إجمالي مرات مشاهدة الصفحة

2017/06/06

Insuring Cyber Risks


التأمين على الأخطار السِيبرانية

 

 

مصباح كمال

 

 

من باب التقديم: القرصنة الإلكترونية في العراق؟

 

كنت قد أرسلت قبل فترة بعض الأوراق الخاصة بتأمين الأخطار الإلكترونية (السيبرانية) إلى أحد زملائي من ممارسي التأمين في بغداد للتعريف بهذه الأخطار والتنبيه إلى قيام شركات التأمين العراقية الاهتمام بها والتمهيد لتغطيتها.  وكان رأي زميلي أن مثل هذه الأخطار قليلة أو معدومة في العراق لكنني اختلفت معه بهذا الشأن، فأرسلت له خبراً نشرته شفق نيوز بتاريخ 30 أيار 2017 تحت عنوان "قراصنة يخترقون الامن الوطني ويتركون رسالة بعنوان "الاستهتار""[1] للتأكيد على وجود أشكال من الأخطار السيبرانية في العراق.

 

وقد نقلتُ له رأياً يقول إنه حتى لو كان الكمبيوتر المحمول أو الهاتف النقّال غير متصل بالإنترنت، وهما في الغالب يحملان معلومات شخصية وحساسة، فإن احتمال ضياعه أو سرقته يظلُّ قائماً، وبالتالي خسارة المعلومات أو التلاعب بها من قبل من سرقها.  إن أي جهاز إلكتروني - سواء كان ذلك جهاز كمبيوتر، خادم إلكتروني، نظام تحكم، نظام أمن إلكتروني، أو هاتف نقّال - إذا كان مثل هذا الجهاز متصلاً بالإنترنت أو بشبكة من أجهزة الكومبيوتر والبرمجيات، فإن التجربة تدلّ على إمكانية الوصول إليه من الخارج، أي من غير صاحبه، أو اختراقه.  والمعروف أن جميع الشركات، وكذلك الحكومات، تقريباً لديها معلومات حسّاسة أو تستخدم أدوات تتصل من خلالها بشبكة داخلية أو خارجية أو الإنترنت.  مع أخذ هذا الواقع بعين الاعتبار، فإن جميع الشركات هي تحت رحمة المعلومات والتكنولوجيا التي يستخدمونها.  إزاء هذا الوضع فإن وظيفة التأمين السيبراني cyber insurance هي حماية الأعمال التجارية والحكومية وغيرها، عند فقدان المعلومات أو سرقتها أو تلفها أو تعرّضها للقرصنة والابتزاز بالتعويض المالي عنها.

 

بعد قليل من النقاش اقتنع صاحبي بصحة رأي.

 

وها نحن نقرأ المزيد عن القرصنة الإلكترونية في العراق، فقد نشرت السومرية نيوز/بغداد الخبر التالي:

 

"تعرض موقعان إلكترونيان رسميان لوزارة الشباب والرياضة ووزارة البلديات، الجمعة، لاختراق أدى الى توقفه وظهور عبارات كتبها المخترق.  ... وتوعد "الهاكر" بتنفيذ عمليات اختراق لمواقع رسمية أخرى، حيث كتب على موقع إحدى الوزارتين عبارة "سوف تكون هذه البداية".

 

وكان الموقع الإلكتروني الرسمي لجهاز الأمن الوطني العراقي قد تعرض، الثلاثاء الماضي، لاختراق أدى الى توقفه وظهور عبارات كتبها المخترق انتقد فيها "المحاصصة والفساد" و"التعيينات التي لا تمت بصلة للجهاز."

 

وأعلن جهاز الامن الوطني، أمس الخميس، عن اعتقال الشخص الذي اخترق موقعه الالكتروني بعد اقل من 24 ساعة من قيامه بعملية الاختراق."[2]

 

مثل هذه العمليات تبدو الآن غير خطيرة، بسبب طبيعتها غير المالية وغير الابتزازية، لكنها تنبئ بوجود قدرات كامنة يمكن أن يستغلها ذوي النوايا الإجرامية للابتزاز المالي للشركات والدوائر الرسمية وغيرها.  وأرى لذلك أن تقوم جمعية التأمين العراقية برصد مثل هذه العمليات لتكوين قاعدة بيانات أولية عن عددها وطبيعتها وآثارها المادية وغير المادية (التأثير على الإنتاج، وعلى تقديم الخدمات، والانتقاص من السمعة وغيرها)، والاستفادة من تجارب أسواق التأمين الأخرى، والإعداد لتأمين الأخطار السيبرانية.

 

تعرض هذه الورقة موقف التأمين من بعض جوانب الأخطار السيبرانية والتعريف بها، وقد كتبت معظمها قبل شهرين أو أكثر.

 

الوثيقة التقليدية لتأمين الأجهزة والمعدات الكهربائية والإلكترونية

 

لو تفحَّصنا أي كتاب منهجي في التأمين صدر قبل بضع سنوات لما عثرنا فيه على ذكر للأخطار الإلكترونية (الأخطار السيبرانية) والتأمين من آثارها.

 

لكن التأمين على المعدات الإلكترونية كان معروفاً وتميل الشركات الغربية إلى شرائه، وكانت النماذج التقليدية لوثيقة التأمين تغطى الخسائر والأضرار المادية العرضية والمفاجئة التي تلحق بالأجهزة والمعدات الإلكترونية أو الكهربائية كالحاسبات الآلية وأجهزة معالجة البيانات الإلكترونية والأجهزة الطبية ومعدات الاتصالات والمعدات الملاحية والميكروفيلم ووسائل حفظ وتخزين المعلومات للبيانات الرقمية والمعلومات المُخزَّنة، شاملةً تكلفة إعادة المعالجة واستعادة المعلومات المفقودة وإعادة تخزين أو نقل المعلومات التي كانت موجودة على وسائل الحفظ والتخزين والتي تُفقد من جراء الحادث والناتجة عن الحريق والانفجار والقصور في الدورة الكهربائية.

 

وكانت الوثيقة التقليدية تُوسع لتشمل، إضافة للبيانات الرقمية المخزَّنة، زيادة تكلفة التشغيل، أي النفقات الإضافية المترتبة على تكلفة استئجار أو استخدام أجهزة إلكترونية بديلة لمعالجة البيانات، ورسوم النقل للموظفين خارج الموقع المعتاد للعمل بسبب حادث، بالإضافة إلى نفقات الإقامة بعيداً عن قاعدتهم، والعمل الليلي أو العمل في أيام العطل.

 

نشوء الأخطار الجديدة والاستجابة التأمينية لها

 

ومع التقدم التكنولوجي الهائل والسريع ظهرت أخطار جديدة تكاد أن تكون غير منظورة تخلق في مجموعها بيئة تتصف بغياب الأمان.  على سبيل المثل، الانتهاكات breaches التي تحصل بسبب المخاطر السيبرانية ومنها إهمال الموظفين وضعف تقنية السيطرة على المعلومات، اختراقات القراصنة (hackers هاكرز) للمنظومة الإلكترونية، البرمجيات الخبيثة malware، أجهزة الكمبيوتر المسروقة أو المفقودة لمستخدمي الشركة، ورسائل البريد الإلكتروني المرسلة بالخطأ.  ويمكن إضافة التالي:

 

1- سرقة المعلومات الشخصية للأفراد، والمعلومات السرّية للشركات، كأرقام بطاقات الدفع الإلكتروني، وأرقام حسابات العملاء في البنوك وفي الشركات وغيرها.

 

2- انتهاك حرمة الحياة الخاصة، أو ارتكاب جرائم السبّ والقذف والسرقة والنصب، أو الاعتداء على حقوق الملكية الفكرية، أو استخدام المعلومات المسروقة لأغراض المنافسة غير المشروعة، أو تقليد العلامات والأسماء التجارية.

 

3- الاستيلاء على المواقع الالكترونية بالكامل مما يؤدى إلى تعطيل العمل أو تباطئه، واقتران ذلك بالابتزاز (طلب الفدية) من الشركات صاحبة هذه المواقع.  وهذه تعرف باسم القرصنة للحصول على الفدية ransomware attacks حيث يلجأ القراصنة إلى تشفير البيانات بحيث لا يمكن الوصول إليها إلا بعد تسديد فدية.

 

هناك نمط آخر من الأخطار المرتبطة بانتشار ما يعرف بأجهزة إنترنت الأشياء the internet of things والخدمات المرتبطة بها التي يمكن أن تتعرض لتحكم القراصنة في أنظمة القيادة ذاتية التحكم في السيارات والأجهزة الطبية والمصانع وغيرها، وهذه النظم تزداد انتشاراً.

 

يمكن التغلب على هذه الانتهاكات أو التقليل من آثارها باعتماد وسائل معينة كتشفير البيانات أو التغيير المستمر للأرقام السرية أو اسم الدخول للموقع.

 

إلا أن اتباع وتطبيق وسائل إدارة الخطر ربما لن تكون كافية وفعّالة في القضاء نهائياً على هذه الانتهاكات وما يترتب عليها من آثار.  هناك إذاً فجوة في الحماية الأمر الذي استدعى اللجوء إلى الحماية التأمينية ضد هذه المخاطر.

 

وقد اتخذت الحماية شكل إضافة ملحق لتوسيع غطاء وثائق التأمين التقليدية أو الاكتتاب بوثائق تأمين متخصصة بالأخطار الإلكترونية: وثيقة التأمين ضد أخطار القرصنة الإلكترونية للتعويض عن آثار التسلل إلى انظمة الكمبيوتر بهدف استنساخها أو تخريبها.  فالتسلل يؤدي إلى أضرار مادية بالغة للشركة المغطاة بالتأمين، مع قيام فرصة للقراصنة لاستخدام النظام الالكتروني للشركة لإلحاق الاذى بالغير مما يُرتب مسؤولية مدنية للشركة تجاه الغير.  الغطاء التأميني الشائع يحمي المؤمن له من مخاطر القرصنة بكل أنواعها بما فيها الفيروسات أو سرقة المعلومات أو تدمير قاعدة البيانات لأغراض إجرامية أو تخريبية.  وتحاول شركات التأمين الاستجابة لتحدي أكبر وهو سرقة حقوق الملكية الفكرية والابتكارات، وسرقة المخترعات قيد الإنجاز.  وهذا ما يُذكّر بالتجسس الصناعي التقليدي.

 

تحديات

 

وتواجه شركات التأمين تحدياً لما يُعرف بالمخاطر السيبرانية "الصامتة" “silent” cyber risk، أو الالتزامات التأمينية التي يمكن أن تنشأ عن وثائق تأمين (للممتلكات أو المسؤولية المهنية أو المسؤولية المدنية وغيرها) تنطوي على تغطيات واسعة صُممت لغرض مختلفٍ تماماً لا علاقة لها أصلاً بمثل هذه المخاطر.  ولذلك يتعيّن على شركات التأمين التعرّف على وتقييم مثل هذه المسؤوليات الدفينة.

 

من التحديات الأخرى المرتبطة بتطور التأمين على المخاطر السيبرانية هو غياب نموذج قياسي لوثيقة التأمين يمكن أن تكون بمثابة الوثيقة المرجعية الأساسية ومن ثم تخضع للتعديل والتوسيع في نطاق التغطية التي توفرها.  إن غياب مثل هذا النموذج يحمل معه أفخاخاً للمؤمن له المرتقب فهو لا يعرف إن كان قسط التأمين الذي يدفعه عادلاً أو أن غطاء التأمين كافياً أو أن لغة وثيقة التأمين ذات طابع يقيني لما هو مشمول أو مستثنى من غطاء التأمين.

 

وهناك التطور والتعقيد المستمر في وسائل القرصنة.

 

الحاجة للغطاء التأميني[3]

 

إن الشركات التجارية والصناعية وغيرها، وبغض النظر عن حجمها، صارت تعتمد على بنية تحتية تتمثل بتكنولوجيا المعلومات information technology وبدرجات متفاوتة بين تنظيم وآخر.  إزاء هذا الوضع فإنها قد تتعرض لمخاطر عديدة من بينها توقف الأعمال، وخسارة الدخل، وإدارة الضرر وما يتطلبه من إصلاح، وربما التعرّض أيضاً إلى تضرر سمعتها reputational damage في حالة فشل أو توقف معدات أو أنظمة تكنولوجيا المعلومات لأسباب فنية أو أسباب خارجية.

 

وفي حين أن وثائق التأمين على الممتلكات، أو توقف الأعمال أو المسؤولية المهنية قد توفر تغطية محدودة ضد المخاطر السيبرانية، فإن الشركات بدأت وعلى نحو متزايد تُقْدِمُ على شراء وثائق التأمين السيبراني المتخصصة لاستكمال ترتيبات التأمين القائمة، وخاصة في الحالات التالية على سبيل المثل:

 

§       إذا كانت الشركة تحتفظ بمعلومات حسّاسة خاصة بالعملاء: الأسماء والعناوين أو المعلومات المصرفية الخاصة بهم.

§       تعتمد بشكل كبير على أنظمة تكنولوجيا المعلومات ومواقع في الإنترنت لتسيير أعمالها.

§       تتعامل مع معلومات بطاقة الدفع الإلكتروني للعملاء كجزء من نظام البيع أو تقديم الخدمة.

 

الغطاء الأساسي لوثيقة تأمين المخاطر السيبرانية

 

يغطي التأمين السيبراني الخسائر المتعلقة بتضرر أو فقدان المعلومات من أنظمة وشبكات تكنولوجيا المعلومات.  وتشمل أيضاً تقديم مساعدة للمؤمن له وإدارة آثار الحادث المُسبب للضرر أو الفقدان، وهذه المساعدة، التي يمكن أن تُقدم من خلال فنيين محترفين، تكون ضرورية عندما يواجه المؤمن له خطر تضرر السمعة أو الامتثال للوائح التنظيمية الرقابية.

 

وتندرج المخاطر السيبرانية عموماً في فئتين: مخاطر الطرف الأول (المؤمن له) ومخاطر الطرف الثالث (المسؤولية المدنية).  وهناك وثائق لتأمين أي من هاتين الفئتين أو كليهما معاً.

 

يغطي تأمين الطرف الأول موجودات الشركة، وقد تشمل:

 

§       خسارة أو تضرر الموجودات الرقمية ومنها البيانات الرقمية والبرمجيات.

 

§       توقف الأعمال بسبب تعّطل الشبكة network downtime.

§       الابتزاز السِيبراني عندما يقوم طرف ثالث بتهديد المؤمن له بإتلاف أو إشهار البيانات الرقمية في حالة عدم دفع فدية.

 

§       تكاليف إخطار العملاء عندما يكون هناك شرط قانوني أو تنظيمي لإخطارهم بانتهاك الأمان أو الخصوصية.

 

§       تضرر السمعة الناشئة من انتهاك البيانات التي تؤدي إلى خسارة الملكية الفكرية أو خسارة العملاء.

 

§       سرقة النقود أو الموجودات الرقمية من خلال سرقة المعدات أو السرقة الإلكترونية.

 

يغطي تأمين الطرف الثالث موجودات الغير وعلى وجه التحديد موجودات العملاء، وقد تشمل الآتي:

 

§       انتهاكات الأمان والخصوصية، والتحقيق/التحرّي، وتكاليف الدفاع والتعويض عن الأضرار المدنية المرتبطة بها.

 

§       مسؤولية وسائط الإعلام المتعددة، لتغطية تكاليف التحقيق والدفاع وتعويض الأضرار المدنية الناشئة عن التشهير أو انتهاك الخصوصية أو الإهمال في النشر في وسائل الإعلام الإلكترونية أو المطبوعة.

 

§       فقدان بيانات الطرف الثالث، بما في ذلك دفع تعويضات للعملاء بسبب حرمانهم من الوصول إلى أماكن عملهم، وفشل البرمجيات أو الأنظمة الإلكترونية التابعة لهم.

 

توسّع متوقع في الطلب على الحماية التأمينية

 

من المتوقع أن ينتشر التأمين على المسؤولية المدنية المترتبة على أعمال القرصنة الإلكترونية في الغرب خاصة بعد أن تمكَّن قراصنة من التسلل الى الانظمة الإلكترونية للوزارات والمؤسسات وحتى المستشفيات في دول عديدة من بينها بعض الولايات الأميركية وإسرائيل وإيران وبريطانيا حيث استولى القراصنة على برامج الانتاج والخدمات وغيرها من المعلومات السرية، وقاموا في بعض الحالات بتخريب الانظمة الالكترونية وتعطيل الإنتاج أو تقديم الخدمات.

 

ويظل موضوع التأمين على أجهزة إنترنيت الأشياء تحدياً لشركات التأمين في بحث كيفية توفير الحماية التأمينية اللازمة، وتحديد سعر مناسب لها، ووضع شروط معقولة.  وتكمن الصعوبة الأساس في غياب البيانات التاريخية وإحصاءات الخسائر حول أخطار الهجمات الإلكترونية غير التقليدية على هذه الأجهزة وقلّة المعرفة المتوفرة حول الخسائر الاقتصادية والإصابات الشخصية التي قد تنجم عنها.

 

مثل هذا النوع من التأمين قد يلقى رواجاً في العالم العربي الذي يفتقر الى أنظمة متطورة تحمي الشركات والمؤسسات التجارية والحكومية ضد اختراق القراصنة لبرامجها الالكترونية، خاصة وأن الاتجاه العام هو السير في الاعتماد أكثر فأكثر على المعطيات الالكترونية بواسطة الهواتف النقالة أو الألواح والحواسيب والإنترنت من قبل الأفراد والشركات والدفع المستمر نحو ما صار يُعرف بالحكومة الإلكترونية.

 

الأخطار الإلكترونية تُصنّف على أنها من الأخطار الناشئة التي تُعقد من أجلها اللقاءات والندوات في الغرب وفي بعض البلدان العربية.  وتُقدر التكلفة الإجمالية للأخطار الإلكترونية بحوالي ثمانية مليار دولار (2015) وهي في ازدياد.  ويرد في البال هنا جريمة سرقة هويات ومعلومات بطاقات ائتمانية لعملاء شركة "سوني"، وهو ما كبَّدها خسائر معنوية وماديه كبيرة، بعضها صار موضوعاً للتقاضي أمام المحاكم من قبل عملاء سوني بسبب هذه الحادثة.

 

إن الطلب على تأمين الأخطار الإلكترونية يأتي في الوقت الحاضر من البنوك والمؤسسات المالية لأنها مُؤتمنة على الحسابات الشخصية للعملاء وتخشى من فقدان البيانات الخاصة بهم من هجمات القراصنة.  والملاحظ أن هذا الطلب يرد ضمن وثائق التأمين من الجرائم المصرفية.

 

ملاحظة حول الوضع في أسواق التأمين العربية

 

هذا النوع من التأمين ليس منتشراً في العالم العربي إلا بحدود معينة في بعض البلدان ومنها دولة الإمارات العربية المتحدة.  ولا يجد له طلباً في سوق التأمين العراقي.

 

وتجابه شركات التأمين العربية صعوبة بتغطية كل المخاطر المالية التي تترتب على مخاطر الاختراق الالكتروني، لأن هذه المخاطر غير محددة النتائج، فيما يتعلق بالتبعات المالية التي تترتب على فقد البيانات أو استغلالها من قبل القراصنة، وليس هناك خبرة تعويضية كافية عنها.  ولذلك فإن التأمين لا يغطي في الوقت الحاضر خسارة الملكية الفكرية والإصابات الشخصية التي تنتج عن تحكم القراصنة في نظام التحكّم الذاتي في سيّارة إلكترونية.  في حين أن جميع وثائق التأمين المتاحة حالياً تغطي تكاليف خسارة المستهلكين لمعلوماتهم الشخصية بسبب القرصنة.

 

ولأجل بناء الخبرة يمكن البدء بعرض تأمين يغطي كلفة إعادة تشغيل الموقع الإلكتروني، وتكاليف استرداد البيانات التي قد تترتب على إساءة استخدام هذه البيانات من قبل المخترق، أو ما يترتب من تعويضات على المطالبات القانونية المرفوعة من المتضررين ضد صاحب الموقع نتيجة حصول الاختراق.

 

ويتعيّن على قطاع التأمين القيام بحملات توعية لتعريف الشركات الخاصة والعامة والمؤسسات الحكومية بأهمية التأمين من الجرائم الإلكترونية.  وما يساعدها بهذا الشأن هو الأخبار حول تصاعد عدد الجرائم الإلكترونية في أنحاء مختلفة من العالم.

 

على شركات التأمين أن لا تقصر عملها التوّعوي على المصارف والشركات النفطية والغازية وشركات الطيران بل التوجه إلى الشركات الصغيرة والمتوسطة الحجم أيضاً، فجميعها تعتمد، وبدرجات متفاوتة، على بنية تحتية من تكنولوجيا المعلومات، مختلفة في تعقيدها.

 

تنظيم الرقابة على حوادث الاختراق وتسريب المعلومات

 

واحدة من القضايا التي تستوجب الاهتمام من الأجهزة الرقابية، كما هو الحال في قوانين بعض الدول ومنها الولايات الأمريكية، الكشف عن جميع حوادث الاختراق وتسريب البيانات.  إن تقديم مثل هذه المعلومات ستساعد الشركات، ومنها شركات التأمين، على التعرّف على مدى تكرر الحوادث وتكلفة إصلاحها، مثلما تساعد أجهزة الدولة المعنية بالكشف عن مقترفي الجرائم السيبرانية.

 

إن الحماية التأمينية لن توقف أو تنهي هذه الجرائم لكنها تساهم في الكشف عن مكامن الخلل في إدارة الأخطار السيبرانية التي تتعرض لها الشركات ومختلف المؤسسات العامة والخاصة، وسبل التحوط منها أو من بعضها، وبالطبع التعويض عن الخسائر المترتبة على هذه الأخطار.  آمل أن تحفز هذه الورقة ممارسي التأمين في العراق على التفكير في موضوع الأخطار السيبرانية واستباق الحلول التأمينية لها.

 

4 حزيران 2017

ليست هناك تعليقات: