تقدير المخاطر الإلكترونية على القطاع المالي

22 يونيو 2018

متوسط الخسائر السنوية التي تتكبدها المؤسسات المالية من جراء الهجمات الإلكترونية يمكن أن يصل إلى بضعة مئات مليارات الدولارات الأمريكية سنويا. (الصورة: EtiAmmos/iStock by Getty Images)

برزت المخاطر الإلكترونية مؤخرا بوصفها خطرا كبيرا يهدد النظام المالي. وخلصت عملية نمذجة أجراها خبراء الصندوق إلى أن متوسط الخسائر السنوية التي تتكبدها المؤسسات المالية من جراء الهجمات الإلكترونية يمكن أن يصل إلى بضعة مئات مليارات الدولارات الأمريكية سنويا، مما يضعف أرباح البنوك وقد يهدد الاستقرار المالي.

ويتبين من الحالات الأخيرة أن الخطر حقيقي. فقد أسفرت الهجمات الناجحة بالفعل عن اختراقات للبيانات تَمَكّن من خلالها اللصوص من الوصول إلى معلومات سرية وممارسة الاحتيال، على غرار سرقة 500 مليون دولار من بورصة العملات المشفرة "كوين تشيك". وهناك أيضا خطر استهداف مؤسسة ما فتصبح غير قادرة على العمل.

ومن غير المستغرب أن المسوح تشير باستمرار إلى أن الهجمات الإلكترونية هي أكبر مصدر للقلق بالنسبة لمديري المخاطر وغيرهم من المسؤولين التنفيذيين في المؤسسات المالية، كما يظهر في الرسم البياني أدناه.


تعرُّض القطاع المالي

والقطاع المالي معرض بشكل خاص لخطر الهجمات الإلكترونية، حيث تعتبر مؤسساته هدفا جذابا لهذه الهجمات نظرا لدورها الحيوي في الوساطة المالية. وأي هجمة إلكترونية ناجحة على مؤسسة ما يمكن أن تنتشر سريعا في كل النظام المالي الذي يتسم بدرجة عالية من الترابط. ولا يزال كثير من المؤسسات يستخدم نظما قديمة قد لا توفر الحماية المطلوبة من الهجمات الإلكترونية. وإذا نجحت أي هجمة من هذا النوع، يمكن أن تكون العواقب كبيرة ومباشرة من خلال الخسائر المالية، ناهيك عن التكاليف غير المباشرة كالإضرار بالسمعة.  

وهناك حالات بارزة في الآونة الأخيرة أدت بشكل متزايد إلى وضع المخاطر الإلكترونية على جدول أعمال القطاع الرسمي – بما فيه المنظمات الدولية. غير أن التحليل الكمي للمخاطر الإلكترونية لا يزال في مرحلة مبكرة، ولا سيما بسبب الافتقار إلى بيانات عن تكلفتها، والمصاعب التي ينطوي عليها إنشاء نماذج لها.

وتقدم دراسة أصدرها الصندوق مؤخرا إطارا للتفكير في الخسائر المحتملة من الهجمات الإلكترونية، مع التركيز على القطاع المالي.

تقدير الخسائر المحتملة

ويستخدم إطار النمذجة تقنيات مستمدة من العلوم الاكتوارية وقياس المخاطر التشغيلية لتقدير الخسائر الكلية التي تترتب على الهجمات الإلكترونية. ويتطلب هذا تقييما لمعدل تواتر هذه الهجمات على المؤسسات المالية وفكرة عن توزيع الخسائر المترتبة على مثل هذه الأحداث. ثم يمكن استخدام نماذج المحاكاة الرقمية في تقدير توزيع الخسائر الكلية للهجمات الإلكترونية.

ونوضح إطارنا باستخدام مجموعة بيانات تغطي الخسائر التي وقعت مؤخرا بسبب الهجمات الإلكترونية في 50 بلدا. وبهذا نقدم مثالا لكيفية تقدير الخسائر التي يحتمل أن تتكبدها المؤسسات المالية، وهي عملية صعبة تزداد صعوبتها بسبب الثغرات الكبيرة في بيانات المخاطر الإلكترونية. أضف إلى ذلك أن النظام المالي، لحسن الحظ، لم يتعرض حتى الآن لهجمة إلكترونية ناجحة واسعة النطاق.

ومن ثم ينبغي النظر إلى نتائجنا باعتبارها توضيحية. وعلى هذا الأساس، نجد أنها تشير إلى متوسط خسائر سنوية محتملة قد يكون كبيرا، حيث يبلغ قرابة 9% من صافي دخل البنوك عالميا، أو حوالي 100 مليار دولار أمريكي. وفي ظل السيناريو الحاد – الذي يصل فيه تواتر الهجمات الإلكترونية إلى ضِعف ما كان عليه في السابق مع درجة أعلى من العدوى – يمكن أن تتجاوز الخسائر هذا المقدار بنحو 2.5-3.5 ضِعفا، أو 270 إلى 350 مليار دولار أمريكي.  

ويمكن استخدام الإطار لبحث سيناريوهات المخاطر الشديدة التي تنطوي على هجمات ضخمة. ويشير توزيع البيانات التي قمنا بجمعها إلى أن متوسط الخسائر المحتملة في مثل هذه السيناريوهات التي تمثل أسوأ 5% من الحالات يمكن أن يصل إلى نصف الدخل الصافي للبنوك، مما يعرض القطاع المالي للخطر.


 وهذه الخسائر المقدرة أكبر عدة مرات من الحجم الحالي لسوق التأمين ضد المخاطر الإلكترونية. فرغم النمو الذي شهدته هذه السوق في الآونة الأخيرة، نجده لا يزال سوقا صغيرا حيث بلغت أقساط التأمين فيه حوالي 3 مليارات دولار على مستوى العالم في 2017. ومعظم المؤسسات المالية لا تملك تأمينا ضد المخاطر الإلكترونية أصلاً، كما أن التغطية محدودة وشركات التأمين تواجه تحديات في تقييم المخاطر نظرا لعدم اليقين بشأن التعرض للمخاطر الإلكترونية ونقص البيانات وآثار العدوى الممكنة.    

الطريق القادم

هناك مجال كبير لتحسين تقييمات المخاطر. فقيام الحكومات بجمع بيانات أكثر تفصيلا واتساقا واكتمالا عن تواتر الهجمات الإلكترونية وتأثيرها يمكن أن يساعد في تقييم المخاطر التي يتعرض لها القطاع المالي. ويُنتظر أن تتحسن المعرفة بالهجمات الإلكترونية في وجود متطلبات إلزامية للإبلاغ عن الاختراقات – على غرار المتطلبات الجاري بحثها في ظل "اللائحة العامة لحماية البيانات" في الاتحاد الأوروبي. ويمكن استخدام تحليل السيناريوهات للخروج بتقييم شامل لكيفية انتشار الهجمات الإلكترونية وتصميم الاستجابات الملائمة من جانب المؤسسات الخاصة والحكومات.

وينبغي أيضا بذل جهد أكبر لفهم كيفية تعزيز صلابة المؤسسات المالية والبنى التحتية، سواء لتخفيض فرص الهجمات الإلكترونية الناجحة أو تيسير التعافي السلس والسريع من آثارها. وثمة حاجة أيضا لبناء القدرات في القطاع الرسمي في كثير من أنحاء العالم لمراقبة هذه المخاطر وتنظيمها.

والخلاصة هي أنه ينبغي تعزيز الأطر التنظيمية والرقابية لمواجهة المخاطر الإلكترونية، وتركيز الجهود على الممارسات الرقابية الفعالة، والاختبار الواقعي لمدى التعرض لمخاطر الهجمات الإلكترونية والقدرة على التعافي منها، والتخطيط للطوارئ. ويقدم الصندوق المساعدة الفنية اللازمة لمعاونة البلدان الأعضاء في تحسين أطرها التنظيمية والرقابية.

*****

كريستين لاغارد تشغل منصب مدير عام صندوق النقد الدولي. وبعد انتهاء مدتها الأولى البالغة خمس سنوات في هذا المنصب، أعيد تعيينها في يوليو 2016 لمدة ثانية. وهي فرنسية الجنسية وسبق لها العمل وزيرا لمالية فرنسا اعتبارا من يونيو 2007 إلى يوليو 2011، كما شغلت منصب وزير دولة للتجارة الخارجية لمدة عامين قبل ذلك التاريخ.

وتتمتع السيدة لاغارد بخبرة عملية واسعة وتاريخ مهني بارز كمحام في الشؤون العمالية ومكافحة الاحتكار، إذ كانت شريكا في مؤسسة المحاماة الدولية "بيكر آند ماكينزي" ثم اختارها الشركاء لتكون رئيسا للمؤسسة في أكتوبر 1999، وهو المنصب الذي ظلت تشغله حتى يونيو 2005 حين عينت في أول مناصبها الوزارية في فرنسا. والسيدة لاغارد حاصلة على درجات علمية من معهد العلوم السياسية وكلية الحقوق في جامعة باريس 10، حيث عملت محاضِرة أيضا قبل انضمامها لمؤسسة "بيكر آند ماكينزي" في عام 1981.

للاطلاع على سيرتها الذاتية بمزيد من التفصيل، راجع موقع الصندوق من خلال هذا الرابط.