與傳統(tǒng)的財產(chǎn)險或人壽險不同,網(wǎng)絡安全保險是高度復雜技術時代的產(chǎn)物。
近年來,隨著數(shù)字資產(chǎn)在全球范圍內愈加受到重視,勒索攻擊、數(shù)據(jù)泄露等威脅逐漸蔓延到在線金融、醫(yī)療、教育等社會生活的方方面面,成為數(shù)字化進程中不得不加以重視的安全風險。
為應對新型網(wǎng)絡安全威脅,各類網(wǎng)絡安全防護技術與產(chǎn)品得到快速發(fā)展與普及。其中,作為安全風險轉移的基礎手段之一,網(wǎng)絡安全保險開始被越來越多的企業(yè)所關注和采用,成為整體安全風險應對方案的重要環(huán)節(jié)。
但有別于車險、災害保險等傳統(tǒng)風險投保,由于網(wǎng)絡攻擊形式的多樣性以及承保數(shù)字資產(chǎn)價值評估的復雜性,網(wǎng)絡安全保險在實際推行過程中尚有諸多行業(yè)共識有待明確,對數(shù)字經(jīng)濟保障的覆蓋度仍需進一步提升。
11月7日,工信部會同銀保監(jiān)會起草的《關于促進網(wǎng)絡安全保險規(guī)范健康發(fā)展的意見(征求意見稿)》(以下簡稱《意見》)公開發(fā)布并征求意見,旨在加快推動網(wǎng)絡安全產(chǎn)業(yè)和金融服務融合發(fā)展,培育網(wǎng)絡安全保險新業(yè)態(tài),促進企業(yè)加強網(wǎng)絡安全風險管理,推動網(wǎng)絡安全產(chǎn)業(yè)高質量發(fā)展。
提升安全風險量化能力
在保險產(chǎn)品的設計中,對潛在風險的預測和評估能力是制定承保方案的關鍵所在。本次發(fā)布的《意見》提出,要“研究制定承保前重點行業(yè)領域網(wǎng)絡安全風險量化評估相關標準,規(guī)范安全風險評估要求”。
據(jù)受訪業(yè)內人士介紹,所謂安全風險量化評估,實際上就是從風險管理角度對企業(yè)信息系統(tǒng)數(shù)字資產(chǎn)價值、安全防護能力、可能的損失等屬性進行數(shù)據(jù)層面的量化分析,并將分析結果轉化為服務于安全建設的決策信息。在保險領域,對安全風險的準確評估是區(qū)分險種,合理設置保費、保險責任的基礎。
源堡科技創(chuàng)始人、CEO韓冰告訴記者,此前由于缺乏對網(wǎng)絡安全風險量化分析的標準和工具,保險業(yè)在提供網(wǎng)絡安全保險時往往面臨保費計算困難、成本效益分析不足等問題,缺乏對風險的精益化管理能力。
“以數(shù)據(jù)泄密責任險種為例,可觸發(fā)數(shù)據(jù)泄露的網(wǎng)絡安全事件可能有勒索、數(shù)據(jù)未加密等,從事件防護角度設計量化指標時,需要全方位地考量企業(yè)整體安全能力,過嚴會導致購置門檻高,過低會加大保險公司的風險?!本G盟科技(300369)高級安全咨詢顧問歐陽周婷表示,統(tǒng)一量化評估標準的形成與推廣,將顯著提升保險服務商風險量化工作的精準性和客觀性,賦能涵蓋險種、保額、保費等要素的方案設計工作,降低溝通成本,快速匹配客戶實際訴求提供承保方案。
值得注意的是,《意見》中還為風險量化評估的具體措施點明了方向,文件表示,要“圍繞電信和互聯(lián)網(wǎng)行業(yè)典型事件,以及工業(yè)互聯(lián)網(wǎng)、車聯(lián)網(wǎng)、物聯(lián)網(wǎng)等新興場景開展網(wǎng)絡安全風險研究。探索建立網(wǎng)絡安全風險量化評估模型,加強網(wǎng)絡安全風險影響規(guī)模預測、經(jīng)濟損失等分析。支持網(wǎng)絡安全企業(yè)、專業(yè)網(wǎng)絡安全測評機構等研發(fā)網(wǎng)絡安全風險量化評估技術,開發(fā)輕量化網(wǎng)絡安全風險量化評估工具,鼓勵保險公司、再保險公司建立網(wǎng)絡安全風險理賠數(shù)據(jù)庫,支撐網(wǎng)絡安全風險精準定價。”
實際上,近年來相關領域的研發(fā)和市場實踐已在緊密推進中。IDC數(shù)據(jù)顯示,為了應對復雜度顯著上升的網(wǎng)絡犯罪形勢,亞太地區(qū)對安全風險量化產(chǎn)品和服務的投資預計將以13.3%的五年年均復合增長率增長,并將于2024年達到350億美元。
歐陽周婷表示,在具體實踐中,需要基于保險險種的定義和承保范圍,識別并關聯(lián)險種相關的安全事件及其觸發(fā)條件,將其轉化為客戶的安全能力指標,結合應急響應數(shù)據(jù)等外部影響因素,搭建了用于在核保過程進行量化的風險模型,而這一過程的諸多環(huán)節(jié)都有賴于數(shù)據(jù)庫、量化技術和評估工具的成熟運用。
豐富網(wǎng)絡安全產(chǎn)品
在網(wǎng)絡安全實踐中,雖然不同類型的企業(yè)或多或少都面臨著數(shù)據(jù)泄露、勒索攻擊等問題的威脅,但由于生產(chǎn)方式、管理體系、產(chǎn)業(yè)鏈結構等實際情況的不同,其調查、防御、應對安全風險的成本轉移需求亦各不相同,在針對不同企業(yè)提供承保方案時,保險公司還需提供更具行業(yè)指向性的保險服務。
《意見》指出,鼓勵保險公司面向不同行業(yè)場景的差異化網(wǎng)絡安全風險管理需求,開發(fā)多元化網(wǎng)絡安全保險產(chǎn)品,圍繞電信和互聯(lián)網(wǎng)行業(yè)典型事件,以及工業(yè)互聯(lián)網(wǎng)、車聯(lián)網(wǎng)、物聯(lián)網(wǎng)等新興場景開展網(wǎng)絡安全風險研究。
韓冰表示,由于數(shù)字化進程和信息化建設的實際情況不同,不同行業(yè)的信息資產(chǎn)類別和規(guī)模,網(wǎng)絡和通信的架構,人員管理等方面存在很大差異,不同企業(yè)的外部風險暴露情況,攻擊面和暴露面的嚴重情況,內部的安全合規(guī)管理狀況、防御架構等亦各不相同,面向不同行業(yè)的網(wǎng)絡安全保險在保險原理、實際風險形成和風險評估等方面亦需量體裁衣,因事制宜。
“因此,網(wǎng)絡安全保險產(chǎn)品需要從保險責任的觸發(fā)原因、賠償責任、除外責任等多個方面針對不同行業(yè)進行不同的調整,以便于符合不同行業(yè)的客戶的差異化需求?!表n冰說。
此外,正對網(wǎng)絡安全行業(yè),《意見》還提出,面向網(wǎng)絡安全產(chǎn)品開發(fā)網(wǎng)絡安全專門保險,為信息網(wǎng)絡技術產(chǎn)品提供保險保障;面向網(wǎng)絡安全服務開發(fā)職業(yè)責任險等產(chǎn)品,降低專業(yè)技術人員在安全服務過程中因人為操作可能引發(fā)的安全風險。
歐陽周婷指出,安全服務依托于人員,網(wǎng)安企業(yè)或多或少都會經(jīng)歷過由于不當操作造成用戶營業(yè)中斷等問題的情況,且由于攻防不對等客觀因素的存在,百分之百的安全是很難保證的。本次《意見》提出的兩類險種,前者有助于增強安全企業(yè)的產(chǎn)品保障能力,降低安全產(chǎn)品短暫失效、專項攻擊安全產(chǎn)品的影響,后者則能夠降低安全服務人員的不穩(wěn)定性,轉嫁安全服務固有風險。
“《意見》注意到了網(wǎng)絡安全保險的復雜性。”西安交通大學法學院人工智能與信息安全法律研究中心助理教授王新雷表示,在業(yè)態(tài)不夠健壯的初級階段,需要從易到難、從確定性高的領域入手探索,在特定場景中健全網(wǎng)絡安全保險的風險評估流程和法律文本,使之標準化規(guī)范化,以充分確定安全風險的邊界。
加強保險業(yè)政策支持
隨著勒索攻擊等網(wǎng)絡安全問題愈加嚴峻,各類安全防護產(chǎn)品亦迎來快速發(fā)展的市場機遇。
但值得注意的是,近年來網(wǎng)絡安全保險的增長態(tài)勢在眾多安全產(chǎn)品中亦遙遙領先。據(jù)保險咨詢公司Marsh發(fā)布的報告指出,受勒索軟件攻擊影響,2021年三季度美國網(wǎng)絡安全保險平均價格同比增長96%;Research And Markets發(fā)布的《2022年全球網(wǎng)絡安全保險市場報告》則顯示,2021年網(wǎng)絡安全保險市場規(guī)模為92.9億美元,2022年約為119億美元,預計到2027年將達到292億美元,年均復合增長率19.47%。
究其原因,除了網(wǎng)絡安全保險仍處于早期階段外,作為風險轉移的重要手段,保險業(yè)的價值除了發(fā)揮保險保障的基本屬性,為被保險人提供財務補償意外,在眾多的領域也發(fā)揮著第三方風險管理主體的作用。對于兼具安全防護需求和合規(guī)管理需求的數(shù)字化企業(yè),網(wǎng)絡安全保險不失為一種一舉多得的選擇。
但另一方面,由于安全領域本身具有一定專業(yè)門檻,安全防護體系的搭建亦需要不同措施、產(chǎn)品加以配合,在安全實踐中,相關保險產(chǎn)品的設計與推廣,離不開保險企業(yè)與安全企業(yè)間的合作。
《意見》提出,要創(chuàng)新發(fā)展網(wǎng)絡安全保險服務,鼓勵網(wǎng)絡安全保險服務機構協(xié)同合作,探索構建以網(wǎng)絡安全保險為核心的全流程網(wǎng)絡安全風險管理解決方案。
同時,加強保險業(yè)政策對網(wǎng)絡安全保險的支持,指導網(wǎng)絡安全保險創(chuàng)新發(fā)展,引導開發(fā)符合網(wǎng)絡安全特點規(guī)律的保險產(chǎn)品。推動健全完善財政政策,鼓勵提供保險減稅、保險購買補貼等政策。
王新雷認為,與傳統(tǒng)的財產(chǎn)險或人壽險不同,網(wǎng)絡安全保險是高度復雜技術時代的產(chǎn)物,探索網(wǎng)絡安全服務+保險的模式,有助于將保險公司的金融優(yōu)勢和網(wǎng)絡安全公司的技術優(yōu)勢融合起來,促進保險公司在網(wǎng)絡時代探索新業(yè)態(tài),挖掘新增長點。
他進一步指出,在高度復雜的網(wǎng)絡風險時代,風險治理已經(jīng)不能僅依靠風險消除的方式,安全解決方案不可能一勞永逸?!岸兑庖姟分刑岢龅娜鞒叹W(wǎng)絡安全風險管理解決方案,可以通過消解風險和分散風險兩種手段,彌補傳統(tǒng)安全解決方案的缺陷,在防范逆向選擇和道德風險的動態(tài)風險管理的流程中,提升網(wǎng)絡安全水平?!?/p>
相關的政策指引也早已開始布局,2021年7月,工信部在發(fā)布的《網(wǎng)絡安全生產(chǎn)高質量發(fā)展三年行動計劃(2021-2023年)征求意見稿》中明確提出,要探索開展網(wǎng)絡安全保險,開展網(wǎng)絡安全保險的服務試點,全面提升網(wǎng)絡安全保險對產(chǎn)業(yè)的安全保障能力和服務水平。
韓冰表示,保險公司與網(wǎng)絡安全保險服務機構合作,可以幫助保險公司打造“風險管理服務+網(wǎng)絡安全保險”的主動型風險管理解決方案,從而解決可不可保、如何定價以及如何盡量不出險的問題。
“由于信息不對稱的原因,客戶較難判斷安全產(chǎn)品的真正效能和質量,保險的承保不僅對企業(yè)的風險進行兜底,還對企業(yè)的信用狀況、產(chǎn)品和服務提供了信用支持,對于增加網(wǎng)絡安全企業(yè)的財務履約能力、產(chǎn)品的信用水平均具有正面作用。”韓冰說。
? ? ? 想了解更多保險知識或保險產(chǎn)品需求的朋友,點擊下方圖片,免費報名咨詢,會有專業(yè)理財師為您耐心講解,協(xié)助規(guī)范投保并提供周全的后續(xù)理賠服務。
原創(chuàng)文章,作者:譜藍保-車車,如若轉載,請注明出處:http://www.meijia.ac.cn/bxzs/bxnew/47211.html