«البنوك الخليجية» استثمرت في الأمن الإلكتروني وإدارة المخاطر بشكل استباقي

تمثل المخاطر الإلكترونية تهديداً متزايداً لعمليات المؤسسات المالية وأوضاعها الائتمانية، والتي لم تصل إلى هذا المستوى منذ أن أدت الجائحة إلى تسريع التحول إلى الخدمات المصرفية عبر الإنترنت، ومع ذلك، لم تشهد البنوك الخليجية أي انقطاعات كبيرة في عملياتها. على سبيل المثال، استمرت قروض الرهن العقاري في المملكة العربية السعودية بالتوسع بمعدلات مكونة من رقمين على الرغم من التحول الرقمي. أرست البنوك الخليجية أسس النجاح على مدى عدة سنوات من خلال الاستثمار في البنية التحتية والأنظمة، بما في ذلك المعدات والبرمجيات، لتقليل انكشافها على المخاطر الإلكترونية، مع الاستفادة أيضاً من الأطر التنظيمية الداعمة ومتطلبات المخاطر الإلكترونية.
وتعتقد وكالة «إس آند بي جلوبال للتصنيفات الائتمانية» أن انكشاف البنوك الخليجية على المخاطر الإلكترونية قابل للإدارة، على افتراض مواصلتهم الاستثمار في الأمن الإلكتروني وإدارة المخاطر بشكل استباقي، مع الأخذ في الاعتبار الطبيعة المتطورة للتهديدات، نلاحظ أن البنوك الخليجية سجلت فقط عدداً محدوداً من الخروقات الرقمية والهجمات الإلكترونية خلال العقد الماضي. في حين أنه قد لا يتم الإبلاغ عن بعض هذه الهجمات، فمن المحتمل أنها كانت حوادث ثانوية نظراً لعدم تسجيل خسائر ملحوظة في التقارير المالية والرسوم المنخفضة نسبياً لرأس مال المخاطر التشغيلية لدى البنوك.
وتقول الوكالة "إن رؤيتنا للمخاطر الإلكترونية القابلة للإدارة للبنوك الخليجية مدعومة ببيانات "غايدواير" المتخصص في الأمن الإلكتروني. تشير تقديرات "غايدواير" إلى أن أكبر 19 بنكاً في المنطقة (التي توفرت بيانات عنها) ستعاني من انخفاض في صافي الدخل بنسبة 7.5 % في المتوسط وانخفاض في حقوق الملكية بنسبة 0.6 % في المتوسط، استناداً إلى البيانات المأخوذة من نهاية عام 2021، في ظل هجمة إلكترونية شديد الخطورة. في الوقت نفسه، بلغ متوسط تكلفة رأس مال المخاطر التشغيلية لدى البنوك 3.6 % من إجمالي حقوق الملكية. نعتقد أن البيانات تشير إلى أن البنوك الخليجية يبدو أن لديها رأس مال كافياً للمخاطر التشغيلية لتغطية الخسائر المتعلقة بالمخاطر الإلكترونية. لا يشتمل تحليلنا لرأس المال على محاكاة "غايدواير"، على الرغم من أنها توفر لنا نظرة أعمق ومفيدة عندما نأخذ في الاعتبار إدارة المخاطر. مع ذلك، نلاحظ أن بيانات "غايدواير" لا تشتمل على التأثير المحتمل لهجمة إلكترونية على وضع أعمال البنك، أو على احتمال الخسارة المحتملة للإيرادات بسبب الإضرار بالسمعة، أو الفدية الإلكترونية. تلك العوامل تعتبر بالنسبة لنا جزءاً من تحليل التصنيف الائتماني.
كيف تؤثر المخاطر؟
وتقول الوكالة: "تقييمنا لوضع المخاطر وإدارتها لدى البنوك نأخذ في الاعتبار انكشاف البنوك على المخاطر الإلكترونية. الهجمات الإلكترونية لديها القدرة على الإضرار بالأوضاع الائتمانية للبنوك من خلال الإضرار بالسمعة وكذلك التسبب بالخسارة المالية. في حالة وقوع هجوم واسع النطاق على بنك ذي أهمية استراتيجية للنظام المصرفي أو عدة مؤسسات كبيرة، نتوقع أن تتخذ الحكومات تدابير لتحقيق الاستقرار في القطاع. في تحليلنا للجدارة الائتمانية للبنوك، نأخذ في الاعتبار تأثير المخاطر الإلكترونية على النظام المصرفي وكذلك على البنوك. يتناول تحليلنا للقطاع المصرفي على مستوى النظام المخاطر الإلكترونية في بلد معين، عندما، على سبيل المثال، تعرض قطاع مصرفي بأكمله لسلسلة من الهجمات الأمنية الجسيمة والمتكررة، أو عندما يبدو أن الجهات التنظيمية قامت بردة فعل أكثر من كونها أقدمت على إجراءات استباقية لإجبار المؤسسات المالية على تعزيز أطر الأمن الإلكتروني لديها.
ويفحص تحليلنا للعوامل الخاصة بالبنك تداعيات الحوادث الإلكترونية من أجل، استقرار وضع الأعمال، والذي يمكن أن يتضرر بسبب فقدان ثقة العملاء نتيجة لهجوم ناجح. كما نأخذ في الاعتبار القدرة على إدارة ومنع المخاطر الإلكترونية كجزء من تقييم الإدارة والحوكمة لدينا، ولرصد الخسائر المحتملة من الهجمات الإلكترونية، بما في ذلك مخاطر الخسائر الكبيرة التي يمكن أن تضر برسملة البنك، وإدارة المخاطر، حيث يمكن للمخاطر الإلكترونية التي تُدار بشكل سيئ أن تكشف عن نقاط الضعف الهيكلية، وكذلك النظر للضرر بالسمعة، الذي قد ينجم عن حادث إلكتروني خطير، وفي الحالات القصوى، من المحتمل أن يؤدي إلى سحوبات من العملاء والضغط على السيولة.
وعلى مدى العقد الماضي، سجلت البنوك الخليجية عدداً محدوداً من الهجمات الإلكترونية التي أدت إلى إلحاق الضرر بالسمعة أو خسائر مالية. بالإضافة إلى ذلك، بلغ إجمالي رسوم رأس مال المخاطر التشغيلية، والتي تعد جزءاً من متطلبات رأس المال المحلي، 3.4 % من إجمالي حقوق الملكية في نهاية عام 2021 (بافتراض أن الحد الأدنى لنسبة متطلبات رأس المال هي 8 %). سجلت البنوك الموجودة في أكثر من دولة، وتلك التي تقدم خدمات مصرفية للأفراد على نطاق واسع، أعلى تكلفة ضمن عيّنتنا من البنوك الخليجية. بالنظر إلى أن المخاطر الإلكترونية هي أحد العناصر التي تم تصميم رأس مال المخاطر التشغيلية لتغطيتها، فإن التخصيص يشير إلى أن البنوك الخليجية تعتبر أن انكشافها على المخاطر الإلكترونية منخفض.
على الرغم من أن البنوك الخليجية لم تكشف علناً عن أرقام الاستثمارات، إلا أننا علمنا من تواصلنا مع البنوك المصنفة أن مجالس إدارتها وإدارتها العليا تولي اهتماماً كبيراً للمخاطر الإلكترونية. كما استثمرت البنوك الخليجية في التكنولوجيا والتجهيزات وتدريب الموظفين لاكتشاف والحد من التعرض للمخاطر الإلكترونية، وتواصل تحديث سياساتها واستثماراتها لمواكبة التوجهات الناشئة في مجال الأمن الإلكتروني ومع ذلك، فإننا ندرك أنه لا يوجد نظام مثالي، وأن الاستثمارات والتكيف المستمر مطلوبان لتقليل المخاطر.
والأطر والمتطلبات التنظيمية المحلية التي تركز على الأمن الإلكتروني. يشمل ذلك إطار عمل الأمن الإلكتروني للبنك المركزي السعودي، الصادر في عام 2017، والذي حدد المتطلبات حول الحوكمة وإدارة المخاطر والامتثال والعمليات والتكنولوجيا واستخدام خدمات الأمن الإلكتروني من طرف ثالث من قبل الجهات المنظمة. وقد استُكملت هذه القواعد، في عام 2022، بوثيقة عن مبادئ استخبارات التهديدات الإلكترونية، والتي تناولت إنتاج ونشر المعلومات الاستخبارية التي تهدف إلى تحديد وتقليل التهديدات الإلكترونية. أنشأ مصرف الإمارات العربية المتحدة المركزي، في أواخر عام 2021، مركزاً لعمليات الشبكات والأمن الإلكتروني لتوفير حماية أفضل للنظام المالي المحلي من الهجمات الإلكترونية. وقام البنك المركزي أيضاً بتحديد وتحسين الركائز الأساسية للمرونة الإلكترونية الفعالة للنظام المصرفي وبنيته التحتية. علاوة على ذلك، نشر مصرف قطر المركزي تعميماً في عام 2018 يحدد المتطلبات التنظيمية التي يجب على البنوك الالتزام بها لإدارة المخاطر الإلكترونية بشكل فعال.
إن اعتقادنا أن البنوك الخليجية قادرة على إدارة انكشافها على التداعيات الائتمانية السلبية المحتملة الناجمة عن المخاطر الإلكترونية يتوافق مع تقديرات "غايدواير".
وتشير حسابات "غايدواير" إلى أن رأس مال المخاطر التشغيلية لدى البنوك الخليجية كافٍ. مع ذلك، هذا التقييم لا يتضمن التأثيرات المحتملة على وضع الأعمال، أو خسارة الإيرادات المحتملة المرتبطة بها بسبب الإضرار بالسمعة، أو الفدية الإلكترونية. نلاحظ أيضاً أن تغطية "غايدواير" للبنوك الخليجية تستثني بعض الكيانات الأصغر التي يمكن أن تكون معرضة نسبياً للمخاطر الإلكترونية.
نضع المخاطر الإلكترونية في الاعتبار عند تقييمنا لاستقرار الأعمال والرسملة وكفاية إدارة المخاطر لدى البنوك. في السيناريوهات الشديدة، قد يكون للمخاطر الإلكترونية آثار سلبية على السيولة من خلال التسبب في تدفق مفاجئ للأموال للخارج، مما يؤدي إلى ضغوط على السيولة. نلاحظ أيضاً بأن المخاطر الإلكترونية تتطور بسرعة وتتطلب جهوداً متواصلة إذا أرادت البنوك أن تظل محمية، ونحن ندرك أنه لا يوجد نظام يمكنه الحماية بشكل كامل من المخاطر غير المتوقعة.
تتراوح المخاطر الإلكترونية من الانقطاع المؤقت للخدمات إلى الإغلاق الكامل لأنظمة تكنولوجيا المعلومات بسبب تدمير البيانات وسرقة البيانات المرتبطة بالفدية الإلكترونية. يشير نمو برمجيات الفدية الخبيثة المرتبطة بسرقة البيانات، إلى جانب الكمية الكبيرة من المعلومات الحساسة التي تتعامل معها البنوك، إلى أن هذا يمثل خطراً رئيساً على المقرضين في الدول الخليجية، لا سيما بالمقارنة مع الأخطار الأخرى مثل توقف الأعمال.
زادت الهجمات المرتبطة ببرمجيات الفدية الخبيثة التي تؤدي لتسرب المعلومات بنسبة 82 % في عام 2021، حيث تم تسجيل 2.686 هجوماً، مرتفعاً من 1.474 هجوماً في عام 2020، وفقاً لتقرير "التهديد العالمي لعام 2022" من "كراودسترايك"، وهي شركة تكنولوجيا للأمن الإلكتروني.
يبدو أن مخاطر الهجمات الإلكترونية أعلى على البنوك التي تتمتع بتنوع جغرافي أكبر (لا سيما تلك التي لديها أنشطة في مناطق أكثر عرضة للهجمات الإلكترونية من الدول الخليجية)، والبنوك التي تقدم خدمات مصرفية للأفراد واسعة النطاق، والتي ثبت أنها أكثر احتمالاً لجذب اهتمام القراصنة.