بیمه مرکزی در نقطه تصمیم
عبور از ارزیابی ریسک به هدایت بازار بیمه سایبری پس از اختلال شبکه بانکی
دکتر وحید نوبهار - دستیار مدیرعامل بانک دی در امور بانکداری و بیمه
اختلالهای سایبری که طی ماههای گذشته بخشی از زیرساختهای مالی و بانکی کشور را درگیر کردهاند، واقعیت مهمی را به ذهن متبادر می سازند که ریسک فنآوری در اقتصاد دیجیتال کشور از منابع اصلی زیان اقتصادی، اخلال در جریان مبادلات و تضعیف اعتماد جامعه به شمار می آید. همانگونه که تجربه شد، با اختلال یا وقفه دسترسی مشتریان به خدمات بانکی، خسارت ایجادشده محدود به هزینههای فنی بازیابی سامانهها نبوده و زنجیره زیانهای عملیاتی، کاهش درآمد بنگاهها، اختلال در قراردادهای تجاری، افزایش هزینههای امنیتی و آسیب به اعتبار سازمانی شکل میگیرد که آثار آن گاه از خود رخداد سایبری ماندگارتر است. آنچه به روشنی به چشم می آید اینست که نظام مالی کشور چگونه باید هزینههای ناشی از رخدادهای سایبری را مدیریت و توزیع کند.
پاسخ اقتصادهای پیشران به مساله مذکور طی بیست سال گذشته بر پایه توسعه صنعت بیمه سایبری استوار بوده است. گزارشهای سازمان همکاری و توسعه اقتصادی (OECD)، مجمع جهانی اقتصاد (World Economic Forum)، شرکت بیمه اتکایی مونیخری (Munich Re) و شرکت بیمه اتکایی سوئیسری (Swiss Re) حاکی از آن است که ریسک سایبری در زمره تهدیدهای مهم پیش روی بنگاههای اقتصادی قرار داشته و شکلگیری بازار بیمه سایبری نیازمند شناخت، اندازهگیری و طبقهبندی ریسک است. اینجاست که میتوان اقدام اخیر بیمه مرکزی در صدور مجوز برای فعالیت شرکت ارزیابی ریسک سایبری را یک گام ارزشمند تلقی کرد چرا که سنجش علمی ریسک، گام های آتی نرخگذاری، ذخیرهگیری و مدیریت تعهدات بیمهای را تسهیل خواهدکرد. اما باید توجه داشت که ارزیابی ریسک زمانی ارزش اقتصادی پیدا میکند که به انتقال ریسک منتهی شود به معنای آنکه حلقهای است که فرآیند شناسایی و اندازهگیری را به جبران مالی خسارت پیوند میدهد. هرگاه این حلقه وجود نداشته باشد، ارزیابی ریسک به فعالیت اطلاعاتی تبدیل میشود که گرچه آگاهی سازمانها را افزایش داده ولی توان جذب شوکهای مالی را ندارد. به همین دلیل است که بسیاری از متخصصان بیمه، توسعه بازار بیمه سایبری را ادامه منطقی فرایند ارزیابی ریسک میدانند. آنچه با تاکید باید ذکر شود آنست که ماهیت ریسک سایبری با اغلب رشتههای سنتی بیمه تفاوت دارد. در بیمه آتشسوزی یا بیمه بدنه خودرو، پراکندگی جغرافیایی و تنوع خطر موجب توزیع خسارت میان بیمهگذاران میشود در حالی که در ریسک سایبری، یک آسیبپذیری مشترک میتواند هزاران سازمان را بهطور همزمان در معرض خسارت قرار دهد. ویژگی یادشده که به تمرکز ریسک (Risk Concentration) شناخته میشود، ساختار محاسبات اکچوئری را با پیچیدگیهای کمسابقهای روبهرو میسازد. ازین رو صنایع بیمه پیشرفته پیش از عرضه گسترده بیمهنامههای سایبری، سرمایهگذاری وسیع در حوزه الگوسازی ریسک، تحلیل سناریو و آزمون تنش انجام دادهاند. همچنین آنچه از تجارب ایالات متحده، بریتانیا و اتحادیه اروپا برمی آید این نکته است که توسعه بیمه سایبری هرگز به تنهایی از دل تقاضای بازار شکل نگرفته است. نهادهای ناظر مالی و بیمه با تدوین استانداردهای گزارشدهی رخدادهای سایبری، الزام افشای خسارات و ایجاد پایگاههای مشترک داده، زمینه لازم برای فعالیت بیمهگران را فراهم کردهاند. گزارش آژانس امنیت سایبری و زیرساخت ایالات متحده (CISA) و آژانس امنیت شبکه و اطلاعات اتحادیه اروپا (ENISA) نشانگر آنست که دسترسی به دادههای استاندارد و پالایش شده، پیشنیاز مهم توسعه بازار پوششهای بیمه سایبری محسوب میشود.
بیمه مرکزی در آستانه انتخاب
نقطه کنونی که بیمه مرکزی ایستاده، اهمیت مضاعف پیدا کرده است. تواتر رخدادهای سایبری از نظر کمیت و حجم خسارات وارده به حدّ کفایتی رسیده که جایگاه نهاد ناظر صنعت بیمه کشور به صدور مجوز ارزیابی ریسک سایبری محدود نباشد و شاید بتوان گفت که انتظار جامعه مالی و حتی عامّه مردم از بیمه مرکزی به مسوولیت اصلی در شکلدهی بازار، ایجاد انگیزه برای بیمه گران، تدوین ضوابط فنی، طراحی الزامات توانگری و فراهمسازی ظرفیت بیمه اتکایی سایبری اشاره دارد. ارزیابی ریسک همراستا با اقدامات فوق الذکر به انباشت دادههایی منجر میشود که مسیر روشن برای بهرهبرداری اقتصادی از آنها وجود داشته باشد. بنگاه اقتصادی خُرد و کلان که هزینه قابل توجهی برای ارزیابی امنیت اطلاعات خود پرداخت میکند، انتظار دارد نتیجه این فرآیند در قالب کاهش حق بیمه، دسترسی به پوششهای تخصصی یا بهبود شرایط تأمین مالی منعکس شود.
اختلال اخیر شبکه بانکی هشدار اقتصادی پررنگی بود و نمی توان آن را تنها به هشدار فنآوری محدود کرد.
آنچه در معرض تهدید قرار گرفت، اعتماد به زیرساخت مبادلات مالی کشور بود. اعتماد، دارایی مهم و نامشهود شبکه بانک و بیمه کشور محسوب شده و هر رخداد سایبری گسترده بخشی از این سرمایه را مستهلک میکند. آنچه اکنون در اقتصادهای پیشرفته جهان جاری و ساری است، اینست که بیمه سایبری در کنار سامانههای امنیت اطلاعات از ابزارهای حفظ تابآوری عملیاتی (Operational Resilience) شناخته میشود که به توانایی سازمان برای حفظ تداوم خدمات حیاتی در مواجهه با شوکها و اختلالات اشاره دارد. بنابراین اگر خسارات ناشی از حملات سایبری از طریق سازوکارهای بیمه گری جذب شوند، بازگشت بنگاه اقتصادی به وضعیت عادی تسریع شده و پیامدهای سرایتی بحران محدودتر خواهدشد.
اینک انتخاب و تصمیم بیمه مرکزی میتواند مسیر آینده صنعت بیمه را تعیین کند. یک مسیر به ادامه وضع موجود منتهی میشود که در آن به تازگی ارزیابی ریسک انجام خواهدشد اما بازار انتقال ریسک شکل نمیگیرد. طریق دیگر به ایجاد زیست بوم جامع سایبری منجر خواهد شد که در آن ارزیابان ریسک، شرکتهای بیمه گر، بیمهگران اتکایی، بازیگران فعال امنیت اطلاعات و شبکه بانکی در یک زنجیره منسجم فعالیت میکنند. تفاوت طُرق مذکور در آن است که مسیر نخست پساخسارت، به دنبال مدیریت پیامدها حرکت میکند اما مسیر دوم ظرفیت جذب شوک اقتصادی پیش از وقوع خسارت ایجاد میکند.
واضح و مبرهن است که ریسک سایبری به یکی از حوزههای کلان رشد صنعت بیمه در دهه آتی تبدیل خواهد شد. میهن عزیز که با مساعی بیمه مرکزی، زیرساختهای حقوقی، فنی و بیمهای مقتضی را ایجاد کند، توان بیشتری برای حفاظت از داراییهای دیجیتال و ثبات مالی خود خواهد داشت. صدور مجوز ارزیابی ریسک سایبری را باید آغاز مسیر دانست که ارزش واقعی آن هنگامی رخ می نماید که دادههای حاصل از ارزیابی ریسک به نرخگذاری بیمهای، طراحی پوششهای تخصصی و ایجاد بازار فعال بیمه سایبری منتهی شود که بتواند بخشی از هزینههای اقتصادی حملات سایبری را از دوش بنگاهها و شبکه مالی کشور برداشته، استانداردهای زیرساختی امنیت برخط را پایش نموده و به افزایش تابآوری اقتصاد دیجیتال یاری رساند.