從13年Target數據泄露事件曝光開始，安全圈像中了魔咒一樣事故頻現，涉及的數據泄露數量和造成的損失更是一再刷新人們的認知。種種跡象表明：企業似乎永遠無法通過人力、流程以及技術來確保100%的安全性。

于是，有人把目光轉向了網絡安全保險，如果依靠完備的安全計劃可以解決95%的問題，剩下的5%則轉移給保險運營商。作為一種相對較新的金融工具，網絡安全保險有如定心丸一樣的存在，像安殺毒軟件那般給了企業極大的心理安慰。

向前追溯，網絡安全保險概念自上世紀90年代誕生，業已存在了十多年。且在北美等發達地區，其市場增長非常快。就普華永道最近一份報告《保險2020與超越：從網絡彈性中獲取紅利》（Insurance 2020 &beyond: Reaping the dividends of cyber resilience）預測，到2018年，全球網絡安全保險市場將增至50億美元，到2020年將增至75億美元。

然而，這個即將行至75億美刀的市場，在中國好像沒什么動靜？這科學么，不科學。

究其原因，以下三條可以很好的說明之。首先是大背景環境——相關數據隱私和安全法律的缺位。在美國，法律法規的發展及嚴格的責任追究制度成為網絡安全保險行業的堅強后盾，數據保護條例堅定了人們的想法和看法，并促進市場迅速壯大。香港、新加坡及澳洲業已或正在制定新的法律，歐盟也在探討泛歐盟數據保護條款。加強數據保護實為大勢所趨，法律法規的缺失勢必成為絆腳石。

其次，市場上玩家少，興不起風作不起浪。與發展相對成熟的美國來說，我們國家的網絡安全保險市場尚處于起步階段，即便是有網絡風險相關的需求出現，能夠提供支持的保險運營商少之又少。在美國約有50家保險公司提供專門的網絡攻擊保險，包括AIG、Chubb和ACE等保險行業巨頭。反觀國內，目前在網絡安全保險方面只有蘇黎世財產保險（中國）有限公司、安聯財產保險（中國）有限公司和美亞財產保險有限公司推動力度較大。

最后是風險量化的問題。鑒于數據泄露的數量和損失難以精確計算，因此網絡安全保險公司常常面臨各種問題：“如何對這種風險進行定價？”“企業需要購買什么樣的保險以及購買多少？”“企業能夠從投保中得到的實際回報是什么？”畢竟，對企業來說，購買網絡安全保險不是一筆小數目，對于大多數本身在安全預算方面有限制的企業來說則更是雪上加霜。于是乎都知道這是塊大蛋糕，但都知道不好下手。

　　▲網絡攻擊漫長而不可預知

回過頭來，企業花大價錢買回來的保險絕不只是心理安慰這么簡單，而是希望為數據泄露、業務中斷以及其他網絡災難買個保障。從本質上講，網絡保險能夠在這些類型的損失方面給予保障：每條記錄泄露帶來的損失、通知信息泄露的損失、客戶信用的監管以及泄露后的安全取證。這些成本是可以量化的，但事實上企業一旦遭遇安全事故，名譽上的損失是難以衡量的，且想要恢復受損的聲譽，則要搭進去更大的成本。

往前看，網絡威脅形勢只會更為嚴峻。且如今的安全技術越發復雜，對于那些安全技術產品采購和維護成本居高不下的企業來說，選擇購買網絡安全保險來應對這些風險也未嘗不是一個辦法。

【話外】

筆者要是有錢一定砸向各種網絡安全保險公司投資，問題是……筆者沒錢。

筆者以“cyber security insurance”為關鍵詞分別用谷歌、360和百度進行了搜索，結果這畫風有點兒心塞塞的，乃們感受下orz……

介是谷歌→_→

　　介個是360→_→

　　介是百度→_→