دکتر وحید نوبهار^*، دکتر محسن امیری^**

^*عضو رسمی انجمن بین المللی بیمه گران مهندسی

^**عضو هیات علمی دانشگاه

بانکداری الکترونیک، بانکداری باز (Open Banking) و استفاده گسترده از فناوری‌های نوین مانند هوش مصنوعی و بلاکچین سیمای نظام مالی جهان را دگرگون کرده‌اند. لکن این تحولات با ریسک‌های نوپدید سایبری همراه بوده که می‌توانند به تهدیدی جدی برای ثبات مالی، اعتماد همگانی و امنیت داده‌های مشتریان تبدیل شوند. حملات سایبری به بانک‌ها می‌تواند اشکال گوناگونی از حملات باج‌افزاری و اختلال در سامانه‌های پرداخت گرفته تا سرقت اطلاعات حساس مشتریان و سوءاستفاده از حساب‌های کاربری به خود بگیرد. لذا ابزارهای سنتی مدیریت ریسک کافی به نظر نمی‌رسند و نیاز به توسعه راهکارهای نوین مانند بیمه سایبری(Cyber Insurance) بیش از پیش احساس می‌شود. بیمه سایبری را می‌توان نوعی بیمه مسوولیت و جبران خسارت دانست که با هدف پوشش زیان‌های ناشی از حملات و تهدیدات سایبری طراحی می‌شود. این بیمه نه‌تنها خسارت مستقیم بانک‌ها را پوشش می‌دهد بلکه می‌تواند مسوولیت‌های حقوقی بانک در قبال مشتریان و طرف‌های ثالث را نیز تحت شمول قرار دهد. 

ریسک‌های سایبری در بانکداری طیف گسترده‌ای از تهدیدها را شامل می‌شود که می‌توان آن‌ها را در سه دسته اصلی بررسی کرد. ریسک‌های عملیاتی (Operational Risks) که به‌طور مستقیم بر عملکرد روزانه بانک تأثیر می‌گذارند. این ریسک‌ها ناشی از اختلال در سامانه‌های پرداخت، توقف خدمات بانکداری اینترنتی یا موبایلی و همچنین حملات توزیع‌شده محروم‌سازی از سرویس (DDoS) هستند که می‌توانند موجب از کار افتادن زیرساخت‌های حیاتی و ایجاد وقفه در ارائه خدمات مالی شوند. ریسک‌های داده‌ای (Data Risks) که بطور مستقیم با امنیت اطلاعات مشتریان و تراکنش‌های بانکی مرتبط است. در این حوزه افشای داده‌های شخصی مشتریان، سرقت اطلاعات کارت‌های بانکی و حتی سوءاستفاده از داده‌های هک‌شده برای مقاصدی چون پولشویی از جمله تهدیدهای جدی محسوب می‌شوند. همچنین ریسک‌های اعتباری و شهرتی مطرح است که ابعاد فراتر از فناوری را دربر می‌گیرد. حملات سایبری موفق می‌تواند به کاهش اعتماد همگانی نسبت به بانک‌ها منجر شود، دعاوی حقوقی متعددی از سوی مشتریان متضرر ایجاد کند و حتی باعث اعمال جریمه‌های سنگین از سوی نهادهای نظارتی گردد. این سه دسته ریسک در تعامل با یکدیگر تصویر پیچیده‌ای از چالش‌های امنیت سایبری در نظام بانکی ترسیم می‌کنند و مدیریت آن‌ها نیازمند رویکردی یکپارچه و چندلایه است.

پوشش‌های معمول بیمه سایبری برای شبکه بانکی 

پوشش‌های بیمه سایبری برای بانک‌ها اغلب به‌گونه‌ای طراحی می‌شود که هم زیان‌های مستقیم و هم تبعات غیرمستقیم ناشی از حوادث سایبری را جبران کند. یکی از مهم‌ترین موارد پوشش هزینه‌های بازیابی داده و بازگردانی سیستم‌هاست که در صورت تخریب یا از دست رفتن اطلاعات و اختلال در زیرساخت‌های فناوری اطلاعات، امکان بازگرداندن عملیات بانکی به وضعیت عادی را فراهم می‌کند. همچنین در صورت وقوع نقض داده‌ها و افشای اطلاعات محرمانه مشتریان بیمه سایبری پرداخت خسارت به مشتریان را بر عهده می‌گیرد تا زیان‌های مالی و حقوقی آن‌ها جبران شود. از سوی دیگر هزینه‌های حقوقی و دادرسی که ناشی از دعاوی احتمالی مشتریان یا پیگیری‌های نظارتی است نیز تحت پوشش قرار می‌گیرد و از بانک در برابر فشارهای قضایی و اداری حمایت می‌کند. بعد دیگر جبران هزینه‌های ناشی از اخاذی سایبری (Cyber Extortion) است که شامل پرداخت در برابر تهدیدات باج‌افزاری یا حملات مشابه می‌شود. همچنین بیمه سایبری هزینه‌های اطلاع‌رسانی به مشتریان و فعالیت‌های روابط عمومی را نیز پوشش می‌دهد تا اعتماد همگانی حفظ شود و آسیب به اعتبار و شهرت بانک به حداقل برسد. چنین پوشش‌هایی در مجموع موجب تقویت تاب‌آوری مالی و اعتباری بانک‌ها در برابر تهدیدات پیچیده فضای سایبری می‌شود.

تجارب بین المللی

تجارب بین‌المللی در زمینه بیمه سایبری در بانکداری نشان می‌دهد که کشورها با توجه به سطح بلوغ بازار مالی، شدت تهدیدات سایبری و چارچوب‌های قانونی موجود رویکردهای متفاوتی را در این حوزه اتخاذ کرده‌اند. این صنعت در ایالات متحده رشد چشمگیری داشته و شرکت‌های بیمه‌ای بزرگی همچون AIG، Chubb و Travelers محصولات متنوعی را ویژه شبکه بانکی عرضه کرده‌اند. نقطه قوت این بازار دسترسی به داده‌های گسترده از حملات و حوادث سایبری و همکاری نزدیک میان نهادهای نظارتی، بانک‌ها و بیمه‌گران است. علاوه بر این مقررات سخت‌گیرانه‌ای همچون NYDFS Cybersecurity Regulation بانک‌ها را به تقویت امنیت سایبری و خرید بیمه‌های مرتبط ملزم کرده است. محور اصلی توسعه بیمه سایبری در اتحادیه اروپا به مقررات عمومی حفاظت از داده‌ها (GDPR) بازمی‌گردد. این مقررات بانک‌ها را در قبال هرگونه نقض داده‌های مشتریان مسوول می‌داند و به همین دلیل بخش عمده‌ای از پوشش‌های بیمه‌ای در اروپا شامل هزینه‌های حقوقی، جریمه‌ها و دعاوی ناشی از عدم رعایت الزامات قانونی است. در میان کشورهای اروپایی، آلمان و فرانسه بیشترین رشد بازار بیمه سایبری را تجربه کرده‌اند. سنگاپور به‌عنوان یکی از قطب‌های مالی آسیای جنوب‌شرقی الگویی متمایز ارائه کرده است. این کشور با ایجاد یک چارچوب مشترک میان دولت، بانک مرکزی و شرکت‌های بیمهگر تلاش کرده تعادل میان الزامات نظارتی و نیازهای بانکی برقرار سازد. شبکه بانکی موظف به ارائه گزارش‌های دوره‌ای از وضعیت امنیت سایبری خود هستند و بیمه‌گران نیز بر اساس این ارزیابی‌ها نرخ حق بیمه را مشخص می‌کنند؛ رویکردی که موجب ایجاد شفافیت و کاهش ریسک اخلاقی می‌شود. در سطح منطقه‌ای ترکیه و امارات متحده عربی پیشگامان بیمه سایبری در خاورمیانه محسوب می‌شوند. ترکیه پس از تجربه حملات گسترده به شبکه بانکی به‌سرعت مقررات سخت‌گیرانه‌ای برای امنیت و پوشش بیمه‌ای وضع کرد. در مقابل امارات با راه‌اندازی مرکز امنیت سایبری دبی به دنبال استانداردسازی قراردادهای بیمه سایبری و توسعه بازار آن است. این اقدامات نشان می‌دهد که هرچند بیمه سایبری در منطقه هنوز در مراحل ابتدایی قرار دارد، اما ظرفیت بالایی برای رشد و نهادینه‌سازی در بانکداری آینده دارد. 

ایران، فرصت ها و چالش ها

صنعت بانکداری کشور در دو دهه اخیر شاهد رشد قابل توجهی در حوزه بانکداری الکترونیک بوده اما تجربه حملات سایبری متعدد به سامانه‌های پرداخت و بانک‌ها نشان می‌دهد که تاب‌آوری نظام بانکی در برابر تهدیدات سایبری هنوز محدود و شکننده است. یکی از چالش‌های اصلی فقدان چارچوب قانونی شفاف است؛ در قوانین جاری مسوولیت شبکه بانکی در قبال افشای داده‌های مشتریان به‌صراحت مشخص نشده و این امر موجب ابهام در مدیریت ریسک و پاسخ‌دهی به حوادث می‌شود.چالش‌های اصلی در طراحی بیمه سایبری برای شبکه بانکی کشور شامل عدم تقارن اطلاعات (Information Asymmetry) است، به طوری که بانک‌ها اطلاعات کامل و دقیقی از سطح آسیب‌پذیری خود ارائه نمی‌دهند. ریسک‌های انباشته(Accumulated Risks) نیز مساله‌ مهمی است زیرا یک حمله گسترده می‌تواند چندین بانک را همزمان درگیر کند و خسارت کلان ایجاد نماید. نبود داده‌های تاریخی برای محاسبه دقیق حق بیمه، ابهامات حقوقی در حوزه حریم خصوصی و حفاظت از داده‌ها و ضعف در بیمه اتکایی داخلی و بین‌المللی نیز از دیگر موانع کلیدی هستند. با این حال فرصت‌هایی برای گسترش بیمه سایبری در کشور نیز وجود دارد. توسعه زیرساخت‌های بانکداری برخط بومی، توانمندی علمی در حوزه امنیت سایبری در دانشگاه‌ها و شرکت‌های دانش‌بنیان و تمایل رو به رشد بانک‌ها برای کاهش ریسک‌های عملیاتی و جلب اعتماد همگانی زمینه مناسبی برای طراحی محصولات بیمه‌ای نوآورانه فراهم می‌کند.  

برای مقابله با این چالش‌ها طراحی بیمه سایبری برای شبکه بانکی کشور نیازمند راهکارهای چندلایه است. از منظر چارچوب حقوقی و نظارتی تدوین قوانینی مشابه GDPR با محوریت بانک مرکزی و بیمه مرکزی و الزام بانک‌ها به گزارش‌دهی حملات سایبری به یک نهاد مرکزی ضروری است. در حوزه الگوهای فنی و مالی، طراحی حق بیمه مبتنی بر ریسک (Risk-based Premiums) با استفاده از شاخص‌های امنیتی، ایجاد صندوق مشترک (Risk Pooling) میان چند بانک و بیمه‌گر برای تقسیم ریسک‌های بزرگ و توسعه الگو‌های آماری و شبیه‌سازی برای برآورد خسارت‌های احتمالی توصیه می‌شود. از نظر فناوری و نوآوری استفاده از هوش مصنوعی برای ارزیابی آنی سطح ریسک سایبری بانک‌ها و به‌کارگیری فناوری بلاکچین در فرآیند قرارداد و خسارت می‌تواند شفافیت و دقت را افزایش دهد. همچنین همکاری بین‌المللی و بیمه اتکایی، شامل مذاکره با بیمه‌گران منطقه‌ای و طراحی قراردادهای دو لایه با پوشش اولیه توسط بیمه‌گر داخلی و پوشش مازاد توسط بیمه‌گر خارجی می‌تواند امکان مدیریت ریسک‌های بزرگ را فراهم آورد و تاب‌آوری بانک‌ها در برابر تهدیدات سایبری را تقویت کند. 

طراحی و الگوی قیمت‌گذاری بیمه‌نامه‌های سایبری شبکه بانکی کشور

الگوی قیمت‌گذاری بیمه سایبری برای شبکه بانکی کشور باید هم منعکس‌کننده ریسک‌های واقعی و ویژگی‌های بومی بازار باشد و هم با استانداردها و تجربیات بین‌المللی هماهنگ گردد. در این چارچوب مدل سه‌لایه پیشنهادی به‌صورت تحلیلی به شرح زیر قابل تشریح است:

لایه پایه (Base Premium) : این لایه اساس نرخ بیمه را تعیین می‌کند و اغلب بر معیارهای کمی و ساختاری بانک متمرکز است. مهم‌ترین متغیرها شامل اندازه دارایی‌های بانک، تعداد مشتریان و حجم تراکنش‌های روزانه است. به‌طور نمونه می‌توان نرخ پایه را برابر با ۰٫۰۰۵٪ از کل دارایی‌های تحت مدیریت در نظر گرفت. این رویکرد مشابه الگوهای آمریکا و اروپا است که دارایی‌های تحت مدیریت و حجم تراکنش‌ها را به‌عنوان شاخص اصلی تعیین حق بیمه می‌پذیرند. 

لایه تعدیل ریسک (Risk Adjustment Layer) : این لایه نقش تعدیل‌کننده دارد و شاخص‌های کیفی و فنی بانک را لحاظ می‌کند. بانک‌هایی که استانداردهای بین‌المللی امنیت سایبری مانندISO/IEC 27001 یا چارچوب NIST را پیاده‌سازی کرده‌اند، می‌توانند از تخفیف ۱۰ تا ۲۰ درصدی در نرخ پایه بهره‌مند شوند. در مقابل عدم وجود تیم‌های پاسخ‌گویی به حوادث SOC یاCSIRT ضریب افزایشی حدود ۱۵٪ را به حق بیمه اضافه می‌کند. این رویکرد همخوان با تجربیات سنگاپور و اروپا است که رعایت استانداردهای امنیتی و وجود فرآیندهای پاسخ سریع، اثر مستقیمی بر کاهش نرخ حق بیمه دارند. 

لایه خسارت و بازار (Loss & Market Layer) : این لایه بر اساس داده‌های واقعی حملات سایبری داخلی و منطقه‌ای، سابقه رخدادها و اندازه بانک تنظیم می‌شود. برای بانک‌هایی که در سه سال گذشته دو یا چند رخداد با خسارت مالی مستقیم داشته‌اند، نرخ حق بیمه پایه تا ۳۰٪ افزایش می‌یابد. همچنین بانک‌های کوچک و متوسط به دلیل محدودیت‌های زیرساختی و دشواری تأمین امنیت سایبری اغلب حدود ۱۰٪ نرخ بالاتری نسبت به بانک‌های بزرگ دارند. این لایه همسو با تجربه ایالات متحده و اتحادیه اروپا است که سابقه حوادث و توان مالی بانک در جبران خسارت، اثر مستقیم بر نرخ حق بیمه دارد. در مجموع این الگوی سه‌لایه امکان محاسبه حق بیمه مبتنی بر ریسک واقعی بانک‌ها، تطبیق با استانداردهای بین‌المللی و پاسخگویی به ویژگی‌های خاص بازار کشور را فراهم می‌آورد. الگوی پیشنهادی علاوه بر انعطاف‌پذیری در تعدیل نرخ بر اساس شاخص‌های کیفی و کمی، امکان استفاده از بیمه اتکایی و صندوق‌های مشترک را نیز فراهم می‌کند تا ریسک‌های بزرگ ناشی از حملات سایبری مدیریت و تاب‌آوری نظام بانکی افزایش یابد. 

سخن پایانی

بیمه سایبری در صنعت بانکداری کشور از یک گزینه اختیاری فراتر رفته و به یک ضرورت راهبردی تبدیل شده است. با پیچیده‌تر شدن تهدیدات و افزایش حملات سایبری شبکه بانکی برای حفظ اعتماد همگانی، جلوگیری از خسارت‌های مالی و تضمین تداوم عملیات خود به ابزارهای پیشرفته مدیریت ریسک نیاز دارند. طراحی الگوی بومی بیمه سایبری در کشور مستلزم تمرکز بر سه محور اساسی است. اصلاح چارچوب‌های قانونی و نظارتی به‌گونه‌ای که مسوولیت بانک‌ها در حفاظت از داده‌ها و پاسخ‌دهی به حوادث سایبری به‌روشنی تعریف شود. سپس توسعه الگوهای علمی و مبتنی بر داده برای ارزیابی دقیق ریسک‌ها، تعیین نرخ حق بیمه و پیش‌بینی خسارت‌های احتمالی. و نیز تقویت همکاری میان بانک‌ها، شرکت‌های بیمه گر و نهادهای نظارتی به منظور تبادل اطلاعات، استانداردسازی فرآیندها و ایجاد صندوق‌های مشترک برای مدیریت ریسک‌های بزرگ. با پیاده‌سازی چنین چارچوبی بیمه سایبری می‌تواند نقشی مکمل برای نظام مدیریت ریسک بانکی ایفا کند، تاب‌آوری مالی و عملیاتی بانک‌ها را افزایش دهد و به شبکه بانکی کشور این امکان را بدهد که همگام با استانداردهای بین‌المللی در مواجهه با تهدیدات سایبری عمل کنند. این رویکرد جامع نه تنها امنیت بانک‌ها را ارتقا می‌دهد، بلکه به حفظ اعتبار و اعتماد همگانی در نظام بانکی کشور نیز کمک شایانی خواهد کرد.