日前,一場席卷全球的勒索病毒在大范圍入侵人們的電腦,惡意加密電腦信息并勒索解密贖金。據報道,全球有150多個國家淪陷:英國的幾十家醫院被迫暫停急救等服務,俄羅斯內政部千臺電腦遭攻擊,德國鐵路系統、美國聯邦快遞公司等紛紛“中毒”,中國也有近3萬家機構的計算機遭受影響。專家警告,在攻擊勢頭被暫時遏制后,有可能推出升級版本“卷土重來”。電腦病毒大范圍肆虐,也再度為全球網絡安全敲響警鐘。
全球網絡安全現狀
近年來發生了多起數據和安全事故案件,人們對網絡風險的擔憂日益增加。在商業活動中,網絡相關事故造成的潛在財物損失(第一方和第三方損失)范圍非常廣泛。
來自美國國際集團(AIG)的最新網絡安全報告顯示:金融服務、能源、電子通訊、醫療及信息技術將最有可能成為2017年系統性網絡攻擊的行業對象。
勒索病毒的出現使得人們開始警惕網絡安全引發的風險。據勞合社與劍橋大學風險研究中心共同發布的“勞合社城市風險指數報告”顯示,在2015年至2025這十年間,網絡攻擊引發的全球潛在經濟損失可能高達2940億美元。另據普華永道發布的報告《保險2020與超越:從網絡彈性中獲取紅利》預測,到2018年,全球網絡安全保險市場將增至50億美元,到2020年將增至75億美元。可見,網絡安全保險發展潛力巨大。
據美國保險代理和經紀理事會(CIAB)2016年4月數據顯示,在保險市場相對成熟的美國,大約有25%的商業投保了網絡安全保險。在世界其他地區,針對數據泄密的強制立法將是推動網絡安全保險增長的主要動力。法律或者是監管的強制約束行為,是一個非常重要的方面。比如,歐盟出臺的《一般數據保護條例》(GDPR)——要求所有在歐盟經營個人數據業務的公司都必須遵守該條例,而且該條例規定了最高的賠償額是2000萬歐元,或者是該公司全球收入的4%,該條例是一個非常強硬的保護手段,同時也能夠推進網絡安全保險的承保數量。
勞合社首席執行官在2015年勞合社開放日活動中曾表示,中國目前的互聯網發展潛力巨大,但中國的網絡安全保險尚不發達,就目前互聯網發展的浪潮來說,大量的網絡安全需求將給網絡安全保險業務的發展帶來長期的增長活力。
“盡管每年目標明確的網絡攻擊的數量在以兩位數的速度增長,許多中型及大型公司仍未能在網絡風險管理中投入足夠資源。網絡保險市場在中國的發展速度一直較為緩慢,主要原因是網絡保險對于市場來說依然較新,客戶知曉度低, 保險公司缺乏歷史數據模擬網絡攻擊可能導致的潛在損失。并且相關法規較模糊,缺乏明確的法律責任和約束。”美亞保險責任險部和特殊金融險部負責人詹銘輝表示,“今年6月1日起,《中華人民共和國網絡安全法》將正式施行,希望這類法律的進一步完善,可以為打擊網絡犯罪,提供重要的法律保障。”
網絡安全保險在中國
一般而言,網絡風險分為第一方和第三方風險。保險產品提供的承保范圍會涵蓋其中一方或者雙方都涉及的風險。針對第一方的保單涵蓋了企業自己的資產,包括數字資產、網絡癱瘓造成的業務中斷、網絡欺詐、聲譽損失、網絡盜竊等等;針對第三方的保單包括他人的資產,尤其是客戶的資產,通常包括安全和隱私泄露、多重媒體責任、第三方數據的丟失等風險。針對這些風險,目前市場上是否都有相應的保險方案開來解決呢?
據悉,美亞保險母公司美國國際集團(AIG)早在1999年起就為企業提供網絡風險保障產品——CyberEdge。2015年左右,美亞保險將此款保險產品引進中國,成為國內首批為客戶提供互聯網安全保險服務的保險公司。該產品承保范圍包括:敏感數據外泄(個人及企業數據)、黑客入侵、計算機病毒、雇員惡意破壞數據或處理數據失當、數據
盜竊、網絡保安系統失效、計算機系統事故所引發的第三方索賠或導致的業務中斷,甚至包括網絡勒索相關贖金的保障。
詹銘輝介紹,美亞保險提供的企業級市場的安全保險業務主要分成三塊:第一塊業務主要集中于減少企業因黑客攻擊導致正常營業中斷而產生的經濟損失。保險可以賠償企業在系統安全失效期間,扣除正常營運開支而損失的部分經濟損失。第二塊業務則是在鑒定服務以及數據恢復上。承保那些因聘請鑒定服務顧問證實是否已發生數據安全事故并判斷原因,提供避免或降低數據安全事故的建議所產生的費用。第三塊業務則主要是幫助企業承擔法律成本,承保依法向資料所有人披露個人信息泄密或數據安全事故所產生的費用及支出。同時還包括修復企業受損名譽,承保向獨立的專業公關顧問尋求建議以減輕其名譽受損所發生的費用。
另據記者了解,目前在中國市場上,類似的網絡安全保險雖有,但產品設計單一,保障范圍較窄,與真正意義上的網絡安全保險有所差異。比如,華泰財險與京東金融合作推出的專門針對互聯網個人賬戶資金安全的“個人賬戶安全保障保險”,該產品可全年保障個人名下所有銀行卡、網銀、第三方賬戶因盜刷等造成的資金損失;平安產險開發了一款個人賬戶資金損失保險,能保障網絡上第三方賬戶被盜刷等損失,按照保費標準不同,提供保障;人保財險推出虛擬財產險業務,保障網絡游戲玩家虛擬財產的交易安全;眾安保險聯合百度推出專門針對手機支付安全的保險產品“百付安”,保障病毒木馬、電信詐騙、網絡釣魚等嚴重威脅用戶支付信息和財產安全。
總體來看,網絡安全保險在國外已經很發達,而在國內來看,開展這方面保險計劃的保險公司并不多,人們對這類產品的接受度也不高。原因是多方面的:一方面是立法規范,一方面是保險公司可能承受的不確定風險較大,再者用戶(企業、個人)對于這塊的接受度可能還不高。
中央財經大學副教授鄭莉莉表示,“網絡安全保險之所以在國內發展不起來,主要是不確定風險大,沒有網絡安全定損的標準;另外國內多數用戶認識上還停留在重視硬件、輕視數據的層面上,而網絡安全的主要目標是保證數據的保密、完整與不可否認。”
業內人士表示,我國發展網絡安全保險可以從以下幾個方面著手:首先,法律是保障。國家需要借鑒國外先進的立法經驗,結合我國當前的現實狀況,制定專門的針對網絡安全法律;其次,人才是基礎。網絡安全保險產品涉及許多專業問題,需要優秀的專業人才為企業制定所需的網絡安全保險產品,因此應該注重相關專業人才的培養和引進;再次,應重視宣傳網絡安全。社會各個主體應該通過不同形式加大網絡安全保險的宣傳,加強企業風險教育,強化風險保障。
“作為新興產品,目前企業網絡安全保險在國內的客戶知曉度較低,但隨著國內相關法律法規的健全以及科技、數據和計算機的不斷發展,客戶的風險意識會隨著提升,企業網絡安全保險的市場在未來將會持續增長。”詹銘輝坦言。
網絡安全保險發展前景
“網絡安全保險在國內是典型的藍海市場,潛力很大。推進的過程可能會比較緩慢,因為需要保險公司與網絡安全的主管部門、相關企業、多個利益相關方制定相應的政策和標準。”鄭莉莉表示。
近幾年,網絡風險抬頭的趨勢非常明顯,不論是大型跨國企業,還是小型本地公司,其運營成本都因網絡風險的增加而顯著上升。因為網絡風險的成因和導火索經常變化,公司經營者較難正確地認識到他們所面臨的風險本質,以及無法確認自己需要的是哪種類型的保險產品。在這一背景下,對于網絡安全保險的需求量會有進一步的提升。
對于企業而言,在企業已經發生安全事故的情況下,網絡安全保險可以降低企業的資金損失。具體可以包括由于第三方訴訟造成的損失,以及遭受網絡攻擊導致服務中斷造成的損失。此外危機公關的服務也可以被保險所覆蓋。畢竟和金錢損失相比,真正重要的是預判風險。