网络安全保险探析

网络安全保险(Cyber Insurance 或 Cyber Security Insurance)作为一项投保险种,早在上世纪90年代就已伴随着IT网络的发展及安全风险的再配置与转移应运而生。经过近20余年全球社会经济和网络技术的发展,在国外发达国家中该市场已较为成熟,而我国则刚刚起步并开始进入一个风口阶段。网络安全保险的发展及应用前景无疑是可期盼的,但实际过程中是否会成为人们口中所说的“遥远的桥”?本文作者将尝试做出一些分析以帮助有兴趣的读者有一个较为全面的了解和认识。

一、前言

《A Bridge Too Far》(中文译为“遥远的桥”又译“夺桥遗恨”)是一部摄于1977年由英国导演理查德·阿滕伯勒执导的二战著名影片。该片描述了盟军在二战后期弥漫着乐观的情绪,轻率以为可以从荷兰入境德国从而提前结束战争,结果在付出惨重代价后始终未能攻占阿纳姆地区横跨莱茵河的大桥,最终以盟军的惨痛失败而告终。后来有西方人士以“遥远的桥”这个短语描述那些看似美好,而最终未能实现的事务。网络安全保险(Cyber Insurance 或 Cyber Security Insurance)作为一项投保险种,早在上世纪90年代就已伴随着IT网络的发展及安全风险的再配置与转移应运而生。经过近20余年全球社会经济和网络技术的发展,在国外发达国家中该市场已较为成熟,而我国则刚刚起步并开始进入一个风口阶段。网络安全保险的发展及应用前景无疑是可期盼的,但实际过程中是否会成为人们口中所说的“遥远的桥”?本文作者将尝试做出一些分析以帮助有兴趣的读者有一个较为全面的了解和认识。

二、网络安全保险的市场及预测分析

数据表明在全球网络安全保险的市场中,来自美国的市场占据了约90%的份额,来自120家美国保险公司的报告数据表明2016年总共提供了价值10亿美元的网络保险,而根据其它机构的估计当前美国国内网络安全保险的年度投保金额在15至30亿美元之间。初看该金额似乎也不小,但和2015年美国国内总计5058亿美元[1] 的保险市场相比,大家就能明白网络安全保险在保险行业实在是一个微小的市场。不过由于金融保险市场激烈竞争,使得网络安全保险这个市场进入了众多国内外保险提供商的业绩增长目光中。近年来国际上一些安全大事件的发生,如14年Sony公司的黑客入侵事件、15年美国OPM(人事管理办公室)数据泄露事件、16年美国遭史上最大规模DDoS攻击事件使得国外一些机构对网络安全保险的市场增长持续看好并做出了预期分析,PwC机构认为全球网络安全保险市场预期到2020年将达到75亿美元[2]。而美国商业保险杂志报道惠誉评级公司总经理James Auden在最近的一份报告则给出了较为乐观的看法,他声称:“行业估计表明,全球网络保险业务在2020年底前可能增至200亿美元“[3]。根据安联最新研究报告显示,我国每年预计遭受600亿美元的网络损失,居亚洲第一[4]。随着《中国人民共和国网络安全法》的正式实施,我国政府加强了对网络安全的监管,企业机构及个人安全意识的得到了更多的唤醒并不断提升,国内网络安全保险市场也开始被国内众多的保险公司所看好。

三、网络安全保险的市场发展阻碍

如果光看前面的市场预期数据,感兴趣的读者或许以为网络安全保险的市场开展必将一帆风顺,但在市场拓展实际过程中,还存在很多阻碍因素,这些因素将阻碍承保机构顺利开展业务,阻碍用户最终进行采购。事实上,即便是在对保险理念接受程度最高的美国,根据美国保险代理及经纪委员会(CIAB)的调查显示也仅有29%的美国企业购买了网络安全保险[5]。一些专家也指出网络安全保险市场的发展仍将是一个艰难的过程。

  • 保险机构的阻碍因素
  • 保险机构对网络安全理解不足

很多保险机构毕竟不是专业网络安全厂家,其内部缺乏专业的安全人士。一方面,保险机构不能完全知晓当前不断演变的网络安全威胁,另一方面,保险机构也不十分清楚目标客户群的业务安全风险。这导致部分保险机构推迟参与该市场,而一些已推出产品的机构则对其产品一直保持担忧。一个受访的保险人士表示,“我们不知道风险的来源在哪里以便我们可以减轻(业务)风险。”。国外的一些评级机构就已针对近期一些系统性且影响范围巨大的网络安全风险对中小保险机构提出警示,提示需注意资金池是否可覆盖赔付的范围。

  • 保险业务设计数据来源不足

金融产品的设计是一个复杂的精算过程。但在现实世界中,大量的网络安全事件出于多种原因,攻击者和被攻击者一般极少公开进行披露。因此实际可查询的事件数量、事件详情和事件损失等信息非常少。再加上前面提到保险机构在网络安全领域专业性上的不足,很多中小保险机构并不掌握足够充分的数据信息以支撑其设计开发及运营相应的业务产品。在实际中常陷入这样一个怪圈,即”不充分的数据—>不合适的产品—>降低了客户的期望—>更低的市场销售—>更少的数据来源—>不充分的数据“。

  • 用户网络安全建设的投入不足

总体而言,国内中小型机构的网络安全建设还不是那么尽如人意。以企业级安全为例,目前国内企业在网络安全领域的投入约为每年300亿元,仅占所有信息技术投资的1%左右[6]。显而易见,安全投入的不足将导致保险承保机构不得不进行慎重评估。一方面保险机构如若承保将面临更为巨大的商业风险,另一方面,这种安全投入不足的趋势短期内难以扭转,如果拒保过多则市场规模拓展难以为继。

  • 用户对此的接受程度

一般认为大型机构更倾向于购买网络安全保险。2015年统计有约40%的世界500强企业购买了网络安全保险[7]。国内网络安全保险投保客户则主要集中在大型的制造型企业、公共交通运输企业、IT公司、云存储公司等[8]。中小型企业由于资讯缺乏、资金不足及企业自身安全策略的局限性,对网络安全保险多数还处于一种观望的状况。

  • 最终用户的阻碍因素
  • 不了解网络安全保险

国外在2011年之前,网络安全保险对许多风险管理人员来说仍然是一个新鲜事物,因此相对而言也很少有公司购买该风险管控策略,只是近些年来,网络安全保险才逐渐被认识和接受,即使如此,根据美国SANS机构和Advisen公司联合发起的一个调查报告显示,参与调查的保险经纪人中仅有14%的人认为其客户机构中的CISO对网络安全保险有较好的认识和了解[9]。通国外相比,国内网络安全保险市场才起步,参与承保机构聊聊数家,市场的宣传力度落后,客户则更不清楚和了解网络安全保险。

  • 对网络安全风险认知不清

网络安全风险是一个动态变化,覆盖内容广泛的安全范畴。目前随着移动互联、云计算、物联网等技术的发展和应用,用户所面临的网络风险呈现范围扩大,边界模糊、入侵途径增加的情况。但不少用户,尤其是中小机构,他们通常未执行全面的安全风险评估程序,因此对所面临的网络安全风险和当前机构安全机制覆盖面及有效性缺乏清晰、完整的认识。这导致他们难以判别那些是可以转嫁和再配置的安全风险,自然也难以将网络安全保险列入其风险管理策略当中。

  • 不知如何评估和量化风险损失

通常而言,用户在在购买一项保险产品之前,都应评估不购买产品而导致的风险损失,并根据该潜在损失而选择对应的产品。现实情况中,网络安全威胁所导致的安全风险损失通常包含直接(如业务中断损失)和间接(如法律诉讼损失)的损失,有形(如资金损失)和无形(如企业声誉损失)的损失。但因缺乏专业人士和工具手段、缺乏合理的评估模型和计价体系使得如何合理评估和量化风险损失一直都是一个长期困扰用户的问题。该情况导致用户在投保前难以选择适合的产品,投保出事后也难以提交被认可的索赔依据。

  • 担心网络安全保险未能满足预期

出于应对随时变化的网络安全威胁及产品盈利的需求,一些网络安全保险产品可能存在复杂、晦涩且难以理解的网络安全保险承保条款及免责条款,这种复杂性使得一般客户在选择网络安全保险产品时难以充分理解该产品并对其是否覆盖内部风险管理策略产生担心和怀疑。这些担忧导致部分用户认为不如将预算花费在安全设备采购或依赖产品/服务商的承保上更为划算。

四、保险机构克服障碍的措施

  • 加强数据收集

毫无疑问,网络安全风险数据是保险机构开展网络保险业务的基础。在这方面保险机构可以通过以下三种方式获得这些数据。

方式一:保险机构通过业务发展不断的积累数据和经验。虽然这将是一个相对漫长的时间过程,但却是一个必经的过程。

方式二:保险机构通过基于自身需求的网络安全建设来提取或反推获得相应的数据。有些保险机构就是通过自己公司的第一手网络安全经验来促进外部业务的发展。

方式三:保险公司向专业的咨询公司、安全厂商等第三方寻求获取相关的数据以充实自身的数据库。

  • 建立可行的风险管控机制

在缺乏更多有效数据的情况下,保险机构可建立一套基于风险管理成熟度模型的评估体系对客户开展承保前的安全评估,通过评估了解客户的安全投入及安全管控的持续性和有效性,评价客户安全需求与现有产品的吻合程度以及可能的产品灵活定价。此外,保险机构也可以通过再保险参与降低一线市场的风控压力。

  • 仔细制定产品的风险覆盖

在产品制定的过程中,保险机构应考虑到两个因素,一是不同的客户群因行业因素、发展因素、监管要求因素存在着不同需求。二是网络安全风险内容繁多且不断的发生变化。因此保险机构需认真深入的了解其目标客户群的网络安全威胁和网络安全需求,避免产品出现安全风险覆盖不满足需求的情况。同时保险机构需保持对网络安全风险变化的持续跟踪,使产品能根据网络安全风险的变化而进行适应性调整,快速跟进并满足市场需求。

  • 提供更多的服务

国外保险机构由于较早开展该项业务,市场竞争也较为激烈,因此他们在商业活动中倾向于提供更多与网络安全相关的服务以增加产品的附加值。这些方式包括:

方式一:和知名的网络安全厂家进行合作(如美国AIG集团与包括IBM、RSA、BitSight等公司进行合作[10],Travelers保险公司和Symantec公司进行合作[11]),在客户进行产品采购前提供相应的安全咨询,承保评估;采购后提供安全应急服务、承保定损;甚至推销网络安全厂家的一些产品和服务。

方式二:保险机构寻求成为对某个特定网络安全领域(如数据存储、等保、PCIDSS等)非常熟悉的专业机构。这样可在对应领域向客户提供专业的网络安全建设咨询,增加客户粘性。

  • 扩大市场宣传

在以往网络安全市场的社会及媒体宣传活动中,政府机构、咨询机构、安全厂商以及网络服务商构成了网络安全宣传的四大主角。作为网络安全保险的提供者,保险机构也需要积极参与其中,一方面让社会全员更多的关心和了解网络安全风险,一方面也也有利于推动和扩展商业市场。

五、网络安全保险的选购建议

从国内《中华人民共和国网络安全法》的正式实施以及近期媒体报道关于网络安全法的执法检查案例中我们可以看到国家监管层面对网络安全的重视程度和监管力度都进入了一个新的高度和新的时期,不少企业机构都开始关注网络安全保险并计划尝试购买此类保险产品。在此,作者给出以下建议供机构用户的决策者参考。

  • 采用网络安全保险仅仅只是用户内部安全策略的组成之一,因此不能把网络安全保险作为主要的安全防御机制。
  • 有些用户认为已购买了一些与业务相关的保险产品从而不需要购买网络安全保险。建议用户对已购买产品进行了解确认其是否覆盖因网络安全威胁而带来的风险损失。例如某些业务中断险可能不包含因网络犯罪而带来的损失。
  • 用户在购买网络安全保险产品前,应该清楚知晓内部哪些是需要通过网络安全保险而进行转嫁消除的安全风险。这部分工作通常可以通过执行一次安全风险评估程序完成。
  • 用户在购买前应该仔细咨询了解保险机构所提供的产品是否覆盖满足机构所期望的风险场景。此外还需要对理赔赔付的前置条件/要求,可能发生歧义理解的内容、不在理赔受理范围内的场景进行咨询和知晓。 例如某些产品可能排除因计算机病毒而导致的风险损失;又如某些产品并不进行赔付如果用户未能满足某个安全规范/标准的要求。
  • 由于网络安全保险不是强制性保险,因此产品及发布机构可能存在较大的差异。用户可以通过一些方法措施寻求最合适的产品及合作机构,这些方法包括在选择保险产品时可查询了解承保机构既往的赔偿支付案例;承保机构是否提供一些额外且专业的安全服务;承保机构有怎样的战略合作安全机构。另外,由于用户可能在安全事故后一段时间内才能发现安全损失,因此也需要考虑承保机构对索赔提交时限的许可承诺。

六、结束语

网络安全保险是一种切实可行的风险转嫁策略机制。在我国,该市场领域目前还处于探索初始阶段。而伴随网络安全建设的持续进行,一些机构已接受和认可这一安全策略并逐渐开始实施或准备实施该策略以进一步完善企业信息安全管理体系。一方面,众多的国内保险机构纷纷试水,期待在该蓝海市场领域占据商业份额,另一方面,机构用户也期待该机制将帮助降低机构面临的监管压力和业务安全压力。不过从前述内容我们看到目前仍存在阻碍这一机制发展和应用的一些障碍。因此网络安全保险的发展是否正如研究机构所估测又或是“一座遥远的桥”,我们还将持续观察。

 

参考文献:

 

=============

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

 

关于绿盟科技

==============

北京神州绿盟信息安全科技股份有限公司(简称绿盟科技)成立于2000年4月,总部位于北京。在国内外设有30多个分支机构,为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户,提供具有核心竞争力的安全产品及解决方案,帮助客户实现业务的安全顺畅运行。

基于多年的安全攻防研究,绿盟科技在网络及终端安全、互联网基础安全、合规及安全管理等领域,为客户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以及Web安全防护等产品以及专业安全服务。

北京神州绿盟信息安全科技股份有限公司于2014年1月29日起在深圳证券交易所创业板上市交易,股票简称:绿盟科技,股票代码:300369。

发表评论