براساس تجربیات جهانی، امروزه نقش و اهمیت داده برای اکثر بازیگران و ذینفعان صنعت بیمه کشور، شفاف و تعیینکننده راهبردها، سیاستها و برنامههای کسبوکارشان تلقی میشود. این مهم بهگونهای است که صنعت بیمه با توجه به ماهیت و مدل کسبوکاری خود برای اینکه بتواند رفتار و ریسک مشتری خود را شناسایی و مطابق با آن محصولات و خدمات مورد نیاز را طراحی و ارائه کند، باید از طریق سازمانها، تجهیزات و سامانههای مختلف، دادههای مورد نیاز درخصوص عوامل مختلف (بیمهگذار، بیمهشده، زیاندیده، مورد بیمه، پوششها، تعهدات، خسارت و غیره) را اخذ کند و مورد پایش و بهرهبرداری قرار دهد.
از طرفی با توجه به دادهمحوربودن کسبوکار صنعت بیمه، باید بیمهگران بتوانند در عملیات بیمهگری خود بهجهت کاهش خطا و نقص ثبت داده- که هماکنون بهصورت عمده توسط کاربران صورت میپذیرد- با استفاده از وبسرویسها یا APIها، دادههای مورد نیاز را فراخوانی و در سامانه بیمهگری خود ثبت کنند. این میتواند گام مؤثری در خودکارسازی و دیجیتالیسازی جریان داده در صنعت بیمه باشد.
بهطور نمونه موقع صدور بیمهنامه خودرو، بهجای اینکه اطلاعات خودرو (VIN، شماره موتور، پلاک و…) توسط کاربر ثبت شود، میتوان از طریق API پلیس که یکی از مراجع معتبر اطلاعات خودروهای کشور است، با واردکردن شماره پلاک و کدملی مالک خودرو (مندرج در کارت خودرو)، اطلاعات خودرو را دریافت و در بیمهنامه ثبت کرد. این کار نهتنها باعث کاهش خطا و نقص در ثبت اطلاعات شده بلکه باعث سرعت در صدور بیمهنامه و بهبود تجربه مشتری (بهخصوص در زمان خرید برخط بیمهنامه خودرو) خواهد شد.
همچنین برای محاسبه میزان حق بیمه و احتمال وقوع یک حادثه، بیمهگران به دادههایی نیاز دارند. این دادهها میتوانند مختص مشتری (بیمهگذار، بیمهشده و…) باشند یا میتوانند کلیتر باشند اما همه اینها به ایجاد تصویری برای شرکتهای بیمه کمک میکند. با پیشرفتهای اخیر فناوری و دیجیتالیسازی گسترده، میزان دادههای ارائهشده به شرکتهای بیمه افزایش یافته و دقیقتر شده است. حتی میتوان آنها را در زمان واقعی مانند فناوری پوشیدنی، تلماتیک و غیره ارائه کرد. این میتواند برای مشتری و بیمهگر مفید باشد، زیرا اولی محصولات و خدمات شخصیتر را دریافت کرده و دومی میتواند تصویر دقیقتری از ریسک مشتری ایجاد کند.
برای اینکه صنعت بیمه بتواند از داده بهترین استفاده را بهعملآورده و از اجرای فناوریهای مرتبط به داده؛ مانند هوش مصنوعی، یادگیری ماشین، تجزیهوتحلیل داده و غیره نتیجه مورد انتظار را کسب کند، باید بتواند درموقع ثبت و بهرهبرداری از داده، سازوکارهای لازم را جهت ساختار، ذخیرهسازی، امنسازی و سایر عوامل موثر آن لحاظ کند. همچنین به مشتری خود این اطمینان را بدهد که حفظ محرمانگی داده او را انجام میدهد؛ بهطوری که پس از جمعآوری و ثبت داده از سوی شرکت بیمه سیاستها و راهبردهای لازم درخصوص نحوه استفاده، دسترسیها، مجوزها، نحوه نگهداری و امنسازی آن اتخاذ خواهد شد.
در این خصوص براساس مطالعات و تحقیقهای صورتپذیرفته، راهکاری که هماکنون در کشورهای پیشرو در حوزه فناوریهای بیمه اتخاذ میشود تهیه و تصویب مقررات حکمرانی داده است. بهطوری که در صنعت بیمه از طریق آن یکپارچهسازی و استانداردسازی فرایندها و روشهای مرتبط به داده اعمال شده و نهاد ناظر و شرکتهای بیمه میتوانند نظارتهای لازم را درخصوص اجرای دقیق و کامل آن به عمل آورند.
در عصر دیجیتال امروزی، دادهها برای هر سازمانی ضروری است. این، ستون فقرات تصمیمگیری، تعامل با مشتری و عملیات کلی کسبوکار است. با این حال، با قدرت زیاد، مسئولیت بزرگی به همراه دارد. حجم عظیمی از دادههایی که سازمانها تولید و ذخیره میکنند، میتواند بسیار زیاد باشد و مدیریت و محافظت از آن را چالشبرانگیز میکند. این جایی است که حاکمیت داده وارد میشود.
حکمرانی داده بیمه میتواند دارای پیوستهای مدیریت بحران و الزامات امنیتی حوزه فناوری اطلاعات و ارتباطات باشد؛ بهطوری که شرکتهای بیمه و شرکتهای تامینکننده سامانههای بیمهگری را ملزم و مکلف به اجرا و نظارت بر تامین و بهکارگیری زیرساختهای امنسازی داده کند. به این ترتیب، درصورت بهوجودآمدن نفوذ یا حفره امنیتی، صنعت بیمه میتواند از طریق کمیته مدیریت بحران، راهکارهای لازم را جهت بهحداقلرسانیدن خسارت و صدمات ناشی از آن اتخاذ و اجرا کند.
وجود حکمرانی داده در صنعت بیمه و بهتبع آن اتخاذ سازوکارهای کنترلی و نظارتی جهت واگذاری دسترسیها و مجوزهای بهرهبرداری از داده باعث جلوگیری از بسیاری از مخاطرات و تهدیدهای ناشی از نشت و بهرهبرداری غیرمجاز از داده میشود و حتی مشکلی که بهتازگی برای صنعت بیمه در افشای دادههای برخی از شرکتهای بیمه به وجود آورد دیگر تکرار نخواهد شد.
در افشای اطلاعات برخی از شرکتهای بیمه که بهتازگی برای صنعت بیمه کشور به وجود آمد، عدم رعایت برخی از معیارهای حکمرانی داده، مانند سطح دسترسی به داده و دوعاملیتیکردن دسترسی به دادههای مهم و تجمیعشده باعث کپیبرداری غیرمجاز و انتشار آن در فضای مجازی شد. در حال حاضر تمامی شرکتهای بیمه و شرکتهای تأمینکننده سامانه بیمهگری در لایه رخدادها و تهدیدهای بیرونی خودساز، تجهیزات مختلف از قبیل فایروال و آنتیویروس را تامین و به کار گرفتهاند اما درخصوص رخدادها و تهدیدهای داخلی خود که ناشی از مدیریت دسترسی به داده است، ضعفها و نواقصی دارند که کمتوجهی یا نداشتن سیاست و سازوکارهای امنیتی باعث دسترسی و افشای داده میشود. به همین منظور توصیههای زیر ارائه میشود:
- دسترسی به دادههای مهم و تجمیعشده تنها از طریق تعدادی محدودی از افراد سازمان صورت پذیرد.
- با افرادی که لازم است به دادههای تجمیعشده سازمان دسترسی داشته باشند، سیاستها و ملاحظات امنیتی گوشزد شده و با آنها NDA منعقد شود.
- دسترسی دوعاملیتی به دادههای مهم و تجمیعشده سازمان اعمال شود؛ بهطوری که یک فرد شخصاً قادر به دسترسی و کپیبرداری از داده نباشد و نیاز به اخذ مجوز و تایید فرد دیگری در سازمان باشد.
- دسترسی کاربران مهم سازمان (معاونین، مدیران، روسای ادارات، روسای شعب و…) که مجوزها و سطح دسترسی بالاتری به نسبت کاربران دیگر دارند، دو عاملیتی شوند؛ بهطوری که با افشای نام کاربری و کلمه عبور کاربر مهم، نتوان به سامانه ورود پیدا کرد.
- با پیمانکاران که در حوزه طراحی و پیادهسازی سامانههای مبتنیبر داده (هوش تجاری، کشف تقلب و…) فعالیت میکنند NDA منعقد و به آنها تکلیف شود که دسترسی به داده تنها برای کارکنان محدود و مرتبط به پروژه باشد.
- درصورت امکان، دادهها بهصورت رمزنگاریشده در داخل پایگاه دادهها ذخیرهسازی و رمزگشایی آن تنها در موقع بهرهبرداری سامانه یا با استفاده از کلیدهای خصوصی که نزد افراد معتمد است، فراهم شود.
- از طریق نرمافزارهای SIEM که به قابلیت هوش مصنوعی و یادگیری ماشین مجهز هستند از طریق سامانهها و دستگاههای مختلف، رخدادهای داخلی کاربران جمعآوری و مورد پایش و نظارت قرار گیرد. به این ترتیب میتوان درصورت مشاهده تهدیدها و رفتار مشکوک کاربر، قبل از وقوع حادثه اخطارهای لازم را دریافت و از وقوع آن جلوگیری کرد.
جمعبندی
برابر توضیحات ارائهشده، با توجه به نقش و اهمیت داده در صنعت بیمه نیاز است علاوهبر سازوکارهای لازم جهت جمعآوری و ثبت کامل و دقیق آن، اقدامات لازم جهت امنسازی داده در صنعت بیمه از طریق تهیه، تدوین و ابلاغ سند حکمرانی داده توسط نهاد ناظر به عمل آید؛ بهطوری که براساس آن نهاد ناظر و سایر بازیگران صنعت بیمه (شرکتهای بیمه، ارزیاب خسارت، کارگزاری بیمه، اینشورتک و…) بتوانند نسبت به پیادهسازی شاخصهای سیاستی و مقرراتی آن اقدام و بهطور سیستمی نظارت و پایش لازم را به عمل آورند.
نویسنده: علیرضا هاشمی، کارشناس ارشد مهندسی فناوری اطلاعات
داتین
راهکارها
سرمایههای انسانی
ارتباطات