التحكم في أنظمتك وإجراءاتك.

إذا كانت هذه المصطلحات غير مألوفة لديك، فهذا أمر طبيعي. الهدف ليس أن تصبح خبيرًا في تقنية المعلومات. الهدف هو فهم مخاطرِك، ثم العمل مع مزوّد مستقل محترف في المجال الصحيح ووسيط/مختص تأمين مناسب.

يبدأ التسوّق الجيد للتأمين السيبراني بصورة واضحة عن شركتك. اعرف عدد الأشخاص لديك، وما الأجهزة التي تستخدمها، وما الأنظمة الحيوية لديك، وما أنواع البيانات التي تخزنها، وما الذي سيحدث إذا تعطل البريد الإلكتروني أو الملفات أو الفوترة ليوم أو لأسبوع.

يجب أيضًا أن تعرف إعداد تقنية المعلومات الحالي لديك. إذا كنت تعمل بالفعل مع MSP، أي مزوّد خدمات مُدارة، فاطلب ملخصًا بلغة واضحة حول وسائل الحماية التي توفرونها. قد يشمل ذلك MFA، أي المصادقة متعددة العوامل، والتي تضيف خطوة تسجيل دخول ثانية، وحماية نقاط النهاية (endpoint protection)، أي برامج تساعد على حماية كل كمبيوتر وجهاز، والترقيع/التحديثات (patching)، أي تثبيت تحديثات الأمان والبرمجيات، وممارسات النسخ الاحتياطية، ومن يستجيب عند تعطل شيء ما.

قد يسأل بعض المؤمنين أيضًا عن EDR، أي كشف واستجابة نقاط النهاية (endpoint detection and response)، وهي أداة تراقب الأجهزة بحثًا عن نشاط مشبوه، وعن RMM، أي المراقبة والإدارة عن بُعد (remote monitoring and management)، وهي برمجية يستخدمها العديد من مزوّدي تقنية المعلومات المُدارة لمراقبة صحة الأجهزة والتعامل مع الصيانة الروتينية. نقطة النهاية (endpoint) هي ببساطة جهاز مثل لابتوب أو كمبيوتر مكتبي أو هاتف متصل بأنظمة عملك.

الإعداد القوي لا يضمن أن يتم دفع المطالبة، والإعداد الضعيف لا يعني دائمًا أنه لا يمكنك شراء تغطية. لكن توثيق أفضل وضوابط أفضل عادةً ما يجعل حديث التأمين أسهل.

لا تركز فقط على قسط التأمين. اسأل عن الأحداث المشمولة، وما هو مبلغ التحمل (deductible)، وما الاستثناءات، وما الشروط التي يجب استيفاؤها لكي تنطبق التغطية. بعض البوالص تكون شاملة، وبعضها يكون ضيقًا. التفاصيل مهمة.

اسأل كيف تتعامل البوليصة مع التكاليف المرتبطة بفدية (ransomware)، وانقطاع الأعمال، والاحتيال المتعلق بالبريد الإلكتروني أو المدفوعات، والدعم القانوني، والتحقيق الجنائي/الفني (forensic investigation)، واستعادة البيانات، والمطالبات من طرف ثالث من العملاء أو الشركاء. واسأل أيضًا ما إذا كانت الحوادث التي تنطوي على موردين، أو تطبيقات سحابية، أو أخطاء الموظفين تُعامل بشكل مختلف.

من الذكاء أن تسأل عن ممارسات الأمان التي يتوقع المؤمن منك الحفاظ عليها. أمثلة شائعة تشمل MFA على حسابات البريد الإلكتروني وحسابات المسؤول (admin)، ونسخًا احتياطية تم اختبارها، وأمن الأجهزة، وضوابط الوصول للمستخدمين، وإجراءات مكتوبة. وإذا قلت إن لديك هذه الضوابط، فتأكد أن ذلك صحيح.

إذا كنت بحاجة إلى مساعدة لتنظيم جانب تقنية المعلومات لديك قبل التسوّق، راجع نظرة عامة لدينا حول services أو get matched مع مزوّد مستقل لتقنية المعلومات مُدارة. NodeBridge IT هي خدمة مطابقة مجانية. نحن لا نبيع التأمين، ولا ندير الأنظمة، ولا نصل إلى شبكتك.