只有來一場網絡災難,才能真正揭示保險行業的準備程度
黑客的頻繁出擊肆意破壞簡直令人沮喪,保險行業不得不正視這一全新的風險領域。網絡風險范圍廣泛,從零售商信用卡數據泄露,到烏克蘭電網遭襲致大規模斷電這種災難性事件都涵蓋在內。針對數據泄露的專門“網絡保險”策略已經成了相對常規的險種。但保險公司其他保險策略擔保的風險,也受到了網絡風險的影響——而他們正苦于理解這一所謂的“沉默的”網絡暴露面。
為受數據泄露傷害的公司提供保險的服務已經存在15年了。給被盜健康記錄準確估值,可比給汽車一類的有形資產估值困難多了。保險公司通過只承擔公司被黑的直接損失,來規避了這一問題。通常,這筆直接損失包括聘用專業取證公司、通知受影響客戶、短期業務中斷、罰款等開銷。
2018年即將實施的歐盟數據保護新規,將對安全事件通告提出更嚴格的要求,對數據泄露的罰款也比以前嚴厲得多,這對保險行業形成了很大的震蕩。有鑒于此,普華永道估測,2014年全球保費收入25億美元的網絡保險市場,到2020年將增至75億美元。當然,與全球保費收益6700億美元的汽車保險市場相比,還是極小的。
然而,數據泄露,大多數情況下只是可控的干擾,而不是災難。盡管每年都有幾百起數據泄露事件發生,2010年至今報給監管機構的美國公司數據泄露事件中,卻只有90起是對公司業務有實質性傷害的。
更大的擔憂是那些“沉默的”暴露面——可導致物理破壞或人身傷害而引發其他保險條款的網絡攻擊,比如壽險、房險、商業財產保險等等。通常,此類保險策略,盡管在制定時沒有考量到網絡風險,卻也沒有特別排除它們。有些案例中,是否排除了網絡因素的保險條款觸發,造成的區別幾乎可以忽略不計;黑了智能門鎖溜進屋的竊賊,未必會比破窗而入的盜賊偷得多。但2014年德國鋼廠高爐被黑客攪亂所造成的巨大破壞,烏克蘭電網被黑致大面積斷電這種事,保險公司就得細細思量了。他們在理解、衡量和調整此類新威脅的暴露面上,加緊了腳步。
現實世界的前例太多稀少,不足以形成任何可靠估算的基準,保險業轉向了采用假想情景進行估算。去年年末,專業利基市場和新興風險保險公司英國勞合社(Lloyd’s of London),首次邀請其保商和保險經紀人設想“似乎合理但極端”的網絡攻擊場景,然后報告他們估算的總體暴露程度。此舉預計會成為每年常規動作。2015年5月,勞合社管理層就設想了黑客導致美國東北部整個電網斷電的場景,估算這一情況會造成2220億美元直接商業收益損失,并在隨后5年對GDP造成超過1萬億美元的影響。
很多保險公司都轉而尋求外部專家的幫助。像RMS和賽門鐵克這種久負盛名的,提供建模能力幫助保險公司理解自身網絡責任的分析公司,便陷入了“軍備競賽”中。(RMS已經是颶風建模界廣受信任的專家了。)
但即便暴露面被更好地理解了,怎樣限制它們也是很棘手的。比如說,劃分網絡戰或網絡恐怖主義和“常規”黑客活動之間的界限,就幾乎是不可能的。網絡犯罪可沒有地域限制,不像佛羅里達颶風一樣可測。保險策略至少需要明確承認網絡風險是在覆蓋范圍之內,或者干脆排除掉它們——就像很多保險策略已經包括了恐怖主義或戰爭免責條款一樣。
盡管保險公司已經幫助企業承擔了平凡數據泄露的保險,但整個行業依然缺乏對大型網絡災難的明確規范化響應。不過,勞合社CEO對該市場持樂觀態度,認為其嚴格的建模操練和獨特的風險共享架構,會比大多數保險公司更有應對能力。但只有一場真實的災難性網絡攻擊,才能檢測其所有準備的有效性。
京公網安備 11010502049343號