Cyber Insurance: সাইবার হামলার পর আর্থিক ক্ষতিপূরণে সাইবার ইন্স্যুরেন্সের গুরুত্ব!

Cyber Insurance হলো একটি বিশেষায়িত বীমা পণ্য যা সাইবার আক্রমণ, ডেটা ব্রিচ, সিস্টেম ব্যর্থতা এবং সংশ্লিষ্ট ঘটনাগুলোর কারণে সৃষ্ট আর্থিক ক্ষতি কভার করে। ঐতিহ্যবাহী সাধারণ দায়বদ্ধতা বীমা সাইবার ঝুঁকি কভার করে না, তাই বিশেষভাবে সাইবার ঝুঁকির জন্য এই নতুন বীমা পণ্য তৈরি হয়েছে। ১৯৯০-এর দশকের শেষের দিকে প্রথম সাইবার ইন্স্যুরেন্স পলিসি বাজারে এলেও বর্তমানে এটি একটি দ্রুত বর্ধনশীল $২০ বিলিয়ন ডলারের শিল্প হয়ে উঠেছে।

সাইবার ইন্স্যুরেন্স দুটি প্রধান শ্রেণীতে বিভক্ত। প্রথমটি First-Party Coverage যা পলিসিধারক প্রতিষ্ঠানের নিজস্ব ক্ষতি কভার করে। এর মধ্যে রয়েছে ডেটা পুনরুদ্ধার খরচ, ব্যবসা বাধাগ্রস্ত হওয়ার ক্ষতি, সাইবার এক্সটরশন বা র‍্যানসমওয়্যার মুক্তিপণ, ফরেনসিক তদন্ত খরচ, পাবলিক রিলেশন খরচ এবং ক্রাইসিস ম্যানেজমেন্ট খরচ।

দ্বিতীয়টি Third-Party Coverage যা পলিসিধারকের বিরুদ্ধে আনা মামলা এবং দাবি কভার করে। এর মধ্যে রয়েছে ডেটা ব্রিচের কারণে গ্রাহকদের কাছ থেকে আসা মামলা, নিয়ন্ত্রক জরিমানা, রেগুলেটরি ইনভেস্টিগেশন খরচ, PCI DSS পেনাল্টি এবং মিডিয়া দায়বদ্ধতা। আধুনিক পলিসি সাধারণত দুটি কভারেজই অন্তর্ভুক্ত করে।

আধুনিক সাইবার ইন্স্যুরেন্স পলিসিতে বিভিন্ন ধরনের কভারেজ থাকে যা বিভিন্ন ঝুঁকি দৃশ্যকল্পের জন্য প্রযোজ্য। Data Breach Response Coverage সবচেয়ে মৌলিক উপাদান যা একটি ডেটা ব্রিচ ঘটার পর তাৎক্ষণিক প্রতিক্রিয়ার খরচ কভার করে। এর মধ্যে অন্তর্ভুক্ত আছে ফরেনসিক বিশ্লেষণ, প্রভাবিত ব্যক্তিদের নোটিফিকেশন, ক্রেডিট মনিটরিং সেবা এবং আইনি পরামর্শ।

Business Interruption Coverage অত্যন্ত গুরুত্বপূর্ণ একটি উপাদান। যখন একটি সাইবার আক্রমণের কারণে ব্যবসায়িক কার্যক্রম স্থগিত হয়ে যায়, এই কভারেজ হারানো আয় এবং অতিরিক্ত পরিচালন খরচ প্রতিপূরণ করে। বিশেষত র‍্যানসমওয়্যার আক্রমণের ক্ষেত্রে যেখানে সিস্টেম দিনের পর দিন অচল থাকতে পারে, এই কভারেজ অপরিহার্য।

Cyber Extortion Coverage র‍্যানসমওয়্যার এবং সাইবার ব্ল্যাকমেইলের ক্ষেত্রে কাজ করে। এটি মুক্তিপণ প্রদান (যেখানে আইনত অনুমোদিত), মুক্তিপণ আলোচনার জন্য বিশেষজ্ঞ ফি এবং সংশ্লিষ্ট খরচ কভার করে। তবে কিছু এখতিয়ারে নিষেধাজ্ঞাপ্রাপ্ত গ্রুপকে মুক্তিপণ প্রদান বেআইনি হতে পারে।

Network Security Liability Coverage তৃতীয় পক্ষের কাছ থেকে আসা মামলার বিরুদ্ধে সুরক্ষা দেয়। যদি আপনার নেটওয়ার্ক থেকে ম্যালওয়্যার অন্যের সিস্টেমে ছড়িয়ে পড়ে বা আপনার সিস্টেম DDoS আক্রমণের সোর্স হয়ে ওঠে, তাহলে এই কভারেজ সংশ্লিষ্ট দায়বদ্ধতা কভার করে।

Media Liability Coverage ডিজিটাল কন্টেন্টের সাথে সম্পর্কিত দাবি কভার করে, যেমন কপিরাইট লঙ্ঘন, মানহানি বা গোপনীয়তা লঙ্ঘন। আধুনিক প্রতিষ্ঠানগুলো প্রচুর ডিজিটাল কন্টেন্ট প্রকাশ করে, এবং এই কভারেজ সংশ্লিষ্ট আইনি ঝুঁকি কমায়।

Regulatory Defense Coverage GDPR, CCPA, HIPAA এবং অন্যান্য ডেটা সুরক্ষা প্রবিধানের অধীনে তদন্ত খরচ এবং জরিমানা কভার করে। তবে অনেক এখতিয়ারে নিয়ন্ত্রক জরিমানা বীমাযোগ্য নয়, তাই এই কভারেজের সুনির্দিষ্ট শর্ত পর্যালোচনা করা গুরুত্বপূর্ণ।

সাইবার ইন্স্যুরেন্স শিল্প বর্তমানে অভূতপূর্ব চ্যালেঞ্জের সম্মুখীন। র‍্যানসমওয়্যার আক্রমণের বিস্ফোরণ বীমা পরিশোধকে আকাশছোঁয়া করে তুলেছে। ২০২১ সালে কিছু বীমা কোম্পানি লস রেশিও ১০০% ছাড়িয়ে যেতে দেখেছে যার অর্থ তারা প্রিমিয়াম আকারে যা সংগ্রহ করছে তার চেয়ে বেশি অর্থ পরিশোধ করছে।

এর ফলে প্রিমিয়াম দ্রুত বৃদ্ধি পাচ্ছে। ২০২০ থেকে ২০২২ সালের মধ্যে সাইবার ইন্স্যুরেন্স প্রিমিয়াম গড়ে ১৫০% থেকে ৩০০% বৃদ্ধি পেয়েছে। একই সাথে বীমা কোম্পানিগুলো আরো কঠোর underwriting শর্ত আরোপ করছে। MFA, EDR, immutable backup এবং নিয়মিত ভালনারেবিলিটি ম্যানেজমেন্ট ছাড়া পলিসি পাওয়া কঠিন হয়ে উঠছে।

Silent Cyber সমস্যা আরেকটি বড় চ্যালেঞ্জ। পুরনো সাধারণ বীমা পলিসিতে স্পষ্টভাবে সাইবার ঝুঁকি অন্তর্ভুক্ত বা বাদ দেওয়া হত না। যখন NotPetya আক্রমণে Merck এবং Mondelez বিলিয়ন ডলারের ক্ষতি দাবি করেছিল তাদের সাধারণ সম্পত্তি বীমা থেকে, তখন বীমাকারীরা War Exclusion clause-এর ভিত্তিতে অস্বীকৃতি জানিয়েছিল। এই মামলাগুলো বছরের পর বছর চলেছে এবং বীমা শিল্পকে নতুন করে পলিসি ভাষা পুনর্বিবেচনা করতে বাধ্য করেছে।

State-Sponsored Attack Exclusion বর্তমান একটি বিতর্কিত বিষয়। ২০২২ সাল থেকে Lloyd's of London রাষ্ট্র-পৃষ্ঠপোষকতাপ্রাপ্ত আক্রমণ পলিসি থেকে বাদ দেওয়ার নির্দেশনা জারি করেছে। কিন্তু কোনটি রাষ্ট্র-পৃষ্ঠপোষকতাপ্রাপ্ত আর কোনটি নয় তা প্রমাণ করা প্রায়শই অসম্ভব। এই অস্পষ্টতা পলিসিধারকদের জন্য গুরুতর ঝুঁকি তৈরি করে।

Systemic Risk বা প্রণালীগত ঝুঁকি বীমা শিল্পের জন্য সবচেয়ে বড় উদ্বেগ। যদি একটি বড় ক্লাউড সরবরাহকারী যেমন AWS বা Azure বড় ধরনের আউটেজ অনুভব করে, তাহলে হাজার হাজার পলিসিধারক একসাথে দাবি করবেন যা বীমা শিল্পের সম্পূর্ণ সক্ষমতা ছাড়িয়ে যেতে পারে। এই কারণে অনেক বীমাকারী এখন systemic event sub-limit আরোপ করছেন।

২০১৭ সালে Maersk শিপিং কোম্পানি NotPetya আক্রমণে ৩০০ মিলিয়ন ডলারের ক্ষতির সম্মুখীন হয়। তাদের সাইবার ইন্স্যুরেন্স প্রায় ১০০ মিলিয়ন ডলার পরিশোধ করেছিল যা ক্ষতি পুনরুদ্ধারে গুরুত্বপূর্ণ ভূমিকা পালন করেছিল। এই ঘটনা ব্যবসায়ীদের কাছে সাইবার ইন্স্যুরেন্সের গুরুত্ব প্রদর্শন করেছিল।

২০২১ সালে Colonial Pipeline র‍্যানসমওয়্যার আক্রমণে আমেরিকার পূর্ব উপকূলে জ্বালানি সরবরাহ ব্যাহত হয়। কোম্পানি ৪.৪ মিলিয়ন ডলার মুক্তিপণ প্রদান করেছিল যার বেশিরভাগ পরবর্তীতে FBI পুনরুদ্ধার করে। তাদের সাইবার ইন্স্যুরেন্স ব্যবসা বাধাগ্রস্ত হওয়ার ক্ষতি এবং পুনরুদ্ধার খরচ কভার করেছিল।

২০২৩ সালে MGM Resorts একটি বড় র‍্যানসমওয়্যার আক্রমণের শিকার হয় যেখানে ALPHV/BlackCat গ্রুপ তাদের সিস্টেম এনক্রিপ্ট করে। কোম্পানি মুক্তিপণ প্রদান অস্বীকার করেছিল কিন্তু আনুমানিক ১০০ মিলিয়ন ডলারের ক্ষতি অনুভব করে। তাদের সাইবার ইন্স্যুরেন্স একটি উল্লেখযোগ্য অংশ কভার করেছিল।

বাংলাদেশের প্রসঙ্গে, ২০১৬ সালের বাংলাদেশ ব্যাংক হাইস্ট-এ ৮১ মিলিয়ন ডলার চুরি হয়। সেসময় বাংলাদেশ ব্যাংকের পর্যাপ্ত সাইবার ইন্স্যুরেন্স ছিল না। এই ঘটনার পর বাংলাদেশের আর্থিক প্রতিষ্ঠানগুলো ক্রমশ সাইবার ইন্স্যুরেন্সের প্রতি আগ্রহী হচ্ছে যদিও স্থানীয় বাজার এখনো অপরিণত।

সঠিক সাইবার ইন্স্যুরেন্স পলিসি নির্বাচনের জন্য একটি পদ্ধতিগত পদ্ধতি প্রয়োজন। প্রথম ধাপে নিজের ঝুঁকি প্রোফাইল মূল্যায়ন করুন। আপনার প্রতিষ্ঠান কী ধরনের ডেটা প্রক্রিয়া করে, কতজন গ্রাহক, কোন কোন নিয়ন্ত্রক প্রবিধান প্রযোজ্য, এবং বার্ষিক রাজস্ব কত - এই সব তথ্যের ভিত্তিতে প্রয়োজনীয় কভারেজ নির্ধারণ করুন।

দ্বিতীয় ধাপে বর্তমান নিরাপত্তা পরিপক্বতা মূল্যায়ন করুন। NIST CSF, CIS Controls বা ISO 27001-এর মতো ফ্রেমওয়ার্ক ব্যবহার করে ফাঁক চিহ্নিত করুন। বীমাকারীরা underwriting প্রক্রিয়ায় বিস্তারিত নিরাপত্তা প্রশ্নাবলী পাঠান এবং আপনার উত্তরের ভিত্তিতে প্রিমিয়াম নির্ধারণ করেন।

তৃতীয় ধাপে বিভিন্ন বীমাকারী থেকে কোট সংগ্রহ করুন। শুধু প্রিমিয়াম নয়, কভারেজ সীমা, ডিডাক্টিবল, এক্সক্লুশন এবং sub-limit সম্পর্কে বিস্তারিতভাবে তুলনা করুন। প্রায়শই কম প্রিমিয়ামের পলিসিতে গুরুত্বপূর্ণ কভারেজ সীমিত থাকে।

চতুর্থ ধাপে এক্সক্লুশনগুলো সতর্কতার সাথে পর্যালোচনা করুন। War Exclusion, Acts of Foreign Enemies, Failure to Maintain Security, Prior Acts এবং Insider Threat সম্পর্কিত exclusion বিশেষভাবে মনোযোগ দিন। এই exclusions আপনার সম্ভাব্য কভারেজকে ব্যাপকভাবে সীমিত করতে পারে।

পঞ্চম ধাপে incident response সহায়তা মূল্যায়ন করুন। অনেক আধুনিক পলিসি ২৪/৭ incident response হটলাইন, ফরেনসিক সংস্থা এবং আইনি পরামর্শদাতার অ্যাক্সেস প্রদান করে। এই pre-arranged সম্পর্কগুলো একটি সংকটের সময় অত্যন্ত মূল্যবান।

সাইবার ইন্স্যুরেন্স কোনো প্রতিস্থাপন নয়, বরং একটি সম্পূরক প্রতিরক্ষা স্তর। শক্তিশালী সাইবার নিরাপত্তা অনুশীলন ছাড়া, কোনো বীমা পলিসি দীর্ঘমেয়াদে কার্যকর সুরক্ষা প্রদান করতে পারবে না। বরং দাবি প্রত্যাখ্যাত হতে পারে যদি কোনো বুনিয়াদি নিরাপত্তা মান লঙ্ঘিত হয়।

আধুনিক বীমাকারীরা নির্দিষ্ট নিরাপত্তা নিয়ন্ত্রণ বাস্তবায়নের দাবি করেন। বহু-ফ্যাক্টর প্রমাণীকরণ সমস্ত remote access এবং প্রিভিলেজড অ্যাকাউন্টের জন্য বাধ্যতামূলক। Endpoint Detection and Response সমাধান, নিয়মিত প্যাচ ম্যানেজমেন্ট, এনক্রিপ্টেড ব্যাকআপ এবং কর্মচারী নিরাপত্তা প্রশিক্ষণ - এই সব এখন standard requirements।

প্রতিষ্ঠানগুলোর উচিত একটি comprehensive Incident Response Plan তৈরি করা এবং নিয়মিতভাবে এটি পরীক্ষা করা। Tabletop Exercise এবং Red Team Engagement-এর মাধ্যমে দলের প্রস্তুতি যাচাই করুন। বীমাকারীরা প্রায়শই এই ধরনের অনুশীলনের জন্য ছাড় প্রদান করেন।

Supply Chain Risk Management ক্রমশ গুরুত্বপূর্ণ হয়ে উঠছে। SolarWinds এবং Kaseya-র মতো সাপ্লাই চেইন আক্রমণ প্রদর্শন করেছে যে আপনার নিরাপত্তা আপনার ভেন্ডরদের নিরাপত্তার মতোই দুর্বল। তৃতীয় পক্ষের বিক্রেতাদের নিরাপত্তা মূল্যায়ন এবং কন্ট্রাকচুয়াল সুরক্ষা প্রয়োজন।

বাংলাদেশের বাজারের জন্য বিশেষ বিবেচনা প্রয়োজন। স্থানীয় বীমা কোম্পানিগুলো এখনো সাইবার ইন্স্যুরেন্সে অপরিণত। অনেক ক্ষেত্রে আন্তর্জাতিক re-insurance প্রয়োজন। Bangladesh Bank-এর ICT সুরক্ষা গাইডলাইন মেনে চলা এবং ডিজিটাল নিরাপত্তা আইন ২০১৮-এর প্রয়োজনীয়তা পূরণ করা মৌলিক।