网络风险愈演愈复杂,千亿级别网络安全险市场如何攻破?
今年,《中华人民共和国 网络安全 法》的正式实施不仅对我国网络空间法治建设是一个重要的里程碑,也为 保险 产品的设计和开发提供了有效依据。一个完善的信息系统和有聚合力的网络保险市场正在发展形成。
前不久,美国最大的信用评级机构Equifax被曝系统受到网络攻击,1.43亿美国居民的个人信息面临被泄露的风险。据了解,Equifax就网络安全险、犯罪防护险以及一般责任险等险种进行过投保,投保总保额在1亿至1.5亿美元之间。但这一次,处于起步阶段的网络安全险也没能帮助Equifax全身而退,因此而遭受的损失恐怕比1.5亿美元要多得多。
当Equifax网络安全事故还未平息之时,美国证券交易委员会又曝出,黑客去年曾入侵其用于存储上市公司文件的系统,并可能利用信息进行交易、牟取不当利益。今年内,WannaCry和Petya勒索病毒造成的全球性的网络安全事故也还历历在目,受波及公司因此而承担了严重的经济损失。面对瞬息万变的网络风险,保险该如何武装自己来决战这些变幻莫测的“虚拟敌人”?答案正在不断探索中。
新型网络风险愈演愈复杂
安联全球企业及特殊风险(以下简称“AGCS”)发布的网络安全研究报告指出,企业设备之间以及业务之间的紧密联系正催生新的风险,这种风险的复杂性意味着企业需要建立起整套网络安保体系,不同利益的相关方要加强风险管理信息的共享。
新型网络风险已不仅关乎企业数据泄漏和个人隐私,还会延伸至知识产权被盗、网络诽谤以及由网络攻击或技术故障所引发的业务中断。AGCS全球财险核保团队的网络险业务专家表示,“今后5~10年,业务中断将成为一个主要的风险,并成为网络保险的主要保障范围之一,但这方面的风险常常被低估。”不过,在网络和IT的风险范畴内,营业中断保障范围可以非常广泛,不仅包括企业的IT网络,还可延伸至能源企业所使用的工业控制系统或是制造业中使用的 机器人 。
物联网趋势下,“万物互联”的大潮正席卷而来,个人和企业对技术和实时数据的依赖性在增加,新的风险也随之产生。 无人机被劫持、POS机被盗刷、使用中的汽车被操控、智能手表泄露用户隐私,甚至“当你在看电视的时候,有人可能在透过电视看你”这样令人后背发凉的情景,都不是骇人听闻,而是真实发生过的案例。
有预测显示,到2020年,数万亿的物品将实现互联,每天将有500亿部机器进行数据交互。 工业控制系统会存在风险隐患,因为今天仍在使用的系统中,有相当一部分在当初开发时并没有考虑到现在网络会存在如此多的安全问题。如果工业控制系统受到攻击,极有可能造成火灾、爆炸等有形损失,最终导致业务中断。
网络风险带来巨大经济损失
AGCS披露的网络研究报告显示,我国每年都会遭受600亿美元的网络损失,居亚洲第一,是紧随其后的印度的15倍。新加坡和日本的情况相当,分别为12亿美元和9.8亿美元。
AGCS通过分析网络风险的最新趋势发现,网络犯罪风险将是企业面临的第三大风险。 每年因全球网络犯罪而导致的经济损失接近4450亿美元,其中约50%发生于全球十大经济体。而每家企业因数据泄露事件遭受到的平均损失至少高达300万美元。要做足安全保障,这意味着网络安全险有超过千亿的市场规模待开拓。
“ 15年前,网络攻击刚刚萌芽,主要与黑客相关。但随着关联性和全球化的日益加强,网络犯罪变得商业化,网络攻击愈演愈烈,其影响也变得更为深远。 ”AGCS首席执行官Chris Fischer Hirs如是表示。
据安联财产数据统计,现今50%的网络攻击集中在大型机构,越是重要的机构越容易受到攻击。大批量的数据泄漏会造成巨大的损失,也许是网络系统的核心设施受到攻击、核心数据泄漏,或者是云服务供应商网络中断。
虽然,目前只有不到10%的企业投保了网络安全保险,但面对巨大的潜在经济损失,各企业愈发意识到投保该保险的重要性。据了解,影响企业投保网络安全保险的一个原因或许是保费过于高昂。Sciemus保险公司曾表示,为价值1000万美元的数据泄露投保费用约为10万美元,这一保费是人身伤害投保的7倍。
据了解,国内首批提供网络安全保险的主要外资险企,如安联财险、美亚保险等,两家均在2015年推出相关产品。承保范围大致类似,主要包括敏感数据外泄(个人及企业数据)、黑客入侵、计算机病毒、雇员恶意破坏数据或处理数据失当、数据盗窃等引发的第三方索赔或导致的业务中断以及网络勒索相关赎金的保障。另外,还有包括平安保险、众安保险等国内险企近年来也提供了网络安全保险这一产品服务。
未来发展前景良好
随着时间的推移,网络安全保险提供的保险政策已经变得更加广泛和标准化。“一个有聚合力的网络保险市场正在发展形成。”AGCS网络保险业务全球负责人Nigel Pearson说。这个市场的余量还很大,AGCS预计10年后,网络保险年均保费规模将从现在的20亿美元上涨至200亿美元,年均复合增长率超过20%。
网络风险意识的加强以及规章制度的变化将推动网络保险快速发展。Chris Fischer Hirs表示, “网络保险虽然无法取代坚固的IT安保系统,但它为减轻网络攻击的影响筑起第二道防线。”
值得注意的是,全球范围内网络安全保单几近九成在美国。这或许与其在过去10年间施行了网络安全漏洞通知法有关。此法律规定,若发生可识别的个人信息泄露,企业和政府必须发布通知。而我国的网络安全环境也正在改善。今年6月1日起,《中华人民共和国网络安全法》正式实施,内容涉及如何保障网络数据安全,要求网络运营者采取数据分类、重要数据备份和加密等措施。从全球范围内看,新加波和澳洲已经或正在制定新的法律,欧盟也在研讨泛欧盟数据保护条款。接下来,预计全球各国都会陆续推出更为严格的规章制度。
因此,网络保险的保障范围也要作出相应改变,以提供更广泛且更为深入的保障。财产险里将网络风险列为除外责任也将成为普遍的做法。独立的网络保险将逐渐发展成为综合保险解决方案的一个重要组成部分。而专业服务能力绝不仅仅局限于提供产品这一个环节,还包括建模分析、定价、风险预警、索赔管理等多个环节。越来越多的电信、零售、能源、设备和交通领域内的企业以及 金融 机构已对此产生强烈兴趣。
有调查报告显示,年收入处于10万~50万美元区间的中小企业,其每年保费支出处于80~1200美元区间;年收入超过百万美元的企业,其每年的保费支出会超过10万美元。安联集团预计这些企业的保费支出会在未来不断上升,并在2025年达到最快增速。
从更广阔的层面来看,保险仅仅是解决方案的其中一部分,制定综合性的风险管理方案才是根本。“投保了网络保险并不意味着就能忽略IT安全。技术、运营和保险三个方面的风险管理应是相辅相成的。”安联保险网络风险专家Jens Krickhahn表示。网络风险管理非常复杂,并非个人或单独的部门就能解决,因此AGCS建议企业建立一个智库,邀请不同利益相关方代表参与进来,共同合作,分享风险管理知识。
如此,企业就能提前针对不同的风险拟定应对措施,包括在企业发展过程中因企业并购、使用云端服务,或外包服务时所产生的风险。除此之外,不同公司间的合作有助于辨别出暴露在风险中的资产。更重要的是,可以制定并测试危机应对预案是否有效。