南方财经全媒体记者 吴立洋 孙诗卉 北京,上海报道
近年来,以勒索软件为代表的各类网络安全威胁,给企业生产、社会生活和公共机构运行都产生了极大影响,数字经济的发展一方面给不同行业发展带来了诸多机遇,也催生了产业链条的网络安全隐患。
在企业经营层面,除了使用更为有效的安全防护产品抵御网络攻击,作为现代社会风险管理的重要手段之一的保险,也愈发被饱受安全威胁的企业所重视。事前投保可以有效降低企业在遭到攻击后的维护成本,且专业保险公司在风险管理与损失填补方面的经验,也有助于企业保障基本的防护要求,做好安全规划。
但另一方面,我国网络安全保险起步较晚,尚有不少市场空白有待填补,亟待市场实践与政策引领相配合,形成全国性的规范性文件,推动网络安全保险稳步发展,以更为贴合安全防护需要的产品助力企业风险管理。
发挥风险分散作用
网络安全风险的提升,最直观的表现便是攻击频次和破坏力的显著增加。
据网信办发布的《2020年上半年我国互联网网络安全监测数据分析报告》显示,仅2020年上半年,按目标IP统计,我国境内受计算机恶意程序攻击的IP地址约4208万个;境内感染计算机恶意程序的主机数量约304万台,同比增长25.7%;国家信息安全漏洞共享平台收录通用型安全漏洞和高危漏洞收录数量同比分别大幅增长89%和108.3%。
去年年末,Apache Log4j漏洞使得全球相当数量的企业和政府组织网络系统暴露在黑客攻击之下。近期,随着俄乌冲突波及到互联网空间,双方间的网络攻防也加大了潜在的安全风险,据网信中国发布的消息显示,国家互联网应急中心监测发现,2月下旬以来,我国互联网持续遭受境外网络攻击,境外组织通过攻击控制我境内计算机,进而对俄罗斯、乌克兰、白俄罗斯进行网络攻击。
在这样的背景下,网络安全保险具体可以在常规安全防护措施外起到怎样的作用?
“网络空间的发展蕴含着效用和风险博弈的过程,在人工智能时代尤其如此。” 西安交通大学法学院助理教授王新雷指出,风险的治理通常有消除风险和分散风险两种途径,而网络风险具有不可绝对消除性,因此网络作为大多数企业的“运营基础设施”,其风险治理一方面要依靠积极的安全防护投入,另一方面更要运用好风险分散的金融工具-网络安全保险。
具体而言,网络安全保险不仅能够刺激企业积极投资网络安全防护,还为企业在遭受到网络安全事故时提供保障,通过风险管理、损失填补,助力企业从网络安全事故中迅速恢复运营。同时,通过保险机制将管理网络安全的风险池,不仅有利于企业等市场主体,也有利于促进整体网络安全。
“以我们为某汽车后市场服务商承保的网络安全险为例,在保单期限内,我们为该公司的数据保密责任承保,于发生意外事故导致的数据库泄露以及相关客户损失在保单范围内赔偿,并提供法律诉讼相关费用的支持。”众安保险向记者表示,当前网络安全保险投保存在一套较为严密的流程。
从为公司防灾减损的角度出发,需要先对用户内部管理和运营安全风控进行全面的评估摸排,提供了从事前预防,事中监测,到事发响应及事后处理的全流程定制的保险+科技服务,以保险带动服务。
“这一系列流程也消除了汽配商客户对积准ERP系统中的数据信息和隐私泄漏的顾虑,为客户提升品牌信誉加分。”众安保险表示。
规则亟待完善
近年来,全球网络安全保险市场迅速发展,作为一种现代社会风险管理的重要手段,与数字化发展进程中的突出风险防控需求相结合,开拓出新的市场空间。
据豪顿经纪集团报告显示,与2016年相比,美国网络相关保险的承保保费已增长一倍有余。近年来我国网络安全保险亦增长迅速,据中国再保险研究院统计数据显示,2021年我国网络安全保险保费规模预计7080万元左右,较上一年增长3.2倍以上。
太平洋保险告诉记者,中国市场近年开始网安险保费开始呈现上升趋势,但同全球比仍在起步阶段,索赔案件相对有限,总体赔付率较低。
“网络安全保险作为财产险的一个专门领域,是企业传统财产险在网络空间资产的一种衍生。”众安保险在接受21世纪经济报道记者采访时表示,这几年数字化转型成为企业的重点方向,但随之而来的伴生安全风险不断激增,企业的安全投资也不断加大,风险并非呈线性下降趋势,需要通过网络安全保险产品做好风险转移工作。
其进一步指出,当投保公司遭遇勒索软件等网络安全攻击时,考虑到其截止时间通常非常紧迫,所以发生事故后,被保险公司应当第一时间通知保险公司,以便保险公司及时协助客户解决问题或给予确认。其特别强调,被保险公司不应在未经得保险公司同意的情况下私自支付赎金,保险公司需要征询专业第三方机构意见,确定支付赎金是否是有效解决事故的手段。
王新雷认为,在新技术、新业态带来的网络安全威胁快速演变的背景下,需要采取更加积极和具体的政策法律措施,以推动网络安全保险的发展。在网络风险数据库积累的阶段,需要考虑设置赔偿上限和政府再保险制度,为网络安全风险的巨灾效应兜底,以保障网络安全保险方的积极性。此外,应当在风险评估较为成熟和公益性强的关键信息基础设施等部门,可以尝试建立强制网络安全保险制度,以推动网络安全保险市场的成熟和壮大。
“在保费设置、理赔门槛、投保资格等方面,需要保险界、法律界、网络安全界和财政界等相关方携手,结合不同业务场景进行细分,在试点中研发更加专业和有针对性的网络安全保险产品谱系。”王新雷说。
多方推动市场建设
为应对愈发严峻的勒索软件等网络安全威胁,多位受访专家和业内人士向记者表示,一些保险公司已经有针对性地开发了勒索险等网络安全保险业务。
“但总体而言,我国的网络安全保险产业还处在高潜力、低竞争、体系不成熟的初级阶段。”王新雷指出,当前网络安全保险主要面临几方面的障碍:
首先,传统保险策略在网络安全风险领域“失能”,缺乏专业成熟的网络安全保险险种和政策,使得保险方和被保险方均望而却步;其次,由于网络风险基础数据缺乏,保险业难以据此精确厘定保费和赔偿数额;再次,网络风险具有关联性,保险业忌惮其巨灾效应; 最后,网络系统具有封闭性和专业性,对先合同的风险评估和后合同的风险管理均带来了挑战,风险信息的不对称容易引发逆向选择和道德风险。
值得注意的是,随着外部风险态势的不断扩大,以及近几年网络安全事件给企业生产经营造成的重大损失案例不断发生,市场端和政策端对加快推进网络安全保险的呼声越来越大。今年两会期间,全国政协委员、原中国保监会副主席周延礼建议制定网络安全保险发展的相关战略规划,促进网络安全保险健康发展。
早在2019年9月,工信部就曾发布《关于促进网络安全产业发展的指导意见(征求意见稿)》,在主要任务的“积极创新网络安全服务模式”小节中提出“探索开展网络安全保险服务”。
2021年7月,工信部发布《网络安全产业高质量发展三年行动计划(2021-2023年)(征求意见稿)》,再次提到:“面向电信和互联网、工业互联网、车联网等领域,开展网络安全保险服务试点。加快网络安全保险政策引导和标准制定,通过网络安全保险服务监控风险敞口,鼓励企业构建并完善自身网络安全风险管理体系,强化网络安全风险应对能力。”
太平洋保险表示,近期可能会出台全国性网络安全保险方面的一些文件。一方面进行示范案例搜集,另一方面会规范国内网络安全保险市场的运作,建立网络安全保险的相关操作规范和标准:“目的是形成具有中国特色的网络安全保障体系,健康和大力发展国内网安险业务,更好为企业和社会提供完善和充实的安全保障和风险兜底服务。”
众安保险则指出,具体而言,保险公司在承保前,对投保企业的评估将更加与时俱进和科学,在投保资格审核方面,将对被保险人进行网络安全风险健康性评估,并对历史安全事件、企业内部风控、安全技术防控措施、企业业务连续性计划、员工安全意识培训等网络安全成熟度情况进行综合性评估。对于内部风控措施相对不足的企业,将建议用户完成风险措施整改工作后再进行投保。
(作者:吴立洋,孙诗卉 编辑:诸未静)