與傳統(tǒng)的財產(chǎn)險或人壽險不同，網(wǎng)絡(luò)安全保險是高度復(fù)雜技術(shù)時代的產(chǎn)物。

近年來，隨著數(shù)字資產(chǎn)在全球范圍內(nèi)愈加受到重視，勒索攻擊、數(shù)據(jù)泄露等威脅逐漸蔓延到在線金融、醫(yī)療、教育等社會生活的方方面面，成為數(shù)字化進(jìn)程中不得不加以重視的安全風(fēng)險。

(資料圖片)

為應(yīng)對新型網(wǎng)絡(luò)安全威脅，各類網(wǎng)絡(luò)安全防護(hù)技術(shù)與產(chǎn)品得到快速發(fā)展與普及。其中，作為安全風(fēng)險轉(zhuǎn)移的基礎(chǔ)手段之一，網(wǎng)絡(luò)安全保險開始被越來越多的企業(yè)所關(guān)注和采用，成為整體安全風(fēng)險應(yīng)對方案的重要環(huán)節(jié)。

但有別于車險、災(zāi)害保險等傳統(tǒng)風(fēng)險投保，由于網(wǎng)絡(luò)攻擊形式的多樣性以及承保數(shù)字資產(chǎn)價值評估的復(fù)雜性，網(wǎng)絡(luò)安全保險在實(shí)際推行過程中尚有諸多行業(yè)共識有待明確，對數(shù)字經(jīng)濟(jì)保障的覆蓋度仍需進(jìn)一步提升。

11月7日，工信部會同銀保監(jiān)會起草的《關(guān)于促進(jìn)網(wǎng)絡(luò)安全保險規(guī)范健康發(fā)展的意見（征求意見稿）》（以下簡稱《意見》）公開發(fā)布并征求意見，旨在加快推動網(wǎng)絡(luò)安全產(chǎn)業(yè)和金融服務(wù)融合發(fā)展，培育網(wǎng)絡(luò)安全保險新業(yè)態(tài)，促進(jìn)企業(yè)加強(qiáng)網(wǎng)絡(luò)安全風(fēng)險管理，推動網(wǎng)絡(luò)安全產(chǎn)業(yè)高質(zhì)量發(fā)展。

提升安全風(fēng)險量化能力

在保險產(chǎn)品的設(shè)計(jì)中，對潛在風(fēng)險的預(yù)測和評估能力是制定承保方案的關(guān)鍵所在。本次發(fā)布的《意見》提出，要“研究制定承保前重點(diǎn)行業(yè)領(lǐng)域網(wǎng)絡(luò)安全風(fēng)險量化評估相關(guān)標(biāo)準(zhǔn)，規(guī)范安全風(fēng)險評估要求”。

據(jù)受訪業(yè)內(nèi)人士介紹，所謂安全風(fēng)險量化評估，實(shí)際上就是從風(fēng)險管理角度對企業(yè)信息系統(tǒng)數(shù)字資產(chǎn)價值、安全防護(hù)能力、可能的損失等屬性進(jìn)行數(shù)據(jù)層面的量化分析，并將分析結(jié)果轉(zhuǎn)化為服務(wù)于安全建設(shè)的決策信息。在保險領(lǐng)域，對安全風(fēng)險的準(zhǔn)確評估是區(qū)分險種，合理設(shè)置保費(fèi)、保險責(zé)任的基礎(chǔ)。

源堡科技創(chuàng)始人、CEO韓冰告訴記者，此前由于缺乏對網(wǎng)絡(luò)安全風(fēng)險量化分析的標(biāo)準(zhǔn)和工具，保險業(yè)在提供網(wǎng)絡(luò)安全保險時往往面臨保費(fèi)計(jì)算困難、成本效益分析不足等問題，缺乏對風(fēng)險的精益化管理能力。

“以數(shù)據(jù)泄密責(zé)任險種為例，可觸發(fā)數(shù)據(jù)泄露的網(wǎng)絡(luò)安全事件可能有勒索、數(shù)據(jù)未加密等，從事件防護(hù)角度設(shè)計(jì)量化指標(biāo)時，需要全方位地考量企業(yè)整體安全能力，過嚴(yán)會導(dǎo)致購置門檻高，過低會加大保險公司的風(fēng)險。”綠盟科技(300369)高級安全咨詢顧問歐陽周婷表示，統(tǒng)一量化評估標(biāo)準(zhǔn)的形成與推廣，將顯著提升保險服務(wù)商風(fēng)險量化工作的精準(zhǔn)性和客觀性，賦能涵蓋險種、保額、保費(fèi)等要素的方案設(shè)計(jì)工作，降低溝通成本，快速匹配客戶實(shí)際訴求提供承保方案。

值得注意的是，《意見》中還為風(fēng)險量化評估的具體措施點(diǎn)明了方向，文件表示，要“圍繞電信和互聯(lián)網(wǎng)行業(yè)典型事件，以及工業(yè)互聯(lián)網(wǎng)、車聯(lián)網(wǎng)、物聯(lián)網(wǎng)等新興場景開展網(wǎng)絡(luò)安全風(fēng)險研究。探索建立網(wǎng)絡(luò)安全風(fēng)險量化評估模型，加強(qiáng)網(wǎng)絡(luò)安全風(fēng)險影響規(guī)模預(yù)測、經(jīng)濟(jì)損失等分析。支持網(wǎng)絡(luò)安全企業(yè)、專業(yè)網(wǎng)絡(luò)安全測評機(jī)構(gòu)等研發(fā)網(wǎng)絡(luò)安全風(fēng)險量化評估技術(shù)，開發(fā)輕量化網(wǎng)絡(luò)安全風(fēng)險量化評估工具，鼓勵保險公司、再保險公司建立網(wǎng)絡(luò)安全風(fēng)險理賠數(shù)據(jù)庫，支撐網(wǎng)絡(luò)安全風(fēng)險精準(zhǔn)定價。”

實(shí)際上，近年來相關(guān)領(lǐng)域的研發(fā)和市場實(shí)踐已在緊密推進(jìn)中。IDC數(shù)據(jù)顯示，為了應(yīng)對復(fù)雜度顯著上升的網(wǎng)絡(luò)犯罪形勢，亞太地區(qū)對安全風(fēng)險量化產(chǎn)品和服務(wù)的投資預(yù)計(jì)將以13.3%的五年年均復(fù)合增長率增長，并將于2024年達(dá)到350億美元。

歐陽周婷表示，在具體實(shí)踐中，需要基于保險險種的定義和承保范圍，識別并關(guān)聯(lián)險種相關(guān)的安全事件及其觸發(fā)條件，將其轉(zhuǎn)化為客戶的安全能力指標(biāo)，結(jié)合應(yīng)急響應(yīng)數(shù)據(jù)等外部影響因素，搭建了用于在核保過程進(jìn)行量化的風(fēng)險模型，而這一過程的諸多環(huán)節(jié)都有賴于數(shù)據(jù)庫、量化技術(shù)和評估工具的成熟運(yùn)用。

豐富網(wǎng)絡(luò)安全產(chǎn)品

在網(wǎng)絡(luò)安全實(shí)踐中，雖然不同類型的企業(yè)或多或少都面臨著數(shù)據(jù)泄露、勒索攻擊等問題的威脅，但由于生產(chǎn)方式、管理體系、產(chǎn)業(yè)鏈結(jié)構(gòu)等實(shí)際情況的不同，其調(diào)查、防御、應(yīng)對安全風(fēng)險的成本轉(zhuǎn)移需求亦各不相同，在針對不同企業(yè)提供承保方案時，保險公司還需提供更具行業(yè)指向性的保險服務(wù)。

《意見》指出，鼓勵保險公司面向不同行業(yè)場景的差異化網(wǎng)絡(luò)安全風(fēng)險管理需求，開發(fā)多元化網(wǎng)絡(luò)安全保險產(chǎn)品，圍繞電信和互聯(lián)網(wǎng)行業(yè)典型事件，以及工業(yè)互聯(lián)網(wǎng)、車聯(lián)網(wǎng)、物聯(lián)網(wǎng)等新興場景開展網(wǎng)絡(luò)安全風(fēng)險研究。

韓冰表示，由于數(shù)字化進(jìn)程和信息化建設(shè)的實(shí)際情況不同，不同行業(yè)的信息資產(chǎn)類別和規(guī)模，網(wǎng)絡(luò)和通信的架構(gòu)，人員管理等方面存在很大差異，不同企業(yè)的外部風(fēng)險暴露情況，攻擊面和暴露面的嚴(yán)重情況，內(nèi)部的安全合規(guī)管理狀況、防御架構(gòu)等亦各不相同，面向不同行業(yè)的網(wǎng)絡(luò)安全保險在保險原理、實(shí)際風(fēng)險形成和風(fēng)險評估等方面亦需量體裁衣，因事制宜。

“因此，網(wǎng)絡(luò)安全保險產(chǎn)品需要從保險責(zé)任的觸發(fā)原因、賠償責(zé)任、除外責(zé)任等多個方面針對不同行業(yè)進(jìn)行不同的調(diào)整，以便于符合不同行業(yè)的客戶的差異化需求。”韓冰說。

此外，正對網(wǎng)絡(luò)安全行業(yè)，《意見》還提出，面向網(wǎng)絡(luò)安全產(chǎn)品開發(fā)網(wǎng)絡(luò)安全專門保險，為信息網(wǎng)絡(luò)技術(shù)產(chǎn)品提供保險保障；面向網(wǎng)絡(luò)安全服務(wù)開發(fā)職業(yè)責(zé)任險等產(chǎn)品，降低專業(yè)技術(shù)人員在安全服務(wù)過程中因人為操作可能引發(fā)的安全風(fēng)險。

歐陽周婷指出，安全服務(wù)依托于人員，網(wǎng)安企業(yè)或多或少都會經(jīng)歷過由于不當(dāng)操作造成用戶營業(yè)中斷等問題的情況，且由于攻防不對等客觀因素的存在，百分之百的安全是很難保證的。本次《意見》提出的兩類險種，前者有助于增強(qiáng)安全企業(yè)的產(chǎn)品保障能力，降低安全產(chǎn)品短暫失效、專項(xiàng)攻擊安全產(chǎn)品的影響，后者則能夠降低安全服務(wù)人員的不穩(wěn)定性，轉(zhuǎn)嫁安全服務(wù)固有風(fēng)險。

“《意見》注意到了網(wǎng)絡(luò)安全保險的復(fù)雜性。”西安交通大學(xué)法學(xué)院人工智能與信息安全法律研究中心助理教授王新雷表示，在業(yè)態(tài)不夠健壯的初級階段，需要從易到難、從確定性高的領(lǐng)域入手探索，在特定場景中健全網(wǎng)絡(luò)安全保險的風(fēng)險評估流程和法律文本，使之標(biāo)準(zhǔn)化規(guī)范化，以充分確定安全風(fēng)險的邊界。

加強(qiáng)保險業(yè)政策支持

隨著勒索攻擊等網(wǎng)絡(luò)安全問題愈加嚴(yán)峻，各類安全防護(hù)產(chǎn)品亦迎來快速發(fā)展的市場機(jī)遇。

但值得注意的是，近年來網(wǎng)絡(luò)安全保險的增長態(tài)勢在眾多安全產(chǎn)品中亦遙遙領(lǐng)先。據(jù)保險咨詢公司Marsh發(fā)布的報告指出，受勒索軟件攻擊影響，2021年三季度美國網(wǎng)絡(luò)安全保險平均價格同比增長96%；Research And Markets發(fā)布的《2022年全球網(wǎng)絡(luò)安全保險市場報告》則顯示，2021年網(wǎng)絡(luò)安全保險市場規(guī)模為92.9億美元，2022年約為119億美元，預(yù)計(jì)到2027年將達(dá)到292億美元，年均復(fù)合增長率19.47%。

究其原因，除了網(wǎng)絡(luò)安全保險仍處于早期階段外，作為風(fēng)險轉(zhuǎn)移的重要手段，保險業(yè)的價值除了發(fā)揮保險保障的基本屬性，為被保險人提供財務(wù)補(bǔ)償意外，在眾多的領(lǐng)域也發(fā)揮著第三方風(fēng)險管理主體的作用。對于兼具安全防護(hù)需求和合規(guī)管理需求的數(shù)字化企業(yè)，網(wǎng)絡(luò)安全保險不失為一種一舉多得的選擇。

但另一方面，由于安全領(lǐng)域本身具有一定專業(yè)門檻，安全防護(hù)體系的搭建亦需要不同措施、產(chǎn)品加以配合，在安全實(shí)踐中，相關(guān)保險產(chǎn)品的設(shè)計(jì)與推廣，離不開保險企業(yè)與安全企業(yè)間的合作。

《意見》提出，要創(chuàng)新發(fā)展網(wǎng)絡(luò)安全保險服務(wù)，鼓勵網(wǎng)絡(luò)安全保險服務(wù)機(jī)構(gòu)協(xié)同合作，探索構(gòu)建以網(wǎng)絡(luò)安全保險為核心的全流程網(wǎng)絡(luò)安全風(fēng)險管理解決方案。

同時，加強(qiáng)保險業(yè)政策對網(wǎng)絡(luò)安全保險的支持，指導(dǎo)網(wǎng)絡(luò)安全保險創(chuàng)新發(fā)展，引導(dǎo)開發(fā)符合網(wǎng)絡(luò)安全特點(diǎn)規(guī)律的保險產(chǎn)品。推動健全完善財政政策，鼓勵提供保險減稅、保險購買補(bǔ)貼等政策。

王新雷認(rèn)為，與傳統(tǒng)的財產(chǎn)險或人壽險不同，網(wǎng)絡(luò)安全保險是高度復(fù)雜技術(shù)時代的產(chǎn)物，探索網(wǎng)絡(luò)安全服務(wù)+保險的模式，有助于將保險公司的金融優(yōu)勢和網(wǎng)絡(luò)安全公司的技術(shù)優(yōu)勢融合起來，促進(jìn)保險公司在網(wǎng)絡(luò)時代探索新業(yè)態(tài)，挖掘新增長點(diǎn)。

他進(jìn)一步指出，在高度復(fù)雜的網(wǎng)絡(luò)風(fēng)險時代，風(fēng)險治理已經(jīng)不能僅依靠風(fēng)險消除的方式，安全解決方案不可能一勞永逸。“而《意見》中提出的全流程網(wǎng)絡(luò)安全風(fēng)險管理解決方案，可以通過消解風(fēng)險和分散風(fēng)險兩種手段，彌補(bǔ)傳統(tǒng)安全解決方案的缺陷，在防范逆向選擇和道德風(fēng)險的動態(tài)風(fēng)險管理的流程中，提升網(wǎng)絡(luò)安全水平。”

相關(guān)的政策指引也早已開始布局，2021年7月，工信部在發(fā)布的《網(wǎng)絡(luò)安全生產(chǎn)高質(zhì)量發(fā)展三年行動計(jì)劃（2021-2023年）征求意見稿》中明確提出，要探索開展網(wǎng)絡(luò)安全保險，開展網(wǎng)絡(luò)安全保險的服務(wù)試點(diǎn)，全面提升網(wǎng)絡(luò)安全保險對產(chǎn)業(yè)的安全保障能力和服務(wù)水平。

韓冰表示，保險公司與網(wǎng)絡(luò)安全保險服務(wù)機(jī)構(gòu)合作，可以幫助保險公司打造“風(fēng)險管理服務(wù)+網(wǎng)絡(luò)安全保險”的主動型風(fēng)險管理解決方案，從而解決可不可保、如何定價以及如何盡量不出險的問題。

“由于信息不對稱的原因，客戶較難判斷安全產(chǎn)品的真正效能和質(zhì)量，保險的承保不僅對企業(yè)的風(fēng)險進(jìn)行兜底，還對企業(yè)的信用狀況、產(chǎn)品和服務(wù)提供了信用支持，對于增加網(wǎng)絡(luò)安全企業(yè)的財務(wù)履約能力、產(chǎn)品的信用水平均具有正面作用。”韓冰說。

（作者：南方財經(jīng)全媒體記者吳立洋,孫詩卉 編輯：郭美婷）