مجلة التأمين العراقي Iraq Insurance Review: 12/01/2017

التأمين على مشروع الحكومة الإلكترونية في العراق: تعليق على خبر صحفي

مصباح كمال

نشرت هذه المقالة أصلاً في موقع شبكة الاقتصاديين العراقيين:

http://iraqieconomists.net/ar/wp-content/uploads/sites/2/2017/12/Cyber-Insurance-Electronic-Government-Iraq.pdf

(1)

قرأت مؤخراً خبراً بأن وزارة المواصلات باشرت "بتنفيذ مراحل مشروع "الحكومة الالكترونية"، الذي يربط دوائر الدولة ببعضها عبر شبكة انترنت عنكبوتية ..."[1] وجاء في الخبر أيضاً

إن دائرة العلاقات تقوم بتنفيذ الأعمال المدنية لهذا المشروع منذ فترة، وهي مد وربط كل الوزارات بالكابل الضوئي ومن اتجاهين بسعة 48 شعيرة جهزت من قبل شركة ديالى للصناعات الكهربائية " منتج وطني" وكذلك تقوم بأعمال حفر أخدود بعمق 35 سم وعرض 10 سم ومد (ديوريلاين) تمهيدا لمد هذه الكابلات، كما أنها تلتزم بإنجاز العمل خلال 180 يوم عمل بدأت المباشرة بها في 19/11/2017 من قبل خمس مجاميع عمل متكاملة ...

هذا الجزء من الخبر يختص بإنشاء البنية التحتية للمشروع. لم يرد في هذا الخبر ذكر لكلفة هذا المشروع، ومصادر تمويله؛ كما لم يرد أي إشارة لتأمين المشروع أثناء الإنشاء والاختبار والتشغيل. ونفترض أن وزارة المواصلات حريصة على شراء الحماية التأمينية وربما قامت بشراء الحماية الضرورية (وثيقة تأمين كافة أخطار النصب بضمنها تأمين المسؤولية المدنية تجاه الغير) من شركة تأمين عراقية. وأنها ستعمل على شراء وثيقة تأمين المشروع بعد إنجازه ووضعه قيد التشغيل (على سبيل المثل، وثيقة تأمين ضد الحريق، وثيقة تأمين الأجهزة والمعدات الكهربائية والإلكترونية، أو وثيقة تأمين جميع أخطار الممتلكات شاملة خطر الحريق والأخطار المضمونة بوثيقة الأجهزة الكهربائية والإلكترونية، وكذلك وثيقة تأمين المسؤولية المدنية).

اللجوء إلى شراء مثل هذه الوثائق هو من مسلمات إدارة الخطر، فبعد تشخيص مصادر الخطر التي قد يتعرض له المشروع، وتقدير تأثيرها على الوضع المالي لصاحب المشروع، واتخاذ الاحتياطيات والإجراءات الهندسية المناسبة للحيلولة دون وقوع خطر منظور أو التخفيف من آثاره عند وقوعه، يتم اللجوء إلى آلية التأمين لنقل عبء الخطر (الخسارة أو الضرر المادي العرضي والفجائي) إلى شركة التأمين لقاء قسط معلوم مسبقاً.

(2)

كما جاء في الخبر، نقلاً عن الخبير الاقتصادي ضرغام محمد علي

في البداية ستحارب بعض المافيات هذا المشروع لأنه سيلغي نسب دخلهم المتأتية من الفساد، ومن الممكن ان يحدثوا خللاً متعمداً في النظام حتى يضطر المواطن لمراجعة الدوائر، لكن في النهاية سيقر المشروع، ناهيك عن تقليله للازدحامات ...

ما يثير الانتباه هنا الإشارة إلى وجود مافيات تعمل على محاربة المشروع، بعد إكماله، لأنه سيلغي "نسب دخلهم المتأتية من الفساد، ومن الممكن أن يحدثوا خللاً متعمداً في النظام." يمكننا ترجمة ما ذكره الخبير تأمينياً: المافيات- قراصنة الأنظمة الإلكترونية (الهاكرز hackers) وغيرهم كما سنوضح في نهاية التعليق، وأدوات التسلل والاختراق المستخدمة من قبلهم للابتزاز والحصول على الفدية (البرمجيات الخبيثة malware، ransomware).

ترى هل قامت وزارة المواصلات بدراسات معمقة عن مدى الفرص المنظورة للقرصنة الإلكترونية وسبل التحوط منها لضمان استمرار تشغيل الأجهزة الإلكترونية، وهل قامت بتدريب فريق متخصص لمحاربة القرصنة، أو أنها تستطيع استدعاء الخبراء بسهولة للتعامل مع آثار القرصنة المادية والمالية؟

ينطبق هذا التساؤل على القطاع النفطي أيضاً. وحسب المعلومات المتوفرة فإن شركات القطاع النفطي لا تشتري وثائق لتأمين الأخطار السيبرانية التي قد تتعرض لها. ولكن من المفيد هنا التذكير بالفيروس الإلكتروني (شمعون) الذي عطَّل 35,000 كومبيوتر في شركة أرامكو السعودية (آب 2012) الذي أرجع عمليات إدارة الإنتاج والتوزيع وغيرها إلى تقنيات سبعينيات القرن الماضي.

(3)

في حزيران 2017 نشرت لي شبكة الاقتصاديين العراقيين مقالاً عن تأمين الأخطار السِبرانية[2] إلا أنه لم يلقَ اهتماماً سوى تعليق واحد للأستاذ فاروق يونس. ولعله من المفيد للقارئ المهتم الرجوع إلى المقال والتعليق لأنني لا أنوي إثقال التعليق الحالي بالشرح، واكتفي، إكمالاً لذلك المقال، بتقديم بعض الإيضاحات السريعة حول أنماط المافيات/القراصنة.

يمكن الاقتراب من تصنيف قراصنة ومجرمي الفضاء السيبراني كالآتي:

الهاكرز hackers- قد يكون هؤلاء هواة من الأفراد، أو جماعات تعمل معاً، دوافعها للتخريب ليست واضحة دائماً.

الهاكرز المسيسون أو المتطرفون hacktivist- وهم أصحاب قضية دوافعها قد تكون سياسية إضافة إلى دوافع أخرى، وقد تركّز على اختراق الأنظمة الحكومية أو مؤسسة معينة، ولا تتطلع إلى تحقيق مكسب مالي. وقد يعمل البعض منها لصالح حكومة معينة ضد حكومة أخرى.[3]

المجرمون المحترفون professional criminals- وهم أقرب إلى الجريمة المنظمة، يعملون بجدية على اختراق أنظمة البيانات الإلكترونية وتحقيق مكاسب مالية من خلال الفدية.

جواسيس الصناعة industrial espionage- وهؤلاء معنيون بسرقة المعلومات من الغير لأغراض الحدّ من المنافسة أو غيرها.

المستخدمون الساخطون disgruntled employees- معظم هؤلاء لهم القدرة للوصول إلى بيانات الشركة أو المؤسسة الرسمية التي يعملون فيها، وبذلك فإنهم يشكلون خطراً جدياً قد يصل، بسبب نقمتهم، إلى حد تزويد جهات خارجية بما لديهم من معلومات.

ولنا أن نضيف إلى هؤلاء الأخطاء التي قد يتسبب بها المستخدمون في الشركة أو المؤسسة أو أطراف أخرى (مجهزون، مقاولون ثانويون) تعمل لديها.

قد يقول قائل إن العراق هو في أول عهده بالنظام السيبراني وإنه لا يحتاج إلى حماية تأمينية لإن الدولة قادرة على تمويل أية خسائر قد تحصل في هذا المجال. وهو قول لا يعنى بالآثار المالية لإنفاق الدولة على تمويل الخسائر الطبيعية وغيرها، كما حاولنا تبيانه في مقالة سابقة.[4] التجربة العالمية تبين أن الكلفة الاقتصادية للجرائم السيبرانية عالية جداً، ويمكن الرجوع إلى بعض الدراسات المهمة بهذا الشأن للتعرف على حجم هذه الكلفة وضرورة التأمين عليها.[5]

(4)

إن موضوع الأخطار السيبرانية واللوائح التنظيمية المستنبطة لإدارتها والحد من آثارها آخذ بالتطور وخاصة في الدول المتقدمة. وقد أخذ التأمين يساير هذا التطور بفضل نمو الخبرة المتراكمة لدى المكتتبين ووسطاء التأمين ومسوّي الخسائر، سواء في مجال صياغة نصوص وثائق التأمين أو تسوية المطالبات بالتعويض. وقد ارتبط هذا التطور ببروز دور الشركات المتخصصة في توفير الأمن للمنظومات الإلكترونية وفي التعاطي مع الاختراقات وعمليات الابتزاز والحدّ من توسع آثار هذه العمليات.

أزعم أن قطاع التأمين العراقي بعيد عن هذه التطورات لكنني أتمنى على زملاء المهنة في القطاع الاهتمام بهذا الموضوع والإعداد له والترويج لوثائق التأمين المناسبة لتغطية الأخطار السيبرانية.

22 كانون الأول 2017

[1] لقراءة النص الكامل للخبر، راجع جريدة المدى، 19 كانون الأول 2017:

http://www.almadapaper.net/ar/news/540244/%D8%A7%D9%84%D8%A7%D8%AA%D8%B5%D8%A7%D9%84%D8%A7%D8%AA-%D8%AA%D8%A8%D8%AF%D8%A3-%D8%AA%D8%B7%D8%A8%D9%8A%D9%82-%D8%A7%D9%84%D8%AD%D9%83%D9%88%D9%85%D8%A9-%D8%A7%D9%84%D8%A7%D9%84%D9%83%D8%AA%D8%B1%D9%88%D9%86%D9%8A%D8%A9

[2] مصباح كمال، "التأمين على الأخطار السِيبرانية،" شبكة الاقتصاديين العراقيين:

http://iraqieconomists.net/ar/2017/06/03/%d9%85%d8%b5%d8%a8%d8%a7%d8%ad-%d9%83%d9%85%d8%a7%d9%84-%d8%a7%d9%84%d8%aa%d8%a3%d9%85%d9%8a%d9%86-%d8%b9%d9%84%d9%89-%d8%a7%d9%84%d8%a3%d8%ae%d8%b7%d8%a7%d8%b1-%d8%a7%d9%84%d8%b3%d9%90%d9%8a%d8%a8/

وأعيد نشرها في مجلة التأمين العراقي:

http://misbahkamal.blogspot.co.uk/2017/06/insuring-cyber-risks.html

[3] خير مثال على ذلك البرمجيات الخبيثة المعزوة إلى الولايات المتحدة وإسرائيل في تعطيل البرنامج النووي لإيران. المصادر متوفرة في الشبكة العنكبوتية ومنها: https://en.wikipedia.org/wiki/Stuxnet وكذلك:

http://www.bbc.com/arabic/scienceandtech/2010/09/100923_iran_malware_tc2

[4] مصباح كمال، "هل هناك تكلفة للاقتصاد عندما يكون التأمين غائباً؟ ملاحظات أولية،" شبكة الاقتصاديين العراقيين

Cost to Economy whre Insurance is Absent

[5] KPMG, Insurance in the Digitalisation and Cyber Era, 2017, p.10.