ضرورت توجه به بیمه سایبری در شبکه بانکی کشور

نویسندگان: وحید نوبهار، محسن امیری

بیمه سایبری در ذات خود تلاشی برای پاسخ به عدم قطعیت‌های ناشی از تحولات فناوری است. در نظریه‌های نوین مدیریت ریسک هرچه وابستگی یک سازمان به داده و سیستم‌های دیجیتال بیشتر باشد، احتمال بروز خسارت‌های سیستمی نیز افزایش می‌یابد. شبکه بانکی کشور در رأس این فهرست قرار دارد چرا که اطلاعات مالی مشتریان، تراکنش‌ها، رمزهای عبور و دارایی‌های دیجیتال را در مقیاس وسیع نگهداری می‌کنند. بیمه سایبری بانکی به عنوان یک قرارداد انتقال ریسک فناورانه است که در آن شرکت بیمه گر متعهد می‌شود در صورت وقوع حادثه سایبری مانند نفوذ، افشای داده یا اختلال سامانه، خسارات مستقیم و غیرمستقیم بانک را جبران کند. این بیمه علاوه بر جبران خسارت به‌صورت غیرمستقیم بانک را ملزم به رعایت استانداردهای امنیتی، پیاده‌سازی سیاست‌های حفاظت از داده و آموزش کارکنان می‌نماید. رابطه میان بانک و بیمه‌گر در این حوزه نوعی هم‌زیستی فناورانه است که هر دو نهاد را در مسیر ارتقای بلوغ امنیت سایبری قرار می‌دهد.  از طرفی شبکه بانکی امروز دیگر تنها مؤسسات مالی سنتی نیست و به شبکه پیچیده‌ای از سامانه‌های اطلاعاتی، پایگاه‌های داده، درگاه‌های اینترنتی و فناوری‌های نوین مالی (FinTech) تبدیل شده است. این تغییر گسترده در کنار منافع متعدد خود، نوعی وابستگی عمیق به فناوری اطلاعات ایجاد کرده که با خود ریسک‌های عظیمی از جنس امنیت سایبری (Cybersecurity Risk) به همراه دارد. حملات سایبری به بانک‌های کشور که در ماههای اخیر چندبار به وقوع پیوست هم خسارات مالی مستقیم ایجاد نمود و به اعتماد عمومی مشتریان نیز صدمه وارد نمود، لذا بیمه سایبری (Cyber Insurance) به‌عنوان سازوکار پیشرفته برای مدیریت ریسک‌های دیجیتال در شبکه بانکی اهمیت می‌یابد. این بیمه علاوه بر یک محصول بیمه ای و مالی به‌مثابه یک ابزار سیاست‌گذاری برای تقویت تاب‌آوری (Resilience) نظام مالی در برابر تهدیدات نوین مطرح است.

ضرورت

شبکه بانکی کشور یکی از حساس‌ترین زیرساخت‌های ملی است که اختلال در آن حتی در کوتاه‌ترین زمان ممکن، می‌تواند اثرات دومینویی بر کل اقتصاد داشته باشد. بانک‌ها به دلیل حجم بالای داده‌های مالی و اطلاعات هویتی مشتریان، از اهداف اصلی حملات سایبری محسوب می‌شوند. این تهدیدات شامل نفوذ به سامانه‌های پرداخت، دستکاری اطلاعات حساب‌ها، انتقال غیرمجاز وجوه و حتی توقف کامل خدمات بانکی همراه و برخط است. در کشورهایی که وابستگی به بانکداری دیجیتال بالاست، بیمه سایبری به‌عنوان الزام نظارتی در نظر گرفته شده است.  نهادهای نظارتی در ایالات متحده بانک‌ها را ملزم کرده‌اند تا برای پوشش ریسک‌های سایبری بیمه‌نامه معتبر داشته باشند. این الزام هم  از منافع بانک‌ها و هم از ثبات مالی کل نظام اقتصادی حفاظت می‌کند. رشد بانکداری الکترونیک در شبکه بانکی کشور، افزایش تراکنش‌های اینترنتی و ظهور بانکداری باز (Open Banking) سبب شده تا سطح تهدیدات به‌صورت چشمگیری افزایش یابد. لکن ساختار بیمه‌ای کشور هنوز سازوکاری منسجم برای جبران خسارت‌های سایبری بانکی ندارد و این موضوع خلأیی جدی در نظام مدیریت ریسک مالی محسوب می‌شود.

تجربه کشورهای توسعه‌یافته نشان می‌دهد که بیمه سایبری می‌تواند به یکی از مؤثرترین ابزارهای مقابله با بحران‌های فناوری تبدیل شود. شبکه بانکی اروپا تحت پوشش بیمه‌نامه‌های جامع شرکت‌هایی نظیر Lloyd’s of London  یا Chubb  قرار دارند که خسارت مالی ناشی از حمله را جبران می‌کنند و نیز خدمات پاسخ به حادثه (Incident Response) و بازیابی داده‌ها را نیز ارائه می‌دهند. شرکت بیمه Sompo در ژاپن با همکاری بانک‌های محلی سامانه‌ای طراحی کرده است که در صورت بروز نفوذ، به‌صورت خودکار اقدامات فنی، اطلاع‌رسانی به مشتریان و جبران خسارت را آغاز می‌کند. در کشورهای حوزه اسکاندیناوی نیز بیمه سایبری با صندوق‌های ملی Cyber Risk Pool  پشتیبانی می‌شود تا از ورشکستگی احتمالی بیمه‌گران در برابر حملات گسترده جلوگیری شود. مطالعات تطبیقی نشان می‌دهد که در تمامی این کشورها تعامل نزدیک میان نهاد ناظر مالی و بیمه‌ای نظیر بانک مرکزی و بیمه مرکزی، عامل کلیدی در موفقیت بوده است. این تعامل سبب شده تا الزامات امنیتی و بیمه‌ای در قالب یک چارچوب یکپارچه نظارتی اجرا شوند.

وضعیت موجود

 در صنعت بیمه کشور هنوز محصولی اختصاصی برای بیمه سایبری شبکه بانکی وجود ندارد. نبود پایگاه داده ملی از حوادث سایبری بانکی موجب می‌شود که نرخ‌گذاری حق بیمه و تعیین خسارت بر مبنای داده‌های واقعی انجام نشود. از سوی دیگر  پیچیدگی زیرساخت‌های بانکی و تنوع سکوهای دیجیتال، ارزیابی ریسک را برای بیمه‌گران دشوار می‌کند. نیز ضروری است همکاری سازمان‌یافته میان بانک مرکزی و بیمه مرکزی و مرکز ماهر، به تدوین چارچوبی منسجم برای بیمه سایبری بانکی بینجامد. همچنین ضعف آگاهی عمومی نسبت به مفهوم بیمه سایبری و تلقی آن به‌عنوان هزینه اضافی، مانع پذیرش داوطلبانه از سوی شبکه بانکی می شود. در حالی‌که بیمه سایبری باید به‌عنوان بخشی از الزامات انطباق نظارتی تلقی شود.

 پیامدهای اقتصادی 

پیامدهای بیمه سایبری بر نظام بانکی علاوه بر آثار مالی، مدیریتی و رفتاری نیز هست. هنگامی‌که بانک تحت پوشش بیمه سایبری قرار می‌گیرد، شرکت بیمه گر به‌صورت منظم وضعیت امنیت فناوری بانک را ارزیابی می‌کند و در صورت مشاهده ضعف در سیاست‌های امنیتی، بانک را ملزم به اصلاح آن می‌سازد. این فرایند نوعی نظارت غیرمستقیم بر امنیت شبکه بانکی ایجاد می‌کند که مکمل نظارت رسمی بانک مرکزی است. همچنین بیمه سایبری با کاهش زیان‌های مستقیم و غیرمستقیم ناشی از حملات، موجب بهبود کارایی مالی و پایداری سودآوری بانک‌ها می‌شود. نیز در مواقع بحران، از انتقال ریسک به مشتریان و ایجاد بی‌اعتمادی عمومی جلوگیری می‌کند و بیمه سایبری در شبکه بانکی به معنای تقویت سرمایه اعتماد در نظام مالی کشور است.

راهبردها

با توجه به وضعیت موجود که ذکر گردید لازم است بیمه سایبری بانکی در کشور در سه سطح سیاست‌گذاری، اجرایی و آموزشی توسعه یابد. باید تاکید کرد که تدوین دستورالعمل مشترک بانک مرکزی و بیمه مرکزی برای تعریف استانداردها و الزامات پوشش سایبری ضروری است. همچنین می‌توان با ایجاد یک صندوق اتکایی سایبری ملی (National Cyber Reinsurance Fund) از شرکت‌های بیمه گر در برابر خسارت‌های کلان حمایت کرد. در سطح آموزشی نیز باید برنامه‌های گسترده‌ای برای مدیران فناوری بانک‌ها و کارشناسان بیمه گر تدوین شود تا درک مشترکی از ماهیت ریسک‌های سایبری و الزامات بیمه‌ای شکل گیرد. ترکیب این سه عامل می‌تواند چارچوبی بومی برای توسعه بیمه سایبری در شبکه بانکی کشور فراهم سازد.

بیمه سایبری در چشم‌انداز آینده نظام بانکی کشور باید به‌عنوان یک رکن کلیدی در معماری مدیریت ریسک مالی شناخته شود. با گسترش بانکداری دیجیتال، افزایش حملات سایبری و رشد فین‌تک‌ها، دیگر نمی‌توان امنیت سایبری را فقط یک مساله فنی دانست و باید به این موضوع، به چشم یک مساله حاکمیتی و راهبردی نگریست که نیازمند ابزارهای مالی پایدار همانند بیمه است. بیمه سایبری علاوه بر سپر مالی در برابر تهدیدات دیجیتال، ابزاری برای تقویت اعتماد، ثبات و تاب‌آوری نظام بانکی کشور خواهد بود.