هک و تقلب چالش بزرگ بانکها و بیمهها
گروه بانک و بیمه احسان شمشیری
استفاده از خدمات بانکی الکترونیکی و یا انجام کسب و کار در اینترنت حتی برقراری حضور ایمن آنلاین میتواند بسیار پرهزینه باشد اما طبق نظر کارشناسان بیمه، هزینه فقدان پوشش بیمه در برابر حوادث مجازی میتواند حتی گرانتر باشد.
به گزارش «تعادل» عملکرد بانکها و شرکتهای پرداخت الکترونیک در شبکه شتاب و طی سال 95 نشان میدهد در حالی که 21میلیارد و 197 میلیون تراکنش در سامانه شتاب به ثبت رسید، مردم ایران 3800تریلیون تومان پول خود را با اطمینانخاطر در این سامانه جابهجا کردند. اما گاهی اتفاقاتی مانند هک و تقلب در حسابهای بانکی از سوی افراد سودجو باعث ایجاد نگرانیهایی در استفاده از این خدمات بانکی شده است.
بیمه سایبری در دو سال گذشته در ایران مطرح شده است که البته در موثر بودن آن هنوز تردید وجود دارد، بعضی آن را یک ضرورت برای سازمانها میپندارند و عدهیی یک محصول اضافی با قیمت تورمی میبینند. در حال حاضر در ایران پوشش خاصی به صورت جامع در این حوزه ارائه نشده که البته میتوان گفت عمده علت آن نبود اطلاعات و دانش فنی کافی در این زمینه است.
با پیشرفت فناوری و پیدایش کانالهای ارتباطی جدید با مشتری، فرآیند ارائه سرویس در کسب و کارهای گوناگون دچار پیچیدگی و چالشهای تازهیی شده است. بانکها و موسسات مالی نیز با توجه به گستردگی و تنوع مشتریان و سرویسها به شکل روزافزونی با این چالشها روبهرو میشوند.
روزگاری شعب فیزیکی و ارتباط پستی و تلفنی، راههای اصلی ارتباط بانکها با مشتریان بود. دستگاههای خودپرداز برای نخستین بار کانال دیجیتالی و سلف سرویس در مسیر ارتباطی بین مشتری و بانک گشودند. پس از آن با گسترش شبکه اینترنت، کانال دیجیتالی سلف سرویس قدم به دوره شکوفایی و گسترش گذاشت و با همهگیر شدن شبکه موبایل و به خصوص گوشیهای هوشمند، بدل به کانال اصلی مورد انتظار مشتریان برای دریافت خدمات شد.
تقریبا ۱۰سال از زمان رشد حجم میزان تراکنشهای الکترونیکی گذشته است و با وجود اینکه بسیاری از فعالان بانکداری الکترونیکی در این سالها همه از الزام بیمه تراکنشهای الکترونیکی صحبت کردهاند، اما هنوز شرکتهای بیمهیی در این زمینه قدمی برنداشتهاند. از سویی به نظر میرسد، بانکها نیز قدم مؤثری برای ترغیب شرکتهای بیمه به ارائه این خدمت برنداشتهاند.
موضوع بیمه تراکنشهای بانکی موضوع جدیدی نیست، اما باوجود گذشت بیش از یک دهه از مطرح شدن آن هنوز شکل اجرایی به خود نگرفته است. برخی مقصر اصلی را بانکها و برخی دیگر بیمهها را در این زمینه مقصر میدانند.
در دهه ۸۰ بانکهای خصوصی تازه شکل گرفته بودند و بسیاری از بانکهای خصوصی نیز از سال ۸۴ به بعد فعالیت جدی خود را آغاز کردند، از همین رو در آن دوره بانکها بیشتر به دنبال حرکتهای توسعهیی بودند. در اصل بانکها میخواستند تراکنشهای الکترونیکی خود را توسعه دهند. کربانکینگ یا سیستمهای یکپارچه بانکی تازه در حال شکلگیری بود، از سویی بانکها از نظر سودآوری در وضعیت بسیار خوبی قرار داشتند، از همین رو این وجه کار تقریبا کمرنگ شد و مورد توجه بانکها قرار نگرفت.
باید توجه داشت هرگونه مدیریت ریسک که پایه اصلی کار شرکتهای بیمهیی است با یکسری محدودیتها و ادیتهایی همراه است، در حالی که بانکها فقط به دنبال توسعه هستند یا اینکه هنوز چارچوبها برای خود بانکها مشخص نیست تا بتوانند طبق آن چارچوبها عمل کنند و از سویی بیمههای جدید نیز در گذشته هنوز شکل نگرفته بودند و بیمهها اغلب سنتی بودند، پس از مدتی بیمههای جدید مانند بیمههای زندگی شکل گرفتند. در واقع توسعه بیمههای تجاری نیز نشاتگرفته از همان فضا بود. هرچند برخی شرکتهای بیمه جدید برای ارائه این سرویسها سراغ بانکها رفته بودند، اما بیمهگر برای اینکه بتواند تراکنشها را بیمه کند نیازمندیهای اطلاعاتی دارد.
بیمهگران معتقدند برای بیمه کردن چیزی باید ابتدا بتوانیم آن را بسنجیم. ما اطلاعاتی در مورد تراکنشها و زیرساختهای آن نداریم. در واقع بحث اصلی این است که باید اطلاعاتی در اختیار شرکتهای بیمه قرار گیرد؛ مثلا اینکه چقدر و در چه زمینهیی تقلب (fraud) اتفاق افتاده و نسبتش چقدر است تا بتوان ارزیابی درستی کرد. از سویی ارائه این اطلاعات فقط از سوی یک بانک کافی نیست، باید نمونههای مختلفی وجود داشته باشد، اما بانکها علاقهیی به ارائه این اطلاعات نداشتند، از همین رو اطلاعاتی نیز در اختیار بیمهها در این زمینه قرار نمیدادند.
یکی از سوالاتی که بیمهها مطرح میکنند، این است آیا میزان خسارتی را که در این زمینه متحمل شده میتوان برآورد کرد و در شرایطی که فضای بانک توسعهیی است یا این اطلاعات را ندارد و یا دوست ندارد در مورد آن صحبت کند. در حالی که باید این اطلاعات در اختیار بیمهگر باشد در غیر این صورت بیمهگر باید قیمتش را خیلی بالا ببرد و در این صورت اصلا بهصرفه نیست.
در گذشته بانکها عامل عدم بیمه تراکنشها بودند، چرا که بیمهها مخصوصا بیمههای تجاری جدید اگر این علاقهمندی را در بانکها میدیدند به علت اینکه در بیمههای سنتی با شرکتهای قدیمی امکان رقابت نداشتند، سراغ بیمههای جدید میرفتند. از سویی نسبت تراکنشهای الکترونیکی نیز مانند سالهای اخیر نبود و به تبع آن میزان افراد و هکها نیز کمتر بود، از طرفی به دلیل تازه بودن نظام پرداخت ما هکرها سیستمها را نمیشناختند و امکان هک هم نبود.
امروزه نهادهای مالی یکدیگر را خوب نمیشناسند. بیمهییها به صورت سازمانی از نظام بانکی استفاده میکنند اما در بحث کسب و کارهای مشترک به یکدیگر نزدیک نشدهاند.
اپراتورها و بانکها همه به این نتیجه رسیدهاند که باید در این بخش اقدامی انجام دهند، اما به دلیل اینکه شرکتهای بیمه را خوب نمیشناسند با شرکتهای بیمه وارد مذاکره نشدهاند، ضرورت دارد که یاد بگیریم وقتی ریسکی مطرح میشود، بحث مدیریت ریسک را به کس دیگری بسپاریم. مثلا وقتی یک وسیله دیجیتالی مانند گوشی تلفن همراه میخرید به سادگی آن را بیمه میکنید. در اصل بیمهها به مردم سرویسی ارائه دادهاند که پیشتر وجود نداشت.
البته این مدل بیمه از قبل هم بود. بیمهها میتوانستند خودشان یا سراغ مشتریان بانکها بروند یا خود بانکها را در این جهت سوق دهند، اما این هم ناشی از عدم قرابت است. این دو نهاد ارتباط زیادی با یکدیگر ندارند از همین رو موجب شده از ظرفیتهای یکدیگر و به خصوص بیمه استفاده نکنند.
اما این سوال مطرح است که اگر تراکنشهای بانکی بیمه شود، آیا سیستمهای داخل بانکها باید از استانداردی تبعیت کنند و آیا بیمهها باید بر آنها نظارتی برای کنترل ریسک انجام دهند؟
موضوع بحث بیمه فرادهایی است که سامانههای بانکی را شامل میشود، الزاماتی دارد و حتما باید شرکت بیمه با اجازه و دستورالعملهای نهادهای ناظر امکان دسترسی و بررسی سامانههای بانکی به صورت وایتباکس و بلکباکس را داشته باشد، یعنی شرکتهای بیمه خصوصیات امنیتی را مطرح کنند و اگر خصوصیات امنیتی را در نظر نگرفته باشند، نرخ حق بیمه را میتوان تغییر داد، یعنی ممکن است بیمه شود، اما قیمت بر اساس ریسکی که محاسبه میشود، افزایش یا کاهش مییابد.
البته شرکتهای بیمه توانایی ادیت سامانهها را ندارند و باید از شرکتهای ثالث در این زمینه بهره برد که مورد توافق هر دوطرف باشد، چرا که در مورد امنیت بانکها هر شرکت وندوری نمیتواند، وارد شود و امنیت آنها را چک کند. پس شرکتهای ثالثی وارد بازی میشوند و این خودش هم به سیستم بانکی و هم به وندورها کمک میکند، زیرا شخص ثالثی به نمایندگی شرکت بیمه این نقش را ایفا میکند. این شرکتها خود چون درگیر کسبوکار هستند، نمیخواهند جلو کسبوکار را بگیرند. در نهایت نیز استانداردها پدید میآیند.
افزایش کانالهای ارتباطی بین بانک و مشتریان و به خصوص گسترش کانالهای دیجیتالی سلف سرویس از یک سو هزینههای گسترش شبکه ارتباطی بین بانک و مشتری مانند اجاره و تجهیز شعب و استخدام کارکنان شعبه را کاهش داد و از سوی دیگر ظرفیت عرضه خدمات و نوآوریهای روزافزون به مشتریان را فراهم کرد. ولی در عین حال گسترش این کانالها باعث افزایش پیچیدگی فرآیندها و خدمات بانکی نیز شده است. این پیچیدگی و تنوع هم انتخاب کانال مناسب برای دریافت خدمت توسط مشتری را دشوار میکند و هم کارکنانی که در معرض تماس مستقیم با مشتریان هستند مانند کارکنان شعبه و مرکز تماس دشواری بیشتری در معرفی و پیشنهاد کانال مناسب برای دریافت هر خدمت به مشتری دارند.
در حال حاضر تعداد معدودی از بیمهگران بینالمللی مانند اکسل کاتلین، چاب و میتسو سومیتومو اینشورنس این نوع بیمه را ارائه میدهند. اما دیگر شرکتهای بیمه به دنبال پوشش سرقت برای شرکتهایی هستند که واحدهای پولی دیجیتالی مانند بیتکوین و اثریوم که بین طرفهای ناشناخته معامله میشود را مدیریت میکنند.
در حالی که این محصولات توجه کمتری را به خود جذب کردهاند، ظهور این محصولات بیمهیی که به دنیای پول رمزگذاری شده پیوند خورده است، گامی مهم در سطوح بالا برای صنعت محسوب میشود.
روش پوششهای بیمهای
عمده پوششهای بیمهیی در فضای سایبری را میتوان در بخش خسارات مالی، سرقت اطلاعات صنعتی و فردی دانست که به 3 دسته پوشش بیمهیی شخص ثالث مانند اخاذی در فضای سایبری و کلاهبرداری در زمان انتقال پول الکترونیکی، پوشش بیمه مسوولیت شخص ثالث مانند ویروسی شدن سیستمها و دزدیده شدن کارتهای اعتباری و تجاری و در نهایت بیمه استثنائات مانند کلاهبرداری از سوی شرکت ارائه دهنده خدمات الکترونیک تقسیم میشوند.
شرکتهای پوشش بیمهیی سایبری معمولا برای دریافت اطلاعات طی مراحلی مانند تعیین نوع پوشش درخواستی، دریافت اطلاعات کامل سیستمهای نرمافزاری و سختافزاری و میزان آمادگی کاربران و پشتیبانان، مراحل زمانبندی پوشش بیمهیی، تعیین حق بیمه به صورت توافقی و در نهایت نگارش متن حقوقی و امضای طرفین اقدام میکنند.
شرکتهای بیمه به عنوان بازیگران اصلی صنعت برای تولید محصولات بیمهیی و ارائه خدمات به بیمهگذاران خود همواره و در کل زنجیره ارزش خود در حال جمعآوری، دستهبندی و پردازش دادههای عملیاتی و مرتبط هستند. ارزشهای ایجاد شده توسط صنعت بیمه، به واسطه تحلیل دادهها و استخراج اطلاعات شکل گرفته و بیمهگران همواره تصمیمگیریهای خود را بر مبنای نتایج حاصل شده اتخاذ میکنند. بهطوری که کیفیت عملکرد و مزیت رقابتی شرکتهای بیمه ارتباط مستقیم با توانمندی آنها در حوزه مدیریت فناوری اطلاعات دارد. از این رو فناوری اطلاعات و مدیریت مناسب آن نقش راهبردی در ایجاد و ارائه خدمات بیمهیی دارد. از این رو صنعت بیمه در اصل بر پایه علم و دانش مرتبط با دادهها، آمار، اطلاعات و علوم و فناوریهای مرتبط با آن بنا شده است و بنابراین ارتباط با فناوری اطلاعات برای آن بسیار سهل است اما محافظهکاری صنعت بیمه، آن را در این مقوله بسیار عقب نگه داشته است.
امروزه بیش از 10 رویکرد در دنیا برای صنعت بیمه وجود دارد که حداقل 5 مورد را میتوان در ایران توسعه داد؛ اما شرط و الزام ورود ایدههای مبتنی بر وب و همچنین تولید ارزش افزوده برای بیمهگذاران، ایجاد زیرساخت فناوری اطلاعات در صنعت بیمه است.