چرا بی‌توجهی به مفهوم سایبراینشورنس می‌تواند فاجعه ملی به بار بیاورد؟ / ریسک فضای سایبری خود بیمه‌ها را هم تهدید می‌کند

داده‌ها هم مانند سایر داشته‌های ما دارای ارزش هستند و هر چیزی که دارای ارزش است باید طبق پروتکل‌هایی، شناخت خطرات و ریسک‌های پیش روی آن را مدیریت کرد. اساسا بیمه به عنوان ابزاری برای مدیریت ریسک دارایی‌ها شکل گرفته است.

نویسنده: نوید نیک‌نژادی در تاریخ 12 شهریور سال 1398 ساعت 10:33 0

فناوری اطلاعات و ارتباطات (فاوا) از عرصه‌های مهم و حیاتی دنیای مدرن کنونی است. در جهان امروزی هر روز به دانش بشری با سرعت باورنکردنی اضافه می‌شود و فرصت مجالی برای بررسی جوانب و تبعات ریسک‌های تجاری و غیرتجاری مرتبط با فاوا فراهم نیست.

نبود احاطه به دانش‌های جدید هم یعنی بروز ریسک در حالی که شرکت‌های بیمه کارشان شناخت ریسک و نگهداری آن است! با دوری از دنیای فناوری اطلاعات و عدم مواجه با ندانسته‌هایشان، به دنبال فرار از ریسک این حوزه هستند غافل از اینکه بیمه‌ها با این غفلت، تنها کاری که می‌کنند احتمال حیات کسب‌وکارشان در آینده فناورانه فردا را کمتر و کمتر می‌کنند. چراکه دنیای آینده و کسب‌وکارهای مبتنی بر خلق داده‌ها و فناوری اطلاعات است و هر کسب‌وکاری که مدل‌های کسب‌وکاری خود را همگام با این دنیای تازه، وفق ندهد، در دنیای آینده جایی نخواهد داشت.

یکی از مفاهیمی که در دنیای امروز بیمه به‌شدت مورد توجه قرار گرفته است، سایبراینشورنس یا همان بیمه فضای مجازی است که از جنبه‌های مختلف نیز مانند هر روند جدید دیگری در دنیا با چالش‌های زیادی مواجه است.

از آنجایی که در ایران نیز با وجود محدودیت‌های ورود تکنولوژی که فاوا در عمق بسیاری از کسب‌وکارها نفوذ کرده است، توجه به مفهوم مدیریت ریسک داده‌های اطلاعاتی نیز اهمیت پیدا می‌کند. داده‌ها هم مانند سایر داشته‌های ما دارای ارزش هستند و هر چیزی که دارای ارزش است باید طبق پروتکل‌هایی، شناخت خطرات و ریسک‌های پیش روی آن را مدیریت کرد. اساسا بیمه به عنوان ابزاری برای مدیریت ریسک دارایی‌ها شکل گرفته است ولی تا امروز شاهد ابتکار عملی چندانی از سوی بیمه‌ها برای مدیریت ریسک در حوزه فاوا نیستیم.

همه این‌ها بهانه‌ای بود تا به سراغ ناصر سلوکی از تکنوکرات‌های باسابقه بیمه کشور برویم تا درباره این مفهوم صحبت کنیم. ناصر سلوکی هدف خود از این گفت‌و‌گو را خلق یک طوفان مغزی بین خانواده صنعت بیمه برای آفریدن یک ارزش افزوده‌ای بیمه‌ای در کشور می‌داند؛ و نه نقدوبررسی وضعیت موجود.

بیمه فقط برای دارایی‌های ملموس مانند خودرو و ساختمان نیست

ریسک، میزان احتمال وقوع یک خطر است. ناصر سلوکی با بیان این نکته می‌گوید: «فعالیت صنعت بیمه، شناسایی ریسک وقوع یک خسارت، برآورد و ارزیابی ریسک احتمالی و سپس ایجاد سازوکارها و آیین نامه‌های مربوطه برای تعیین حق بیمه و تعیین جبران مالی آن خسارت است. در این سازوکارها، برآوردهای وقوع خسارت و میزان حق بیمه تعیین می‌شود و اینگونه یک سامانه برای پوشش دادن ریسک‌های مربوطه و جبران خسارت مورد بیمه راه‌اندازی می‌شود.»

بیمه خود یک کالا و خدمت ناملموس است و اغلب برای پوشش کالاهای ملموس مانند ساختمان، خودرو، انسان و … در نظر گرفته می‌شود؛ برای مثال خودرویی تصادف می‌کند یا دزدیده می‌شود و یا ساختمانی دچار آتش‌سوزی می‌شود و با سازوکاری روشن و از پیش تعیین شده، خسارت برآورد و پرداخت می‌شود.

اما برای موارد غیرملموس مانند سامانه‌های اطلاعات‌محور که احتمال خسارت وجود دارد و باید بتوان مفهوم ریسک را آنجا هم توسط بیمه مدیریت کرد؛ اتفاقی که تا امروز در ایران به آن کم پرداخته شده است. سلوکی می‌گوید: «وقتی که از سیستم‌های انفورماتیکی یا همان سامانه‌های فاوا چه نرم‌افزار، چه سخت‌افزار و چه شبکه صحبت می‌کنیم، احتمال ایجاد خسارت در زمان استفاده در آنها نیز وجود دارد. اما از آنجایی که فضای انفورماتیک و داشته‌هایش که اغلب «داده» هستند، یک فضای ناملموس است و خود بیمه هم یک کالا یا خدمت ناملموس است، درک اهمیت بیمه فضای سایبری یا همان سایبراینشورنس برای افراد کمی دشوار است.»

خلق سایبراینشورنس به‎خاطر اهمیت روزافزون داده‌ها

دنیا به سمت استفاده هر چه بیشتر از داده‌ها پیش می‌رود. خودروهای پیش‌ران که مبتنی بر داده‌ها حرکت می‌کنند، به‌زودی جای خودروهای فعلی را خواهند گرفت؛ بسیاری از جراحان و متخصصان پزشکی دنیا دیگر برای انجام جراحی‌ها بین شهرها و کشورها جابجا نمی‌شوند و بسیاری از عمل‌های جراحی حساس به وسیله ربات‌ها و از راه دور به کمک رایانه‌ها انجام می‌شوند؛ حجم بسیار زیادی از اطلاعات افراد در سامانه‌های انفورماتیکی سازمان‌های مختلف از جمله بانک‌ها، بیمه‌ها، مراکز پزشکی، سازمان ثبت احوال، سازمان امور مالیاتی و … نگهداری و یا بعضا بین یکدیگر تبادل می‌شوند و به نوعی مانند خانه و خودرو و… یک جور اموال افراد یا سازمان‌ها به حساب می‌آیند. سلوکی برای بیان اهمیت داده‌های الکترونیکی، این مثال‌ها را می‌زند و اشاره می‌کند که بروز اشکال در این داده‌ها، می‌تواند خسارت‌های بزرگی را به بار آورد و حتی اگر جدی نگیریم ممکن است شاهد رخداد فاجعه‌های ملی در این زمینه باشیم.

او ادامه می‌دهد: «امروزه شاهد این هستیم که فضای سایبری، سرنوشت انتخابات ریاست جمهوری یکی از مهم‌ترین کشورهای جهان را تغییر داده و شائبه دخالت کشور بیگانه‌ای را در این انتخابات مطرح کرده است؛ ربات‌ها در شبکه‌های اجتماعی موجب تقویت محبوبیت یک فرد یا ایجاد هجمه علیه او می‌شوند؛ هک یک پهبادِ گران‌قیمت، آن را به تصرف کشور مقابل درآورده است و یا ورود ویروس به سامانه‌های نیروگاه‌های یک کشور، موجب قطعی چندروزه برق در آن کشور شده است. این‌ها همه مثال‌هایی از بروز خسارت در ارتباط با فضای مجازی و ایجاد اشکال در داده‌ها است.»

سلوکی به اهمیت داده‌های انفورماتیک در کسب‌وکارها و به‌خصوص کسب‌وکارهای سرمایه‌گذاری اشاره می‌کند و می‌گوید: «برای مثال بروز یک مشکل و هک در سیستم‌های یک بانک آلمانی، ابتدا این بانک و سپس به‌صورت دومینویی کل بانک‌های آلمان و در ادامه کل اقتصاد جهان را دچار بحران می‌کند.»

«برای مثال بروز یک مشکل و هک در سیستم‌های یک بانک آلمانی، ابتدا این بانک و سپس به‌صورت دومینویی کل بانک‌های آلمان و در ادامه کل اقتصاد جهان را دچار بحران می‌کند.»

او به اهمیت تراکنش‌های مالی حتی در یک شرکت خصوصی کوچک هم اشاره می‌کند: «این تراکنش‌های مالی و اسناد آنها، ملاک ارتباط مالی یک کسب‌وکار با مشتریان و نهادهای بالاسری مانند اداره مالیات هستند. کسب‌وکارهای کوچک، این اطلاعات را اغلب در یک کامپیوتر نگهداری می‌کند و اگر اتفاقی برای آن کامپیوتر رخ دهد، این کسب‌وکار دچار خسارت‌های فراوان می‌شود. حالا فکر کنید یک کسب‌وکار بزرگ به شکلی این اطلاعات خود را از دست دهد؛ چه فاجعه‌ای رخ خواهد داد؟»

طبق گفته‌های سلوکی، اهمیت روزافزون داده‌های الکترونیکی باعث شده تا شرکت‌های بیمه‌ای کشورهای پیشرفته، از سال‌ها پیش به سراغ طراحی بیمه فضای سایبری بروند. در کشورهای مختلف، دستورالعمل‌هایی برای بیمه فضای سایبری وجود دارد؛ شرکت‌های بیمه، با کمک متخصصان حوزه فاوا، ریسک‌های فضای مجازی را شناسایی و ارزیابی می‌کنند و تعرفه بیمه و نهاد تشخیص‌دهنده میزان خسارت در این کشورها مشخص شده است.

تاریخچه ورود بیمه فضای سایبری در ایران

سلوکی اشاره می‌کند که در سال‌های 89-88 با افزایش حجم فعالیت‌های انفورماتیک یا به مفهومی فعالیت‌های فضای مجازی در کشور، کم‌کم ریسک در مواجه با داده‌های الکترونیکی به وجود آمد. همان زمان، ابراهیم نصیری بنیان‌گذار و مدیرعامل فعلی شرکت ایمن همراه ویستا طرحی را در خصوص بیمه فضای سایبری با سلوکی که معاون فنی و عضو هیات مدیره وقت بیمه توسعه بوده، مطرح می‌کند و این طرح مورد استقبال او که به موضوعات انفورماتیکی علاقه داشته، قرار می‌گیرد. پس از جلسات متعدد با ابراهیم نصیری، 19 مرداد 89، طرح در شورای فنی بیمه توسعه تحت عنوان «بیمه تراکنش‌های الکترونیکی یا بیمه فضای مجازی» به تصویب می‌رسد.

البته سلوکی اشاره می‌کند که منظور از تراکنش‌های الکترونیکی، صرفا تراکنش‌های مالی نبود و می‌گوید: «منظور از تراکنش الکترونیکی، یک مفهوم فراگیر بود و شامل هر جایی که داده الکترونیکی تولید می‌کند، می‌شود. در واقع این بیمه مربوط به کلیه اتفاقاتی است که داده‌های الکترونیکی را تهدید می‌کند. تراکنش‌های بانکی، تراکنش‌های پایگاه‌های داده کشوری مانند ثبت احوال و حتی برای مثال داده‌های یک کسب‌وکار خصوصی کوچک هم جزو این تراکنش‌ها محسوب می‌شود.»

سلوکی اشاره می‌کند که بیمه فضای مجازی به دلایلی به مرحله اجرا در بیمه توسعه نمی‌رسد و همزمان سلوکی هم از بیمه توسعه می‌رود و به‌عنوان قائم‌مقام مدیرعامل در بیمه تازه‌تاسیس آرمان مشغول به فعالیت می‌شود و حجم کارها در این بیمه جدید، منجر به مسکوت ماندن پروژه بیمه فضای مجازی می‌شود. سلوکی این اتفاق را جزو معدود تلاش‌های انجام شده در ایران برای راه‌اندازی سایبراینشورنس می‌داند.

ریسک فضای سایبری خود بیمه‌ها را هم تهدید می‌کند

هرچند بیمه سایبری وارد مرحله اجرایی نشد، اما این به معنای وجود نداشتن ریسک در فضای مجازی نیست. تنها شانسی که داشته‌ایم این است که تا امروز اتفاق بزرگی که همه مردم یا دولت با عواقب نبودن سایبراینشورنس مواجه شوند، رخ نداده است. وضعیت فعلی ما درست مانند رانندگی با خودرویی است که راننده آن چند سالی است بدون داشتن بیمه شخص ثالث رانندگی کرده و تا امروز تصادف سنگینی نداشته و هر چه هم بوده خسارت‌های کوچک بوده و راننده این خودرو هر روز که می‌گذرد بیشتر به خودش می‌گوید «تا امروز که خدا را شکر چیزی نشده!»

سلوکی به یک مثال کوچک اشاره می‌کند که چند سال پیش، داده‌های یکی از شعب مهم یکی از شرکت‌های بیمه‌ای مطرح کشور، پاک می‌شود و با توجه به متمرکز بودن پایگاه داده آن شرکت و نبود نسخه پشتیبان از داده‌ها، این شرکت ناچار می‌شود برای شش ماه تمام، اپراتورها را برای وارد کردن نسخه‌های کاغذی بایگانی به داخل سیستم به‌کار بگیرد و چه سواستفاده‌هایی که در این بازه توسط سودجویان انجام نشد!

ناصر سلوکی می‌گوید: «متاسفانه چنین ریسکی در سازمان‌های اقتصادی و حتی خود بیمه‌ها وجود دارد اما باز هم بیمه سایبری مورد توجه قرار نمی‌گیرد. شرکتی که پوشش‌دهنده ریسک است و از مردم می‌خواهد که ریسکشان را به این شرکت منتقل کنند، خودش از لحاظ بحث‌های فناوری در نقطه ریسک قرار دارد و ریسک فعالیت‌های اصلی خود را نه شناسایی، نه ارزیابی و نه بیمه کرده است.»

فناوری اطلاعات و ارتباطات (فاوا) از عرصه‌های مهم و حیاتی دنیای مدرن کنونی است. در جهان امروزی هر روز به دانش بشری با سرعت باورنکردنی اضافه می‌شود و فرصت مجالی برای بررسی جوانب و تبعات ریسک‌های تجاری و غیر تجاری مرتبط با فاوا فراهم نیست.

سلوکی، این ریسک را شامل حال پایگاه اطلاعاتی ثبت احوال، ثبت اسناد، شرکت‌ها، دانشگاه‌ها، سامانه کارت سوخت و دیگر مراکز بزرگ داده‌های کشور هم می‌داند و ادامه می‌دهد: «برای مثال اگر هکری، داده‌های کارت‌های سوخت را سرقت کند یا تغییرات در آن ایجاد کند، علاوه بر آنکه به اطلاعات شخصی میلیون‌ها نفر دست پیدا می‌کند، می‌تواند با دست‌کاری سامانه، یک فاجعه ملی را به وجود آورد که تقریبا تمام مردم کشور هم با آن درگیر خواهند بود. آیا در سامانه‌های ملی مانند سامانه کارت سوخت یا پایگاه اطلاعاتی سازمان امور مالیاتی، تمهیدات لازم اندیشیده شده است؟ یا مانند آن راننده‌ای هستیم که همچنان دلمان خوش است که «خدا را شکر تا اینجای کار که اتفاقی نیفتاده است»؟ ریسک بزرگی در کشور در این حوزه وجود دارد و دشمنان این سرزمین نیز، هم به وجود این ریسک‌ها آگاه هستند و هم به تکنولوژی مسلط هستند و منتظر فرصت مناسب برای ضربه شدن به این کشور. آیا ما به فکر مدیریت این ریسک‌ها هستیم؟»

اگر هکری، داده‌های کارت‌های سوخت را سرقت کند یا تغییرات در آن ایجاد کند، علاوه بر آنکه به اطلاعات شخصی میلیون‌ها نفر دست پیدا می‌کند، می‌تواند با دست‌کاری سامانه، یک فاجعه ملی را به وجود آورد که تقریبا تمام مردم کشور هم با آن درگیر خواهند بود. آیا در سامانه‌های ملی مانند سامانه کارت سوخت یا پایگاه اطلاعاتی سازمان امور مالیاتی، تمهیدات لازم اندیشیده شده است؟ یا مانند آن راننده‌ای هستیم که همچنان دلمان خوش است که «خدا را شکر تا اینجای کار که اتفاقی نیفتاده است»؟

او اشاره می‌کند که سازمان‌های مختلف مانند سازمان پدافند غیرعامل و وزارت ارتباطات و فناوری اطلاعات، دستورالعمل‌هایی برای امنیت سامانه‌های اطلاعاتی کشور دارند اما سامانه‌ای وجود ندارد که به‌صورت یکپارچه، تمام داده‌های کشور را رصد کند و در مرحله بعد، آن را در اختیار بیمه‌ها برای شناسایی و ارزیابی ریسک قرار بدهد.

سلوکی ادامه می‌دهد: «در گام اول باید دید که شرکت‌ها از داده‌هایشان به فراخور حجم و اهمیت، به‌صورت مداوم ماهانه، هفتگی یا روزانه، نسخه پشتیبانی روی دستگاه‌های مطمئن و سرورهای مختلف، ذخیره می‌کنند یا نه. شرکت‌ها باید بدانند که روی انباری از باروت نشسته‌اند و باید بخشی از درآمد خود را برای مواجهه با این ریسک اختصاص بدهند.»

سلوکی اشاره می‌کند که در بیمه شخص ثالث، یک راننده سال‌ها بدون رخ دادن حادثه‌ای، حق بیمه می‌پردازد چرا که اگر یک‌بار، یک حادثه رخ بدهد، جبران خسارت آن از عهده خودش خارج است. او ادامه می‌دهد: «نگاه به بیمه سایبری هم باید همین‌گونه باشد. در فضای سایبری امکان بروز حوادثی وجود دارد که نه خود سازمان، که حتی سازمانِ بالادستی آن هم امکان جبران خسارت آن را ندارند.»

نیروی انسانی متخصص، چالشی در راه ارائه بیمه سایبری

ارائه بیمه سایبری، به دلیل ناملموس بودنش، با چالش‌هایی همراه است. سلوکی اشاره می‌کند که حتی شرکت‌های بیمه در کشورهای توسعه‌یافته هم در برآورد ریسک و تعیین خسارت برای فضای سایبری دچار چالش هستند اما این دلیل نمی‌شود که کلا این موضوع را نادیده بگیرند؛ اتفاقا وارد میدان می‌شوند و با قدم‌های کوچک‌تر و کسب تجربه، خودشان را برای قدم‌های بزرگتر آماده می‌کنند. او می‌گوید: «برآورد ریسک، نیازمند تحلیل دقیق معماری سیستم‌ها و فرایندهاست. از طرف دیگر، برای بررسی ادعای یک مشتری برای جبران خسارت، باید مشخص شود که در ایجاد این خسارت، شرکت ارائه‌دهنده خدمات به مشتری مقصر بوده یا خود مشتری؟ آیا تقلب یا کم‌کاری از سمت هیچ کدام از طرفین صورت گرفته؟ یا حتی پای یک ضلع سومی مثلا یک هکر در میان است؟ شرکت‌های بیمه برای همه این موارد، نیازمند متخصصانی در حوزه فناوری اطلاعات هستند.»

سلوکی، نیروی انسانی متخصص را اصلی‌ترین چالش در راه ارائه بیمه سایبری در ایران مطرح می‌کند و ادامه می‌دهد: «ورود به بحث‌های تخصصی فناوری اطلاعات از توان شرکت‌های بیمه خارج است. همانطور که این شرکت‌ها برای برآورد خسارت‌های مربوط به خودرو و تعیین تعرفه‌های آن از کارشناسان و متخصصان نیروی انتظامی بهره می‌برند؛ برای ارائه بیمه سایبری، تعیین تعرفه و بررسی ادعای شرکت‌ها و تایید میزان خسارت ادعاشده، به همکاری متخصصان فناوری اطلاعات نیاز است.»

او اشاره می‌کند که برای رفع این چالش به تکنولوژی نیاز است و ادامه می‌دهد: «واقعیت این است که ما تحریم هستیم و بعضا برای کوچک‌ترین کارها در بستر فضای مجازی، نیاز به دور زدن محدودیت‌ها داریم. این تحریم جلوی ورود فناوری‌های اطلاعاتی به کشور را می‌گیرد و این موضوع نیز خود یکی دیگر از چالش‌های پیش روی سایبراینشورنس در ایران است.»

با بی‌توجهی به بیمه سایبری، ممکن است یک فاجعه ملی رخ دهد

سلوکی معتقد است که اگر در سال‌های پیش‌رو، تحولی در ارائه بیمه سایبری در کشور رخ ندهد، با یک یا چندین فاجعه ملی روبه‌رو خواهیم شد. او در شکل‌گیری این تحول خوشبین نیست اما ابراز امیدواری می‌کند که برگزاری کنفرانس‌هایی مانند کنفرانس بیمه سایبری و اطلاع‌رسانی رسانه‌ها، در روشن کردن ضرورت بیمه سایبری برای مدیران ارشد کشور، تاثیرگذار باشد.

او به تحصیلات و سابقه رئیس‌کل بیمه مرکزی و همچنین رئیس‌کل بانک مرکزی در صنعت بیمه اشاره می‌کند و می‌گوید: «در کشور ما، دانش انفورماتیکی بسیار بالاست و جوانان ما توانایی خود را در زمینه‌های مختلف انفورماتیک نشان داده‌اند. اما باید این فعالیت‌های جزیره‌ای و تک‌محصولی را جهت‌دار و هدفمند کرد. دو بال بانک و بیمه اگر علاقه‌مندی‌شان را به این موضوع هدایت کنند و یک تیم مشترک بسازند، می‌توان به پیشرفت در این حوزه امیدوار بود.»

او ابراز امیدواری می‌کند که کنفرانس بیمه سایبری بتواند با حضور مسئولان بیمه مرکزی و بانک مرکزی، به پررنگ‌تر شدن اهمیت بیمه سایبری کمک کند و با برگزاری پیوسته و دنباله‌دار برنامه‌های این‌چنینی، دستورالعمل‌های مربوط به بیمه فضای مجازی صادر و این بیمه به‌صورت شاخه به شاخه برای صنایع گوناگون تدوین شود.

ببینید: اولین کنفرانس بین‌المللی «بیمه ریسک‌های فضای مجازی» با حضور شرکت‌های خارجی فعال در حوزه بیمه برگزار می‌شود

او در پایان اشاره می‌کند که هر چه یک حوزه، با طیف وسیع‌تری از مردم سروکار داشته باشد، وجود بیمه سایبری برای آن حیاتی‌تر است و از این لحاظ، بانک‌ها، سازمان امور مالیاتی، سامانه کارت سوخت در اولویت‌های اول برای تدوین دستورالعمل بیمه سایبری هستند.