بیمه مرکزی در نقطه تصمیم

عبور از ارزیابی ریسک به هدایت بازار بیمه سایبری پس از اختلال شبکه بانکی

دکتر وحید نوبهار - دستیار مدیرعامل بانک دی در امور بانکداری و بیمه

شناسه خبر: 188605
عبور از ارزیابی ریسک به هدایت بازار بیمه سایبری پس از اختلال شبکه بانکی

اختلال‌های سایبری که طی ماه‌های گذشته بخشی از زیرساخت‌های مالی و بانکی کشور را درگیر کرده‌اند، واقعیت مهمی را به ذهن متبادر می سازند که ریسک‌ فنآوری در اقتصاد دیجیتال کشور از منابع اصلی زیان اقتصادی، اخلال در جریان مبادلات و تضعیف اعتماد جامعه به شمار می آید. همانگونه که تجربه شد، با اختلال یا وقفه دسترسی مشتریان به خدمات بانکی، خسارت ایجادشده محدود به هزینه‌های فنی بازیابی سامانه‌ها نبوده و زنجیره زیان‌های عملیاتی، کاهش درآمد بنگاه‌ها، اختلال در قراردادهای تجاری، افزایش هزینه‌های امنیتی و آسیب به اعتبار سازمانی شکل می‌گیرد که آثار آن گاه از خود رخداد سایبری ماندگارتر است. آنچه به روشنی به چشم می آید اینست که نظام مالی کشور چگونه باید هزینه‌های ناشی از رخدادهای سایبری را مدیریت و توزیع کند.

پاسخ اقتصادهای پیشران به مساله مذکور طی بیست سال گذشته بر پایه توسعه صنعت بیمه سایبری استوار بوده است. گزارش‌های سازمان همکاری و توسعه اقتصادی (OECD)، مجمع جهانی اقتصاد (World Economic Forum)، شرکت بیمه اتکایی مونیخ‌ری (Munich Re) و شرکت بیمه اتکایی سوئیس‌ری (Swiss Re) حاکی از آن است که ریسک سایبری در زمره  تهدیدهای مهم پیش روی بنگاه‌های اقتصادی قرار داشته و شکل‌گیری بازار بیمه سایبری نیازمند شناخت، اندازه‌گیری و طبقه‌بندی ریسک است. اینجاست که می‌توان اقدام اخیر بیمه مرکزی در صدور مجوز برای فعالیت شرکت ارزیابی ریسک سایبری را یک گام ارزشمند تلقی کرد چرا که سنجش علمی ریسک، گام های آتی نرخ‌گذاری، ذخیره‌گیری و مدیریت تعهدات بیمه‌ای را تسهیل خواهدکرد. اما باید توجه داشت که ارزیابی ریسک زمانی ارزش اقتصادی پیدا می‌کند که به انتقال ریسک منتهی شود به معنای آنکه حلقه‌ای است که فرآیند شناسایی و اندازه‌گیری را به جبران مالی خسارت پیوند می‌دهد. هرگاه این حلقه وجود نداشته باشد، ارزیابی ریسک به فعالیت اطلاعاتی تبدیل می‌شود که گرچه آگاهی سازمان‌ها را افزایش داده ولی توان جذب شوک‌های مالی را ندارد. به همین دلیل است که بسیاری از متخصصان بیمه، توسعه بازار بیمه سایبری را ادامه منطقی فرایند ارزیابی ریسک می‌دانند. آنچه با تاکید باید ذکر شود آنست که ماهیت ریسک سایبری با اغلب رشته‌های سنتی بیمه تفاوت دارد. در بیمه آتش‌سوزی یا بیمه بدنه خودرو، پراکندگی جغرافیایی و تنوع خطر موجب توزیع خسارت میان بیمه‌گذاران می‌شود در حالی که در ریسک سایبری، یک آسیب‌پذیری مشترک می‌تواند هزاران سازمان را به‌طور همزمان در معرض خسارت قرار دهد. ویژگی یادشده که به تمرکز ریسک (Risk Concentration) شناخته می‌شود، ساختار محاسبات اکچوئری را با پیچیدگی‌های کم‌سابقه‌ای روبه‌رو می‌سازد. ازین رو صنایع بیمه پیشرفته پیش از عرضه گسترده بیمه‌نامه‌های سایبری، سرمایه‌گذاری وسیع در حوزه الگو‌سازی ریسک، تحلیل سناریو و آزمون تنش  انجام داده‌اند. همچنین آنچه از تجارب ایالات متحده، بریتانیا و اتحادیه اروپا برمی آید این نکته است که توسعه بیمه سایبری هرگز به تنهایی از دل تقاضای بازار شکل نگرفته است. نهادهای ناظر مالی و بیمه‌ با تدوین استانداردهای گزارش‌دهی رخدادهای سایبری، الزام افشای خسارات‌ و ایجاد پایگاه‌های مشترک داده، زمینه لازم برای فعالیت بیمه‌گران را فراهم کرده‌اند. گزارش آژانس امنیت سایبری و زیرساخت ایالات متحده (CISA) و آژانس امنیت شبکه و اطلاعات اتحادیه اروپا (ENISA) نشانگر آنست که دسترسی به داده‌های استاندارد و پالایش شده، پیش‌نیاز مهم توسعه بازار پوشش‌های بیمه‌ سایبری محسوب می‌شود.

بیمه مرکزی در آستانه انتخاب

نقطه کنونی که بیمه مرکزی ایستاده، اهمیت مضاعف پیدا کرده است. تواتر رخدادهای سایبری از نظر کمیت و حجم خسارات وارده به حدّ کفایتی رسیده که جایگاه نهاد ناظر صنعت بیمه کشور به صدور مجوز ارزیابی ریسک سایبری محدود نباشد و شاید بتوان گفت که انتظار جامعه مالی و حتی عامّه مردم از بیمه مرکزی به مسوولیت اصلی در شکل‌دهی بازار، ایجاد انگیزه برای بیمه گران، تدوین ضوابط فنی، طراحی الزامات توانگری و فراهم‌سازی ظرفیت بیمه اتکایی سایبری اشاره دارد. ارزیابی ریسک همراستا با اقدامات فوق الذکر به انباشت داده‌هایی منجر می‌شود که مسیر روشن برای بهره‌برداری اقتصادی از آنها وجود داشته باشد. بنگاه اقتصادی خُرد و کلان که هزینه قابل توجهی برای ارزیابی امنیت اطلاعات خود پرداخت می‌کند، انتظار دارد نتیجه این فرآیند در قالب کاهش حق بیمه، دسترسی به پوشش‌های تخصصی یا بهبود شرایط تأمین مالی منعکس شود.

اختلال اخیر شبکه بانکی هشدار اقتصادی پررنگی بود و نمی توان آن را تنها به هشدار فنآوری محدود کرد.

آنچه در معرض تهدید قرار گرفت، اعتماد به زیرساخت مبادلات مالی کشور بود. اعتماد، دارایی مهم و نامشهود شبکه بانک و بیمه کشور محسوب شده و هر رخداد سایبری گسترده بخشی از این سرمایه را مستهلک می‌کند. آنچه اکنون در اقتصادهای پیشرفته جهان جاری و ساری است، اینست که بیمه سایبری در کنار سامانه‌های امنیت اطلاعات از ابزارهای حفظ تاب‌آوری عملیاتی (Operational Resilience) شناخته می‌شود که به توانایی سازمان برای حفظ تداوم خدمات حیاتی در مواجهه با شوک‌ها و اختلالات اشاره دارد. بنابراین اگر خسارات‌ ناشی از حملات سایبری از طریق سازوکارهای بیمه‌ گری جذب ‌شوند، بازگشت بنگاه اقتصادی به وضعیت عادی تسریع شده و پیامدهای سرایتی بحران محدودتر خواهدشد.
اینک انتخاب و تصمیم بیمه مرکزی می‌تواند مسیر آینده صنعت بیمه را تعیین کند. یک مسیر به ادامه وضع موجود منتهی می‌شود که در آن به تازگی ارزیابی ریسک انجام خواهدشد اما بازار انتقال ریسک شکل نمی‌گیرد. طریق دیگر به ایجاد زیست بوم جامع سایبری منجر خواهد شد که در آن ارزیابان ریسک، شرکت‌های بیمه گر، بیمه‌گران اتکایی، بازیگران فعال امنیت اطلاعات و شبکه بانکی در یک زنجیره منسجم فعالیت می‌کنند. تفاوت طُرق مذکور در آن است که مسیر نخست پساخسارت، به دنبال مدیریت پیامدها حرکت می‌کند اما مسیر دوم ظرفیت جذب شوک اقتصادی پیش از وقوع خسارت ایجاد می‌کند.
واضح و مبرهن است که ریسک سایبری به یکی از حوزه‌های کلان رشد صنعت بیمه در دهه آتی تبدیل خواهد شد. میهن عزیز که با مساعی بیمه مرکزی، زیرساخت‌های حقوقی، فنی و بیمه‌ای مقتضی را ایجاد کند، توان بیشتری برای حفاظت از دارایی‌های دیجیتال و ثبات مالی خود خواهد داشت. صدور مجوز ارزیابی ریسک سایبری را باید آغاز مسیر دانست که ارزش واقعی آن هنگامی رخ می نماید که داده‌های حاصل از ارزیابی ریسک به نرخ‌گذاری بیمه‌ای، طراحی پوشش‌های تخصصی و ایجاد بازار فعال بیمه سایبری منتهی شود که بتواند بخشی از هزینه‌های اقتصادی حملات سایبری را از دوش بنگاه‌ها و شبکه مالی کشور برداشته، استانداردهای زیرساختی امنیت برخط را پایش نموده و به افزایش تاب‌آوری اقتصاد دیجیتال یاری رساند.

ارسال نظر