برزت المخاطر الإلكترونية أخيرا بوصفها خطرا كبيرا يهدد النظام المالي، وخلصت عملية نمذجة أجراها خبراء الصندوق إلى أن متوسط الخسائر السنوية التي تتكبدها المؤسسات المالية من جراء الهجمات الإلكترونية يمكن أن يصل إلى بضع مئات مليارات الدولارات الأمريكية سنويا، ما يضعف أرباح المصارف، وقد يهدد الاستقرار المالي. ويتبين من الحالات الأخيرة أن الخطر حقيقي. فقد أسفرت الهجمات الناجحة بالفعل عن اختراقات للبيانات تمكن من خلالها اللصوص من الوصول إلى معلومات سرية وممارسة الاحتيال، على غرار سرقة 500 مليون دولار من بورصة العملات المشفرة "كوين تشيك". وهناك أيضا خطر استهداف مؤسسة ما، فتصبح غير قادرة على العمل. ومن غير المستغرب أن المسوح تشير باستمرار إلى أن الهجمات الإلكترونية أكبر مصدر للقلق بالنسبة لمديري المخاطر وغيرهم من المسؤولين التنفيذيين في المؤسسات المالية.
تعرض القطاع المالي
والقطاع المالي معرض بشكل خاص لخطر الهجمات الإلكترونية، حيث تعد مؤسساته هدفا جذابا لهذه الهجمات، نظرا لدورها الحيوي في الوساطة المالية. وأي هجمة إلكترونية ناجحة على مؤسسة ما يمكن أن تنتشر سريعا في كل النظام المالي الذي يتسم بدرجة عالية من الترابط. ولا يزال كثير من المؤسسات يستخدم نظما قديمة، قد لا توفر الحماية المطلوبة من الهجمات الإلكترونية. وإذا نجحت أي هجمة من هذا النوع، يمكن أن تكون العواقب كبيرة ومباشرة من خلال الخسائر المالية، ناهيك عن التكاليف غير المباشرة، كالإضرار بالسمعة.
وهناك حالات بارزة في الآونة الأخيرة، أدت بشكل متزايد إلى وضع المخاطر الإلكترونية على جدول أعمال القطاع الرسمي، بما فيه المنظمات الدولية. غير أن التحليل الكمي للمخاطر الإلكترونية لا يزال في مرحلة مبكرة، ولا سيما بسبب الافتقار إلى بيانات عن تكلفتها، والمصاعب التي ينطوي عليها إنشاء نماذج لها.
وتقدم دراسة أصدرها الصندوق أخيرا إطارا للتفكير في الخسائر المحتملة من الهجمات الإلكترونية، مع التركيز على القطاع المالي.
تقدير الخسائر المحتملة
ويستخدم إطار النمذجة تقنيات مستمدة من العلوم الإكتوارية وقياس المخاطر التشغيلية لتقدير الخسائر الكلية التي تترتب على الهجمات الإلكترونية. ويتطلب هذا تقييما لمعدل تواتر هذه الهجمات على المؤسسات المالية، وفكرة عن توزيع الخسائر المترتبة على مثل هذه الأحداث، ثم يمكن استخدام نماذج المحاكاة الرقمية في تقدير توزيع الخسائر الكلية للهجمات الإلكترونية.
ونوضح إطارنا بمجموعة بيانات تغطي الخسائر التي وقعت أخيرا بسبب الهجمات الإلكترونية في 50 بلدا. وبهذا نقدم مثالا لكيفية تقدير الخسائر التي يحتمل أن تتكبدها المؤسسات المالية، وهي عملية صعبة تزداد صعوبتها بسبب الثغرات الكبيرة في بيانات المخاطر الإلكترونية، أضف إلى ذلك أن النظام المالي - لحسن الحظ - لم يتعرض حتى الآن لهجمة إلكترونية ناجحة واسعة النطاق.
ومن ثم ينبغي النظر إلى نتائجنا باعتبارها توضيحية. وعلى هذا الأساس، نجد أنها تشير إلى متوسط خسائر سنوية محتملة قد يكون كبيرا، حيث يبلغ قرابة 9 في المائة من صافي دخل المصارف عالميا، أو نحو 100 مليار دولار أمريكي. وفي ظل السيناريو الحاد ــ الذي يصل فيه تواتر الهجمات الإلكترونية إلى ضعف ما كان عليه في السابق مع درجة أعلى من العدوى ــ يمكن أن تتجاوز الخسائر هذا المقدار بنحو 2.5 إلى 3.5 ضعف، أو 270 إلى 350 مليار دولار أمريكي. ويمكن استخدام الإطار لبحث سيناريوهات المخاطر الشديدة، التي تنطوي على هجمات ضخمة. ويشير توزيع البيانات، التي قمنا بجمعها، إلى أن متوسط الخسائر المحتملة في مثل هذه السيناريوهات، التي تمثل أسوأ 5 في المائة من الحالات، يمكن أن يصل إلى نصف الدخل الصافي للمصارف، ما يعرض القطاع المالي للخطر.
وهذه الخسائر المقدرة أكبر عدة مرات من الحجم الحالي لسوق التأمين ضد المخاطر الإلكترونية. فعلى الرغم من النمو الذي شهدته هذه السوق في الآونة الأخيرة، نجدها لا تزال سوقا صغيرة، حيث بلغت أقساط التأمين فيها نحو ثلاثة مليارات دولار على مستوى العالم في 2017. ومعظم المؤسسات المالية لا تملك تأمينا ضد المخاطر الإلكترونية أصلا، كما أن التغطية محدودة، وشركات التأمين تواجه تحديات في تقييم المخاطر، نظرا لعدم اليقين بشأن التعرض للمخاطر الإلكترونية ونقص البيانات وآثار العدوى الممكنة.
الطريق القادم
هناك مجال كبير لتحسين تقييمات المخاطر، فقيام الحكومات بجمع بيانات أكثر تفصيلا واتساقا واكتمالا عن تواتر الهجمات الإلكترونية وتأثيرها، يمكن أن يساعد على تقييم المخاطر التي يتعرض لها القطاع المالي. وينتظر أن تتحسن المعرفة بالهجمات الإلكترونية في وجود متطلبات إلزامية للإبلاغ عن الاختراقات، على غرار المتطلبات الجاري بحثها في ظل "اللائحة العامة لحماية البيانات" في الاتحاد الأوروبي. ويمكن استخدام تحليل السيناريوهات للخروج بتقييم شامل لكيفية انتشار الهجمات الإلكترونية، وتصميم الاستجابات الملائمة من جانب المؤسسات الخاصة والحكومات.
وينبغي أيضا بذل جهد أكبر لفهم كيفية تعزيز صلابة المؤسسات المالية والبنى التحتية، سواء لتخفيض فرص الهجمات الإلكترونية الناجحة أو تيسير التعافي السلس والسريع من آثارها. وثمة حاجة أيضا إلى بناء القدرات في القطاع الرسمي في كثير من أنحاء العالم لمراقبة هذه المخاطر وتنظيمها. والخلاصة، هي أنه ينبغي تعزيز الأطر التنظيمية والرقابية لمواجهة المخاطر الإلكترونية، وتركيز الجهود على الممارسات الرقابية الفعالة، والاختبار الواقعي لمدى التعرض لمخاطر الهجمات الإلكترونية والقدرة على التعافي منها، والتخطيط للطوارئ. ويقدم الصندوق المساعدة الفنية اللازمة لمعاونة البلدان الأعضاء على تحسين أطرها التنظيمية والرقابية.