给你的网络安全上一份保险!(附编者按)
编者按
随着经济社会数字化进程不断加速,网络安全问题日益凸显,勒索病毒等无差别攻击、攻击常态化的环境,催生出网络安全保险这一全新的保险品类,国内外各大保险公司纷纷入局网络安全保险领域,工信部也联合国家金融监管总局围绕推动网络安全保险健康发展出台了指导意见,网络安全保险的发展已经进入快速上升期。
网络安全保险作为承保网络安全风险的新险种、网络安全服务的新模式,有利于行业企业提升网络安全意识和网络安全风险应对能力,促进中小企业数字化转型,推进构建网络安全社会化服务体系,促进网络安全产业高质量发展。
带着如何推动网络安全保险健康发展的问题,记者与相关专家和从业人员进行了深度探讨。
网络安全保险的分类
独立网络安全保险
覆盖第一方损失和第三方责任的独立财产保险产品,以独立保险合同的形式承保。
附加网络安全保险
以附加责任的形式作为传统财产保险责任的延伸,一般与传统财产保险产品绑定承保,可分为必选附加网络安全保险、可选附加网络安全保险两类。前者是传统财产保险的默认网络安全责任覆盖,后者是由客户根据自身需求决定是否投保网络风险。
嵌套网络安全保险
通常由提供网络安全保险的公司与网络安全公司合作,将网络安全保险设计为网络安全公司提供的综合网络安全服务中的一个环节。这是网络安全保险在网络安全生态中发挥作用的生动实践。
什么是网络安全保险
网络安全保险是投保人根据网络安全保险单向保险人支付保险费,当合同约定范围内的网络安全事件发生时,保险人依据合同条款就对应的财产损失和第三方责任承担赔偿保险金责任的商业保险行为。
网络安全保险作为一个跨行业融合创新的新险种,日益成为转移、防范网络安全风险的重要工具,在推进网络安全社会化服务体系建设中发挥着重要作用。
在国家金融监管总局的财产险公司备案产品目录中:
中国人民财产保险股份有限公司已备案“中国人民财产保险股份有限公司网络安全综合保险(2022版)”等12项。
中国太平洋财产保险股份有限公司已备案“中国太平洋财产保险股份有限公司网络安全保险(A款)”等22项。
中国人寿财产保险股份有限公司已备案“中国人寿财产保险股份有限公司个人网络安全保险条款”等15项。
中国平安财产保险股份有限公司已备案“平安科技与网络安全综合保险”等21项。
中国大地财产保险股份有限公司已备案“中国大地保险网络安全损失保险”等8项。
规范标准 激活需求
近年来,各行各业都在推进数字化转型与创新,与此同时,数字化技术给网络安全带来了前所未有的挑战。尽管目前市面上的网络安全保险产品众多,但由于缺乏行业标准和监管机制,仍存在被保企业“不愿保”、保险公司“不敢保”的供需双冷问题。
在数字化转型过程中,中小企业因“缺人、缺钱、缺技术”所面临的网络安全威胁困境尤为明显,网络安全保险更应该关注中小企业,并为此建立有效的监管机制。中国铁塔业务支撑部总监程赓认为,中小企业是经济活动的重要组成部分,需要明确其在经营范围内的网络安全主体责任,并在此基础上根据其服务领域、是否涉外、是否为关键行业供应链等具体情况,采取分类分级的方式进行差异化网络安全监管,既引导完成规定动作、追加动作,也避免过度执行超出承受范围的监管要求。此外可以出台支持中小企业强化网络安全的鼓励政策。
近日,工信部印发《关于促进网络安全保险规范健康发展的意见》(以下简称《意见》),这是国内首份网络安全保险政策文件。《意见》指出,要加大政策支持力度,支持中小企业数字化转型,鼓励保险机构针对中小微企业的风险特征和保险需求,丰富保险产品供给。
同时,在政策标准制定方面,《意见》指出,积极推进数据安全相关法规和标准制定,为数据安全保险发展奠定政策基础。一是推动出台《网络安全法》《数据安全法》《个人信息保护法》。二是印发《工业和信息化领域数据安全管理办法(试行)》。三是发布《电信和互联网行业数据安全标准体系建设指南》《车联网网络安全和数据安全标准体系建设指南》。
然而要让企业提升购买意愿,不仅要从政策上发力,还要多方协同合作,积极健全产品服务体系。传统的网络安全保险产品相对复杂,也欠缺灵活性,亟须针对不同行业和领域,推动网络安全产品和服务创新,同时借助产品赋能网络安全产业,发挥风险管理作用。《意见》明确要加强网络安全保险产品服务创新,鼓励保险行业深入研究网络和数据安全相关风险,创新研发相关保险产品和服务。
如何从“被动安全”转向“主动安全”?程赓告诉记者,网络安全领域专业厂商和服务机构应注重总结提炼社会通行的网络安全能力,诸如网站安全、应用安全、数据安全、隐私安全等,并进行能力上的解耦和封装,为组合化、差异化供给打好基础。网络安全保险应该在中小企业和专业化网络安全服务中发挥连接和“桥梁”作用,基于对中小企业客户的了解有效识别网络安全需求并完成撮合,成为网络安全产业进入中小企业市场的有效渠道,同时为自身精准理赔积累精算依据。
目前网络安全保险规范健康发展还面临诸多挑战。例如,行业网络安全意识淡薄、量化评估技术缺乏、责任主体难以界定等,针对以上难点、痛点,如何加快行业标准的制定,完善监管机制?程赓表示,一是要提升全社会的网络安全意识,尤其要明确中小企业的网络安全主体责任,健全网络安全保险市场。二是面向中小企业形成场景化、模块化的网络安全风险和防控成效量化指标并形成广泛共识,建立量化评估基础。三是围绕损失可置换的场景设计险种,避免因承担无限责任引发纠纷和争议。
不仅是互联网行业,保险公司也要制定相应的监管机制。此前,银保监会发布的《互联网保险业务监管办法》,对经营行为、业务规则、信息披露、产品服务、监督管理等进行了规范,进一步厘清业务和监管边界,完善监管措施。
《办法》中提到的“信息披露”,要求保险公司在销售互联网保险产品时,必须向消费者进行充分的信息披露。倘若相关部门可以要求保险公司披露已签约的网络安全保单信息,用于监测和统计网络安全保险市场发展情况,对市面上网络安全保险的类型、承保该类保险的机构等进行总结,以制定相关标准和监管机制,将对行业发展网络安全保险业务起到规范指导作用。
量化风险 迫在眉睫
网络攻击与财产损失、疾病等类似,具备构成保险事故的因素。然而,网络安全保险相较于其他财产险、人身险具有显著的特殊性,车辆损伤的部件可以轻松定量,就医购买的药品也可以轻松定量,对网络安全事故进行定量评估却难上加难。网络攻击的不确定性强、攻击溯源的取证难度高、损失程度的评估难度大,这无疑给网络安全保险的核保、定价、承保、理赔等各业务环节提出一系列难题,建立一套合理的网络安全风险量化评估体系是当务之急。
“网络安全风险量化本质上是标记环境网络风险级别的一种标签,建立完善的网络安全风险量化评估体系是推动网络安全保险健康发展的基础。”中国电信研究院安全技术研究所所长何国锋告诉记者。
何国锋表示,网络安全风险评估要涉及资产评估、威胁评估、脆弱性评估、安全管理评估、安全影响评估,在此基础上,综合利用定性和定量分析方法,选择适当的风险计算方法或工具来确定风险的大小与风险等级。“针对网络系统安全管理范围内的每一个网络资产,因遭受泄露、修改、不可用和破坏所造成的任何影响,做出一个风险测量的列表,通过分析评估出来的数据进行网络安全风险值计算。”何国锋介绍。
《关于促进网络安全保险规范健康发展的意见》提出要探索建立网络安全风险量化评估模型,加强网络安全风险影响规模预测、经济损失等分析。就网络安全风险在量化层面的具体问题,何国锋向记者进行了深入解答。他介绍,分析一家企业或某个系统的网络安全风险可以从资产、脆弱性、威胁性3个维度进行。资产是指企业或系统的软硬件设备及其承载的数据。脆弱性也叫作资产的脆弱性,是软硬件设施和数据存在的可能被不法分子利用的漏洞。威胁性是指资产被网络犯罪活动关注并攻击的程度和概率。
“识别这3个维度,对每个维度进行赋值,即可对企业或系统的网络安全风险进行分析。”何国锋表示,“‘资产价值’乘‘资产脆弱性’得出的值,可以评估网络安全事件造成的损失;‘资产脆弱性’乘‘威胁性发生的频率’得出的数字,可以衡量网络安全事件发生的可能性。最后,将网络安全事件造成的损失和网络安全事件发生的可能性相乘,这个数值就可以作为网络安全风险进行量化评估。”
据了解,针对网络安全保险业务,已有国内外公司研究开发出相应的数据建模技术和风险量化方法。例如,剑桥风险研究和风险管理解决方案中心(RMS)开发了网络累积管理系统(CAMS)和网络保险暴露数据方案(Cyber Insurance Exposure Data Schema),以将网络事件收集的信息标准化;风险建模公司AIR开发了网络风险分析(ARC)平台,可对多种业务场景进行建模,以量化各类企业因一系列网络事件造成的综合损失;国内一些网络安全公司开发了风险评估专业工具,并基于风险评估的结果结合保险定价模型进行风险量化分析。
何国锋在采访中强调,由于在网络安全保险业务中,风险具有变化性和专业性,网络安全风险评估指标的选取应以可量化和全面性为前提,同时应兼顾具体场景的适用性。他告诉记者:“购买网络安全保险的客户群体中,民营企业更关注风险转移方面,国企央企则更看重安全保障的能力提升。”可见,网络安全保险作为网络安全技术和保险服务的有机结合,用户自身的属性决定其对保险业务的需求侧重点。因此,加快建立科学合理的量化评估体系,有利于促进保险费率趋于合理,加快安全防护能力的应用,有助于打通技术与服务的堵点,进一步丰富网络安全保险的产品生态,为用户提供更加完备、更具个性化的网络安全防护和保障服务,是推动网络安全保险健康发展、筑牢网络安全“防火墙”的应有之义。
市场巨大 潜力可期
网络安全保险是为网络安全风险提供保险保障的新兴险种,日益成为转移、防范网络安全风险的重要工具,不仅需要保险机构提供专业支持,也需要网络安全企业提供相关技术,赋能网络安全风险事前、事中、事后管理的全流程,如风险评估、风险监测、攻防演练、应急响应、事后恢复等。
据统计,2022年我国网络安全保险保费规模约为1.4亿元,占财产保险保费规模的不到万分之一。从全球来看,网络安全保险正在成为财险保险领域的新秀产品。据市场研究公司预测,到2026年,全球网络安全保险市场规模达到350.7亿美元,平均年复合增长率达到26.6%,展现出巨大的网络安全保险市场。
我国网络安全保险产品服务模式主要有两种,一种是面向行业企业网络安全风险管理需求的“保险服务+安全风控”模式。另一种模式为面向网络安全产品残余风险转移需求的“安全防护+保险保障”模式。在前一种模式下,保险公司发挥主导作用,借助网络安全企业、专业网络安全测评机构的网络安全技术能力、场景化评估分析能力和数据整合分析能力,提供产品开发、核保定价、防灾减损等保险服务,为行业企业提供网络安全财产损失险、责任险、综合险等保险产品。第二种模式由网络安全企业主导,体现为网络安全企业在为行业企业提供网络安全防护类产品的同时,附加网络安全专门保险,如在招标文件中明确网络安全服务中包含为服务责任兜底的网络安全保险产品。
今年4月,奇安信科技集团股份有限公司与中国太平洋财产保险股份有限公司针对企业面临的网络安全风险发布了“零事故保障险”,打造了“安全产品+防护服务+保险保障”组合的创新模式,防护、评估、保障三方强强联合,为企业提供一站式闭环的网络安全保障服务。
何国锋在接受采访时表示:“通信业可以与保险业开展深入合作,对网络安全产品进行资格认证和能力评级,企业购买了相应的网络安全产品,即可在投保网络安全保险时享受固定的保险赔率,这是一种具有可行性的模式。”
整体来看,我国大多数行业及企业的网络安全风险意识淡薄,对网络安全建设的投入普遍不足,对于网络安全保险的投入预算基本处于空缺状态。中小企业更关注投入产出比,普遍缺乏网络安全风险意识,更不用说考虑风险转移。同时,行业及企业对网络安全保险的认知还不到位。由于网络攻击在短期内可能不会造成明显损失或损失并不直观,部分企业购买网络安全保险仅仅是为了满足合规要求。此外,与国外惯例不同,我国鲜有因信息泄露而引发的民事索赔案例,大多数企业对网络安全保险的认识只停留在重硬件、轻数据的层面,很少会考虑将网络安全保险作为转移第三方责任风险的措施。
“建议行业主管部门加大市场培育力度,配套网络安全保险的投保相关优惠政策,统一网络安全服务标准。”国内保险行业的一位资深从业者告诉记者。此外,有关部门要积极引导更多的保险公司、再保险公司、网络安全设备公司、科技服务公司、风险评估公司、专业经纪公司、科研单位等机构,参与搭建网络安全保险服务体系,丰富网络安全保险的基础数据,提供更多满足企业风险管理需求的创新保险产品。